Søg
Avatar billede fiesta87 Nybegynder
30. oktober 2005 - 16:04 Der er 14 kommentarer og
1 løsning

hijacked startside mv...W32.Sinnaka.A@mm

Jeg har fået hijacked min computer, her er en
log fra hi-jack this....er der nogen der kan hjælpe?
startsiden er ændret, hedder www.warningmessage.com..osv. og ormen skulle ifølge denne siden have navnet W32.Sinnaka.A@mm

Logfile of HijackThis v1.99.1
Scan saved at 15:57:48, on 30-10-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Programmer\VoipBuster.com\VoipBuster\VoipBuster.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\macromed\flash\GetFlash.exe
D:\Dokumenter\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: HomepageBHO - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINDOWS\System32\hp7027.tmp
O4 - HKCU\..\Run: [VoipBuster] "C:\Programmer\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Fortsæt installationen af Windows Update.lnk = C:\WINDOWS\Installationsfiler til Windows Update\ie6setup.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = ?
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmer\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F7640345-5BBF-4ED0-AEA9-FED9E3D456D1}: NameServer = 195.87.195.101,129.142.7.101
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FLLESF~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
Avatar billede levich Nybegynder
30. oktober 2005 - 16:10 #1
Jeg ser på det, øjeblik
Avatar billede levich Nybegynder
30. oktober 2005 - 16:15 #2
Læs alle punkterne inden du gør noget.

(1)
Deaktiver systemgendannelse, ved at Højreklikke på "Denne Computer" på skrivebordet -> egenskaber -> Systemgendannelse -> sæt flueben i "Deaktiver systemgendannelse" -> Klik OK.

(2)
Hent scannereren http://www.spywareinfo.dk/download/mwav.exe.

(3)
Genstart computeren i fejlsikret tilstand (tryk F8 når Windows starter op), og fix følgende linjer med HijackThis:
O2 - BHO: HomepageBHO - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINDOWS\System32\hp7027.tmp
O17 - HKLM\System\CCS\Services\Tcpip\..\{F7640345-5BBF-4ED0-AEA9-FED9E3D456D1}: NameServer = 195.87.195.101,129.142.7.101

(4)
Åbn en tilfældig mappe, i menuen skal du klikke på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler" og ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

søg efter og slet følgende fil(er):
C:\WINDOWS\System32\hp7027.tmp
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe

(5)
Start -> kør -> skriv "cleanmgr" -> Slet Temporary internet files, papirkurv og midlertidige filer. Gentag for alle dine drev.

(6)
Kør scanneren mwav.exe, og sæt flueben i følgende: Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende: All local drives og Scan all files. Tryk på Scan Clean.
Scanningen kan godt tage nogen tid.

(7)
Genstart computeren normalt. Lav en ny log med HijackThis, og send den herind.

(8)
Når vi er helt færdige, så husk at aktiver systemgendannelse igen.
Avatar billede fiesta87 Nybegynder
30. oktober 2005 - 16:22 #3
du får foreløbig tak, jeg må desværre gå nogle timer nu så jeg prøver metoden senere og vender tilbage!
Avatar billede fiesta87 Nybegynder
31. oktober 2005 - 00:45 #4
her er loggen efter jeg har fulgt instruksen:
ogfile of HijackThis v1.99.1
Scan saved at 00:39:48, on 31-10-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\VoipBuster.com\VoipBuster\VoipBuster.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Dokumenter\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O4 - HKCU\..\Run: [VoipBuster] "C:\Programmer\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Fortsæt installationen af Windows Update.lnk = C:\WINDOWS\Installationsfiler til Windows Update\ie6setup.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = ?
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmer\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FLLESF~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
Avatar billede levich Nybegynder
31. oktober 2005 - 23:32 #5
Det ser godt ud. Virker windows som den skal?
Avatar billede fiesta87 Nybegynder
01. november 2005 - 00:11 #6
Ja, det synes jeg. Hvordan fungerer det med pointene, skal
Avatar billede fiesta87 Nybegynder
01. november 2005 - 00:12 #7
Tak for hjælpen, håber du har fået de 60 point. Nu mangler jeg bare at aktivere systemgedannelse..
Avatar billede majsmarken Nybegynder
01. november 2005 - 07:13 #8
<fiesta87> ->
Husk at opdatere til ServicePack2 !!!
Eller er du lige vidt - er stadig 'hullet som en si'...

Du har ikke opdateret dit Windows XP til ServicePack2 (SP2).
"Ubeskyttede pc’er holder i 20 minutter]":
http://forum.mib-eu.dk/forum_posts.asp?TID=44

Det er ikke så godt, for så er du ikke sikret mod mange af de vira, der suser rundt på nettet og kigger efter uopdaterede maskiner.

Du kan hente ServicePack2 (SP2) her som 'løs' fil (~280Mb):
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/
Download/copy til et passende medie.
Afbryd fra det 'farlige' internet (stikket fysisk UD).
Instaler SP2 pakken.
Når det er så gået godt og efter en genstart eller to - først DA tilslut internettet igen og gå i start ->programmer ->Windowsupdate og lade din maskine scanne for nyeste opdateringer. Installer dem du får anbefalet.

(Tja - hvis du ikke får dette gennemført ses vi nok snart igen...i virus kategorien?)
Avatar billede levich Nybegynder
01. november 2005 - 19:46 #9
Majsmarken har helt ret.
Avatar billede fiesta87 Nybegynder
01. november 2005 - 22:30 #10
I havde begge ret....jeg tog stikket ud, downloadede SP2, og prøvede at installere den, men det kunne åbenbart ikke lade sig gøre..da jeg så skulle på internettet for lige at søge råd, var min startside endnu engang hijacked, nu med den forskel at efter jeg havde genstartet computeren, er det ligesom den ingenting vil, al hukommelsen bliver brugt til et eller andet der kører i baggrunden, jeg kan ikke rigtig gøre noget - har prøvet i fejlsikret tilstand, det gik også i koks! Nu er jeg for alvor på den....kan I hjælpe, jeg skal selvfølgelig nok oprette et nyt spørgsmål...?HJÆLP!
Avatar billede majsmarken Nybegynder
01. november 2005 - 22:34 #11
Endnu et bevis på http://forum.mib-eu.dk/forum_posts.asp?TID=44
(Velkommen i klubben...)

SP2 ka' ikk' li' en 'snavset' putter!!!!

(Hvis det da ikke er noget med ikke godkendt kode???)
Avatar billede fiesta87 Nybegynder
01. november 2005 - 22:36 #12
nej det tror jeg ikke, hvadkan der gøres jeg kan overhovedet ikke bruge min computer nu, jeg har selvfølgelig taget netstikket ud kører nu over en anden computer..
Avatar billede fiesta87 Nybegynder
01. november 2005 - 22:38 #13
med sp2!
Avatar billede majsmarken Nybegynder
02. november 2005 - 07:32 #14
... er stadig 'hullet som en si' ...
Avatar billede majsmarken Nybegynder
02. november 2005 - 07:46 #15
(Du bør nok oprette et NYT spørgsmål da dette er 'lukket' - henvis også til dette
http://www.eksperten.dk/spm/660369 i denne nye tråd...)
I Kat.: http://www.eksperten.dk/spm/Sikkerhed/Virus/
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 18:29 Gendanne slettet partition overskrevet med Windows 11 Af Strawberry i Windows
I dag 16:11 Samle data fra flere kolonner i 1 Af FinnLauridsen i Excel
I dag 14:44 ny fjernbetjening til DVD afspiller fra 2004 Af Nette i Andet hardware
I dag 12:36 Manglende kode Af Bent i Windows
I går 22:13 Outlook classic "hænger" når jeg vil åbne vedhæftede filer Af torzen i Office & Kontorpakker
White papers
Flere white papers »