about:blank - på rätt väg

[matsegon]

Ur ont föds alltid något gott, heter det. Och visst! Hade jag inte drabbats av datorproblem och letat på nätet efter info, hade jag heller inte hittat IDG:s Eforum. Ett fantastiskt forum där man kan få svar både direkt och indirekt. Jag fick problem med min stratsida till IE som ändrades till about:blank hela tiden. Ja har haft två inlägg innan detta. Det första svarade Danne på; tack Danne, där jag kunde börja dra i lite trådar. På det andra fick jag svar av Maratonmannen; tack till dig också, som hänvisade till en tråd från 26 november 2003, med samma problem. I den tråden hade bland annat Die Hard svarat. Jag håller på att granska tråden och är inte färdig. Die Hard hänvisade tidigt till en mängd olika program, bland annat ett antivirusprogram, for free, vid namn AVG. Själv använder jag ett betalprogram, Command Antivirus, som jag kör dagligen. Inga virus! Har även laddat ner ett program som letar trojaner. Inga trojaner. Så ladde jag ändå ner Die Hards rekommenderade AVG och körde det. Och detta lilla stora program hittade en äcklig trojanfuling vid namn Trojan horse Startpage.6.AQ på platsen C\WINNT\SYSTEM32\CEIAF.dll. Efter sökning och fix med AVG började saker att fungera bättre. När jag ändrar startsida i registret, ändrar den sig inte efter start av IE. Tyvärr fanns samma trojan kvar vid scanning ett halvt dygn senare, så det kanske ligger någon spy och spökar någonstans, men ändå...

Jag är långt ifrån färdig med mina problem men det börjar att kännas bra eftersom jag har något att ta på. Har någon fler tips så är det välkommet.

Alla historier har en sensmoral, så ock denna: Jag tror jag ändar min startsida, när det nu fungerar, från aftonbladet.se till idg.se.

En sak till: Finns det någon därute (eller därinne) som kan tänka sig att tolka min logfil från Hijack This?

 

Hälsningar Mats

 

[Anjuna Moon]

Titta i följande nyckel i registret och se om du hittar någon fil som verkar skum. (Det lät som om du visste hur man använde regedit, säg till annars)

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

AnjunaMoon

____________________________________________________________

/* There is nothing more permanent than a temporary solution... */

 

[matsegon]

Hej Anjuna Moon!

Jag har tittat i HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run och ja...

Hotkey låter hett men jag vet inte vad det är. P2P Networking vill jag inte ha, så??? De övriga övriga filerna har jag något förhållande till och vill behålla, tror jag.

Jag har gjort en scan med HIjack This som jag bifogar. Du kanske, med dina falkögon, kan hitta något skumt eller annat som jag kan ta bort.

 

/Mats

 

Logfile of HijackThis v1.97.7

Scan saved at 00:05:10, on 2004-06-30

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\SYSTEM32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program\Grisoft\AVG6\avgserv.exe

C:\Program\Command Software\Command AntiVirus\avinitnt.exe

C:\Program\Delade filer\Command Software\dvpapi.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\Program\Command Software\Command AntiVirus\schscnt.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\system32\usrbridg.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\hotkey.exe

C:\WINNT\system32\PRPCUI.exe

C:\Program\Synaptics\SynTP\SynTPLpr.exe

C:\Program\Synaptics\SynTP\SynTPEnh.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\COMMAN~1\COMMAN~1\untray.exe

C:\Program\COMMAN~1\COMMAN~1\dvprpt.exe

C:\Program\COMMAN~1\COMMAN~1\avtray.exe

C:\Program\QuickTime\qttask.exe

C:\Documents and Settings\Mats Lundberg\Mina dokument\iclogin1.2\iclogin.exe

C:\Program\The Cleaner\tca.exe

C:\Program\The Cleaner\tcm.exe

C:\WINNT\system32\P2P Networking\P2P Networking.exe

C:\Program\Grisoft\AVG6\avgcc32.exe

C:\WINNT\system32\internat.exe

C:\freescan\freescan.exe

C:\Program\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Program\Nationalencyklopedin\NE_sokverktyg_20\NeHotKey.exe

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\Program\Microsoft Office\Office\OUTLOOK.EXE

C:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aftonbladet.se'>http://www.aftonbladet.se'>http://www.aftonbladet.se'>http://www.aftonbladet.se

