Notifikationer

Markér alle som læst Log ud

lars__ Nybegynder

26. november 2005 - 13:07 Der er 12 kommentarer

IE er blevet overtaget - Hjælp!

IE er blevet overtaget og hver gang jeg bruger IE starter den op i www.updateyoursystem.com.

Og jeg har på fornemmelsen at problemet er ved at blive større.

Der er åbentbart også andre som har oplevet problemer: http://www.eksperten.dk/spm/605176

Jeg har på fornemmelsen at det er den her som er problemet : O2 - BHO: (no name) - {7caf96a2-c556-460a-988e-76fc7895d284} - F:\WINDOWS\System32\hp20DA.tmp

Jeg kan godt slette den i safemode, men når jeg starter almindeligt op, er den der igen.

Jeg har også kørt CCCleaner. Men hvad gør jeg nu?

Hilsen
Lars

Her er min Hijack log:
Logfile of HijackThis v1.97.7
Scan saved at 13:05:04, on 26-11-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
F:\Program Files\AVPersonal\AVWUPSRV.EXE
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\System32\nvctrl.exe
F:\WINDOWS\System32\mssearchnet.exe
F:\Palm\hotsync.exe
F:\Documents and Settings\Administrator\Desktop\HijackThis.exe
F:\Program Files\Internet Explorer\iexplore.exe
F:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
F:\Program Files\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.politiken.dk/
O2 - BHO: (no name) - {7caf96a2-c556-460a-988e-76fc7895d284} - F:\WINDOWS\System32\hp20DA.tmp
O4 - Global Startup: Adobe Reader Speed Launch.lnk = F:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HotSync Manager.lnk = F:\Palm\hotsync.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

Synes godt om

halvamatoer Nybegynder

26. november 2005 - 13:08 #1

Ikke godt men der er 2 ting du skal se på først.

1. Du skal have installeret SP1, ellers er alt nytteløst- Virus vil komme igen 2 min. efter den er fjernet.
2. Du benytter en gl. version af HTJ. Kig på www.exp.dk/artikler/755 og følg vejledningen der.

Synes godt om

kasper_the_god Nybegynder

26. november 2005 - 13:36 #2

Og til en anden gang bruger du Firefox;)

Synes godt om

strych9 Praktikant

26. november 2005 - 21:08 #3

Jeg tror det er Smitfraud.c du har fået, og der skal SmitRem bruges til at fjerne det med. Du bør, har jeg hørt, ikke forsøge andre værktøjer hvis det er smitfraud, idet din installation hurtigt kan blive total-ødelagt.

Synes godt om

strych9 Praktikant

26. november 2005 - 21:13 #4

Det er noget i den her stil du skal udføre. Link til smitrem er der også:
http://www.eksperten.dk/spm/654538

Synes godt om

lars__ Nybegynder

27. november 2005 - 16:30 #5

Tak for de gode råd.

Nu har jeg kørt Ewido, HiJackThis, Adaware og Panda Active scan.

Her er Hijackthis loggen:

Logfile of HijackThis v1.97.7
Scan saved at 16:29:58, on 27-11-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
F:\Program Files\AVPersonal\AVWUPSRV.EXE
F:\Program Files\ewido\security suite\ewidoctrl.exe
F:\Program Files\ewido\security suite\ewidoguard.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\System32\nvctrl.exe
F:\WINDOWS\System32\mssearchnet.exe
F:\Palm\hotsync.exe
F:\Program Files\Internet Explorer\iexplore.exe
F:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
F:\Documents and Settings\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.politiken.dk/
O2 - BHO: (no name) - {7caf96a2-c556-460a-988e-76fc7895d284} - F:\WINDOWS\System32\hp8F3.tmp
O4 - Global Startup: Adobe Reader Speed Launch.lnk = F:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HotSync Manager.lnk = F:\Palm\hotsync.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

Synes godt om

lars__ Nybegynder

27. november 2005 - 16:30 #6

og her er Ewido:

---------------------------------------------------------
ewido security suite - Scan report
---------------------------------------------------------

+ Created on: 15:51:08, 27-11-2005
+ Report-Checksum: 7B09C1D7

+ Scan result:

F:\Documents and Settings\Administrator\Cookies\administrator@adtech[2].txt -> Spyware.Cookie.Adtech : Cleaned with backup
F:\Documents and Settings\Administrator\Cookies\administrator@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Cleaned with backup
F:\Documents and Settings\Administrator\Cookies\administrator@doubleclick[2].txt -> Spyware.Cookie.Doubleclick : Cleaned with backup
F:\Documents and Settings\Administrator\Cookies\administrator@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Cleaned with backup
F:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I34VPQ63\lgs[1].exe/kans.reg -> Trojan.WinREG.LowZones.f : Cleaned with backup
F:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I34VPQ63\lgs[1].exe/kansup.reg -> Trojan.WinREG.LowZones.f : Cleaned with backup

::Report End

Synes godt om

strych9 Praktikant

27. november 2005 - 16:32 #7

Men du har stadigvæk SmitFraud.c - Følg det link du fik, download smitrem og kør den.

Synes godt om

lars__ Nybegynder

27. november 2005 - 16:37 #8

Det prøver jeg :-)

Synes godt om

fromsej Praktikant

27. november 2005 - 16:43 #9

http://www.spywarefri.dk/downloads1/hijackthis.exe
Du skal altså bruge en nyere Hijackthis.

Synes godt om

lars__ Nybegynder

27. november 2005 - 21:44 #10

Det ser ud til at problemet er løst nu :-)

Tak for hjælpen.

mvh.
Lars

Synes godt om

strych9 Praktikant

27. november 2005 - 21:46 #11

Hvis den der er væk så er det ok:
O2 - BHO: (no name) - {7caf96a2-c556-460a-988e-76fc7895d284} - F:\WINDOWS\System32\hp8F3.tmp

Synes godt om

fromsej Praktikant

28. november 2005 - 15:26 #12

Find lige Smitrem.txt og kopier herind også, sammen med en frisk Hijackthislog.

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed	5	17/03/202610:32	18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed	6	02/02/202614:54	03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed	4	13/01/202617:27	14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed	4	13/11/202515:09	14/11/202510:45
Google fake Af johp i Andet sikkerhed	3	27/10/202516:31	28/10/202506:52

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS