Startsida trots "about: blank"

[Gubben99]

När jag startar Internet Explorer kommer jag till "http://search.msn.se/results.aspx?srch=105&FORM=AS5&q=Internet+Explorer", dvs msn sök med Internet Explorer färdigt i sökrutan. Är det ett virus eller? Som startsida har jag valt