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aftonbladet.se

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aftonbladet.se

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy1.telia.com:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = login1.telia.com

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.aftonbladet.se

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: e-kort Browser Helper Object - {1C900459-DEEF-4aa9-B260-1EF0F0C70A8D} - C:\WINNT\system32\Bhoekort.dll

O2 - BHO: (no name) - {3647498A-E42A-4E23-8CA2-DC1BC0678D33} - C:\WINNT\system32\lmahkba.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winnt\downloaded program files\googletoolbar2.dll

O3 - Toolbar: Sök i NE - {ACECC8E8-45A5-41ec-A82A-B3363103E293} - C:\Program\Nationalencyklopedin\NE_sokverktyg_20\NeToolbar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar2.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Hotkey] hotkey.exe

O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [CSAV_CheckViruses] C:\Program\COMMAN~1\COMMAN~1\vchk.exe

O4 - HKLM\..\Run: [untray] C:\Program\COMMAN~1\COMMAN~1\untray.exe

O4 - HKLM\..\Run: [dvprpt] C:\Program\COMMAN~1\COMMAN~1\dvprpt.exe

O4 - HKLM\..\Run: [avtray] C:\Program\COMMAN~1\COMMAN~1\avtray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iC Login] "C:\Documents and Settings\Mats Lundberg\Mina dokument\iclogin1.2\iclogin.exe"

O4 - HKLM\..\Run: [tcactive] C:\Program\The Cleaner\tca.exe

O4 - HKLM\..\Run: [tcmonitor] C:\Program\The Cleaner\tcm.exe

O4 - HKLM\..\Run: [P2P Networking] C:\WINNT\system32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [AVG_CC] C:\Program\Grisoft\AVG6\avgcc32.exe /STARTUP

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [TClockEx] C:\Program\TClockEx\TCLOCKEX.EXE

O4 - HKCU\..\Run: [spyware Begone] C:\freescan\freescan.exe -FastScan

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: NE sökverktyg 2.0.lnk = C:\Program\Nationalencyklopedin\NE_sokverktyg_20\NeHotKey.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Sök i NE - res://C:\Program\Nationalencyklopedin\NE_sokverktyg_20\NeToolbar.dll/NeSearch.html

O8 - Extra context menu item: Translate into English - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmtrans.html

O8 - Extra context menu item: Translate Page - res://c:\winnt\downloaded program files\GoogleToolbar_en_2.0.95-deleon.dll/cmtrans.html

O8 - Extra context menu item: Översätt i NE - res://C:\Program\Nationalencyklopedin\NE_sokverktyg_20\NeToolbar.dll/NeTranslate.html

O9 - Extra button: e-kort (HKLM)

O9 - Extra button: Real.com (HKLM)

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {0990D180-4226-4530-9777-AB82315505B9} (Installer Class) - http://www.foreningssparbanken.se/betala/ekort/oinstall_orbiscomsigned.cab

O16 - DPF: {1589FA52-CD16-AB01-11CE-00ABBA05F214} - http://www.xblock.com/download/ppsweeper.exe

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://bin.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,64/mcinsctl.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37784.0122453704

O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://bin.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,11/mcgdmgr.cab

O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.aftonbladet.se/it/special/command/cod/cabs/cssweb.cab

O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

 

 

[Anjuna Moon]

Jag är tyvärr inte så insatt i Hijack this, så jag vill inte ge dig några råd jag inte kan stå 100% för. Fast följande rad kan ju vara boven:

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank

 

Du får mer tillförlitlig hjälp av ex. DieHard eller Malou, så vi får hoppas att de tittar in inom kort.

 

AnjunaMoon

____________________________________________________________

/* There is nothing more permanent than a temporary solution... */

 

[matsegon]

Jag avvaktar fler svar, men tack ändå. Jag har ändrat den raden till min ordinarie startsida.

 

/Mats

 

[Lillkrax]

j! Jag och sambon har i går, städat datorn som tokar, efter att vi fick in det där nedrans about:blank i datorn..Puh! Så vi har jobbat och sökt info på nätet.

Har en vän som har en kanonsajt ang virus/datasäkerhet=

http://www.ma-design.net/virus/anti.html

Hon har mejlat med mig och jag fick instruktioner som jag tror tillslut har hjälpt oss få bort detta otyg.

 

Vi har xp så då behövde vi =

1-stänga av *system restore/systemåterställningar*

2-starta om datorn i *felsäkert läge*

3-scanna dator med allt vi äger och har. ( glöm föressten inte att uppdatera alla programmen som ska scanna)

4. köra hijackthis och ta bort det som verkar misstänkt.

Vi hittade det misstänkta där, men jag måste VARNA=ta inte bort

nåt som du inte är riktigt säker på , utan spara en loggfil och sänd in till forum som detta.

 

Såg att du hade gjort det föressten kommer jag ju i håg nu.

:-))

 

Det som hänt oss är att vi haft denna kapare i datorn lite för länge nu tror vi.

Det är nämligen en hel del som krånglat.

Zoon alarm ( brandväggen ) började fåna sig och hade tydligen ställts in av *nån*(??) inte var det av oss i alla fall.

Efter storstädningen så hittar vi inte brandväggen alls..Jisses!

 

Northon gick inte att scanna med i felsäkert läge och den har även fel på mejlskyddet och så går det inte att ha live-update igång.

Fattar noll.

Vi ska byta och köpa Northon security med brandvägg och massa finesser som kostar runt 1000-lappen.

Orkar inte ha en sån här lättsmittad dator längre.

Vi laddar aldrig ner nåt nu för tiden , utan att tänka oss för rejält

men ändå har vi som en öppen motorväg in i datorn verkar det som

ocn vi hade över 20 virus sist vi scannande.

 

+ att vi uppdaterar alla scanningprogram med senaste säkerhetspatchar refernefiler osv.

 

Hoppas du lyckas få bort about:blank för gott nu.

Ha det fint!

Ankie

 

[[Esc]]

Vi ska byta och köpa Northon security med brandvägg och massa finesser som kostar runt 1000-lappen.

Du får inte en bättre brandvägg i Norton Internet Security. Möjligtvis får du en något bättre virusscanner än AVG, som jag såg i HJT-loggen att du hade.

ZoneAlarm ger ett lika bra skydd (Annars rekommenderar jag gärna Kerio Personal Firewall som är gratis)

 

För att få LiveUpdate att fungera, kolla så att du anger rätt användare och lösenord under schemalagda aktiviteter.

 

Antivirusprogrammen tar sällan alla "kaparprogram". För att slippa få en massa kaparprogram rekommenderar jag att du installerar Spywareblaster (http://www.javacoolsoftware.com/spywareblaster.html) och glöm inte att uppdatera den men jämna mellanrum. (Vill du ha både "hängslen och livrem", så kan du komplettera med Spybot S&D och välj "immunisera")

 

Behåll dina program, fixa LiveUpdate och installera Spywareblaster.

 

--

[Esc]

 

[Mano]

tjaba!

Ni som har problem med spyware, trojaner, adaware och jag vet inte vad, varför inte skaffa progr. Pestpatrol www.pestpatrol.com det enda och bästa programmet som verkligen skyddar er i real tid.. bättre program finns inte och ni slipper ha en massa onödiga program som ej skyddar er.. ett komplement till ditt antivirus och brandvägg.. fungerar ypperligt bra och den rensar all skit som inte ska va där! ett måste för er som har problem med "about blank"

 

[Lillkrax]

Hej! Tyvärr tror jag inte att pestpatrol heller kan ta bort dom senaste elakaste och mest krångliga varianterna av about:blank.

Men hoppet är det sista som lämnar en sägs det;-)

 

Du kan läsa här på Merijns sida. Han som gör programmen hijackThis och schredder bl.a.

Han säger att det finns några elaka about:blank som knappt går att ta bort.

Han är så less att han nog inte kommer att ha tid att uppdatera sina utmärkta program då han ska börja plugga.

Men för att nu vara säker på att jag inte tolkar honom fel så rekommenderar jag alla som har blivit drabbade att gå in och läsa en bra stund inne hos honom här:

http://www.spywareinfo.com/%7Emerijn/cwschronicles.html#aboutblank

 

Om ni har skiten i datorn så kan det hända att ni inte kommer in på hans hemsida. Jag gjorde inte det förut i dag, men senare så gick det bra.

Han har även gjort en bild på en länk man kan ha i reserv.

& han skriver att man kan få svårt att komma in på sidan om man är smittad.

 

Vi får kämpa på & ta reda på så mycket som möjligt, innan vi slänger ut komputterna från fönstret.*skojar lite*

Om detta inte går att åtgärda så byter jag webläsare.

Har precis mejlat frågab till en kunnig människa angående detta.

 

Nämligen:

http://www.ma-design.net/virus/anti.html

 

Är ju inte säker på att ens det hjälper mot det som denna invaderare och vandal redan ställt till i datorn och ev kan fortsätta ställa till med om den ligger kvar.

T.ex så får jag upp information om att det virituella minnet är för litet med jämna mellanrum:-(

 

Nu har jag säkert lagt ner ca 40 timmars jobb på detta skrutt.

Återkommr och kollar läget här i forumet då och då.

Ha det bra!

Ankie

 

[Lillkrax]

Glömde säga:

Den pestpatrol som man scannar online på länken du angav, den tar inte bort nånting, utan rapporterar bara om vad man har fått in i datorn.

Det är mycket riskabelt att försöka ta bort nåt av detta och gå in i registret om man inte vet vad man gör.

 

Man måste köpa Pestpatrol om det programmet ska ta bort nåt.

& ändå är det tveksamt OM den tar bort de här senaste about:blank-grejorna.

 

Jag har en Adware-away som jag fått prova i en vecka.

Den verkar superbra, men tyvärr fick man inte ha den längre än så

Inte heller den kan ta bort det som vi nu har i datorn, för det hann

jag i alla fall försöka med.

Nej!

Då köper jag inte ens detta programmet hur bra det än verkar.

Tror att gratisvarianterna tar bort de mer skonsamma smittorna och det finns nog inget program än, som tar bort de här elaka.

Om nån vet bättre så skriiiiiv hit nuuuu!!!!!

 

Mvh!

Ankie

 

[Lillkrax]

Tackar för råd och tips!

Jag hörde av en kompis att bara Northon2004 tydligen är buggigt.?

Vet inte om paketet med intenet security2004 är nåt bättre?

 

Nu har vi köpt en 3com 11G-router, trådlös med modem i + en enkel brandvägg. ( ska givetvis ha zoonalarm kvar eller nån annan brandvägg)

Hittade den på detta stället som verkar billigt =

http://www.dabus.se

 

Ska försöka fixa Northon som vi har nu, annars kan jag avinstallera det

& prova nåt av dina förslag.

Ha det fint!

Ankie

 

[Lillkrax]

Ups då!:::redigerar:: Detta är ett svar på ett inlägg mycket längre upp i tråden från {Esc] + att jag nu postat 2 ggr av misstag .Sorry!

---------------------------------------------

Tackar för råd och tips!

Live update fixade tydligen sambon.:-)

Att inte antivirus tar kapare, visste jag redan.

Har nog inte postat nån logg tror jag? Kanske blandar du ihop mig

med nån annan? Så AVG virusskydd har vi inte utan istället Northon2002.

 

Jag hörde av en kompis att bara Northon2004 tydligen är buggigt.?

Vet inte om paketet med intenet security2004 är nåt bättre?

 

Nu har vi köpt en 3com 11G-router, trådlös med modem i + en enkel brandvägg.

( ska givetvis ha zoonalarm kvar eller nån annan brandvägg)

Hittade den på detta stället som verkar billigt =

http://www.dabus.se

 

Ska försöka fixa Northon som vi har nu, annars kan jag avinstallera det

& prova nåt av dina förslag.

Ha det fint!

Ankie

 

[inlägget ändrat 2004-07-06 05:03:17 av Lillkrax]

[Gubbero]

Tyvärr verkar det inte finnas någon rätt lösning på detta problem. Hade själv about blank och använde alla tänkbara program för att få bort skiten, adaware, spywareblaster, spybot, cwscredder, etc. Ta bort saker i registret hjälpte inte heller.

När jag tillslut bara satt i timmar framför datorn och rensade skit så blåste jag om hela datorn och installerade allt på nytt. Tog ett tag men jösses vad fräscht det kändes.

Installerade sen alla virusprogram och antispyware, plus en windowspatch som gjorde att jag klarade mig till windows update innan jag blev överfallen när jag väl satte i nätverkssladden.

 

Vet att det inte är ett alternativ för alla att formatera om men ibland är man tvungen att bita i det sura äpplet. Lycka till i vilket fall.

 

 

Ps. Har inte haft några problem sen dess, kör bla. Norton, spywareblaster och ZoneAlarm brandvägg. Förbannat tråkigt att man ens ska behöva så mycket skydd!

 

[Lillkrax]

:-) Ja! jag har just bett sambon leta rätt på alla lösenord, så vi också kan blåsa ur datorn.

Det låter härligt att den blev så fräch!!!!!

Spywearblaster ska vara bra då den hindrar såna här aktivX kontroller från fulprogrammen. Man kan tydligen bestämma vilka som ska få ha såna genom att skriva url i den säkra internetzonen.

Om jag fattade rätt.

I morse så laddade jag hem detta programmet, men denna viiidriga about:blank har förstört det programmet så fort den kom in i datorn.

Hemskt att det klarar av det med.

Det kom upp en skylt som talade om att skadlig kod eller ett virus förstört programmet och de bad mig att ladda ner det på nytt.

Tror jag väntar med det till dess vi blåst ur datorn.

 

Ska göra ett sista försök efter Merijns instruktioner så man kan skriva en sammanfattning om eländet och posta som en insänderare på en nätväns antivirussida, som jag lovat henne.

 

Tack för stöd!

Mvh!

Ankie

 

[Monshi]

Jaaaaa!! Jag kanske har snubblat över en lösning på detta!!!

 

Nu fungerar ivartfall både Spywareblaster och Trend Mivro Housecall på min dator.

 

Vad har jag gjort, bortsett från att jag ägnat timmar åt att söka runt på internet?

 

Jo

I registret finns det en nyckel:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

som helt enkelt anger en dll som ska laddas vid varje programstart. Det är här trojanen verkar gömma sig. Värdet i nyckeln är dolt och inte klart läsbart.

 

Jag hittade det hela på denna sida:

http://www.faqfarm.com/Computer/Virus/19285

Där fanns det en metod jag testade:

1: Döp om HLM\Software\Microsoft\Windows NT\CurrentVersion\Windows till Windows2.

2: Radera AppInit_DLLs under Windows2

3: Återställ namnet Windows2 till Windows

 

 

Först testade jag med att bara radera nyckeln Appinit_dlls men den återkom då efter en omstart.

 

Just nu kör jag Housecalls virusscan och ska se om den hittar den verkliga boven, dvs DLL-filen som laddats via Appint_DLLs.

 

Jag är ännu inte helt säker på att detta löser det hela, men två fel har ivartfall rättats till vilket får mig att tro att jag är på rätt väg.

 

 

/T

 

Even when we know we´ll never find the answers, we have to keep on asking questions.

 

[Lillkrax]

VÄL KÄMPAT!!!

:-)

Tror du är på rätt väg eftersom jag läst hos Merijn att denna gömmer sig ordentligt.

Jag ska läsa på länken.

 

På sätt och vis lär man sig lite mer på grund av denna skiten så det är väl det enda roliga med det hela:-))

Berätta gärna mer sen om hur det går!

Mvh!

Ankie

 

[Monshi]

Tror (hoppas) inget mer kommer att hända i datorn nu. Efter jag tagit bort värdet har - inget - hänt. Annat än det jag nämnde i tidigare inlägget.

 

själva about:blank var jag redan av med, men ett uppdaterat och utbytt antivirusprogram varnade någon gång per dag för att trojanen Win32.startpage skrevs till en DLL-fil. Om inte AV-programmet upptäckt skrivningen hade jag nog sett about:blank igen.

 

Lite konstigt är att inget program, efter raderingen av registervärdet, har hittat själva källan till det onda, dvs den moderfil som borde finnas på min dator. Okej - någon konstighet hittade Trend Micros online-scan men inget som verkade ha med about:blank/Win32.startpage att göra. Kanske det med andra ord finns kvar spår av trojanen i datorn, men tack vara att registervärdet raderades är de inte längre aktiva. De laddas inte.

 

Värt att notera - det verkar finnas ett antal varianter av denna plåga. Ett recept fungerar inte hos alla därav denna allmäna förvirring som står att finna i många forum på internet.

 

mmh, läser lite och följer länkar, är det kanske denna jag bråkat med??

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_AGENT.AC

 

 

Lycka till själv!

 

 

/T

 

Even when we know we´ll never find the answers, we have to keep on asking questions.

 

[Lillkrax]

Ja!

Det finns flera varianter och om man har riktig otur så får man 2 stycken samtidigt..Nåt med ..yellowpages(minns inte rakt av namnet)

 

Du kan med fördel läsa hos Merijn om alla varianterna här:

http://www.spywareinfo.com/~merijn/htlogtutorial.html

 

Jäklars! Det kom upp ett meddelande om att det är nåt fel på servern eller nåt så man kan just nu inte nå hans sidor:-(

Men behåll länken tills senare i alla fall .

 

Sicken tur jag har som bad sambon skriva ut allt han hittade inne hos Merijn, så vi har som underlag då vi ska till att rensa.

 

Det är jobbigt att du inte hittat den sk moderfilen, men kanske den inte kan göra nåt nu då du fått bort det andra?

Det här programmet:*Spywareblaster*

tror jag är det programmet som sitter och "vaktar" och inte släpper in några aktivX från fulprogrammen

och eftersom du , till skillnad från mig,

( fulpesten about:blank försörde ju själva programmet. Snacka om att ha förmågor)

fått det att funka nu, så kommer i alla fall ingen mer in i din dator, tror jag.

 

Tänk om man fick tag på nån av de som skriver denna elaka koden?

Ojoj! Om jag inte blivit mördare tidigare så;-)))

 

Jag gick in på din länk och skrev av det som var därinne och har den också nu som stöd då vi ska rensa.

Tack för den!!

:-)

Ha det bra!

Ankie

 

 

[Lillkrax]

:-)He he! Jag körde fixprogrammet där inne på din senaste länk och den hittade en trojan, fixade den åt mig, men det var inte about:blank utan nån annan, antar jag för efter omstart kom about:blank upp som en trogen hund..

Men bra ändå att jag blev av med nåt i alla fall:-)

Ska in och kika lite till där inne nu.

Ha det!

Ankie

 

[Monshi]

Återkom alltså About:blank?

 

Om du tar nu kör adaware, spybot eller något AV-program hittar de då kanske det övriga som bråkar. Fick en känsla av att den DLL-fil som laddats har blockerat vissa programs funktioner, kanske döljt några filer eller liknande.

 

Testa!

 

Har du kvar värdet i appnnit_dlls?

 

Hoppas du lyckas rensa datorn.

 

Som vanligt kan jag i efterhand konstatera att det hade gått snabbare att installera om XP än att lösa detta problem.

 

/T

 

Even when we know we´ll never find the answers, we have to keep on asking questions.

 

[Lillkrax]

Ja den återkom, men jag har inte hunnit med att ta bort det där i registret och windos osv. ännu.

Är inte haj på sånt, men sambon kan . och han kan inte göra detta förrens i morgon.

 

Hjälper det att ominstallera xp?

I så fall kanske vi gör det istället, men samtidigt känns det som att man

vill veta hur man får bort denna pesten, för då kan man ju visa andra personer hur man gör.

Man blir så sur på de som gör ful-koderna att man liksom inte vill att de ska vinna heller.

Att de ska få tvinga en att omformatera datorn och hålla på.

Om man lär sig så många sätt som möjligt att ta bort såna här så kan det ju gå fortare sen om man blir flink fingrarna på att editera register s a s.

:-)

 

Jag laddade ner trial-versionen av coffe-cups spywearprogram, men de är så fräcka att dom bara lät en scanna och inte ta bort det som programmet hittade.

 

Jag gjorde då en screendump på resultatet då det fanns en grej som lät mysko=:

c/WINDOWS/patch.exe>eAcceleration spyware

( kan inte göra bakåtvända såna här //)

Det ska vara såna.

 

Det här fulprogrammet kan ju tydligen också göra så att man inte kommer in så lätt på sidor som t.ex Merijns.

Helt koko tycker jag.

Måste vara avancerat värre.?

Eller hur kan man göra program som både hindrar program och ser till att man inte når vissa url:s?

 

Ska ringa sambon nu och se om han har tid att supporta mig om jag går in och döper om windows 2 eller vad det var.

:-)

Ha det bra!

Ankie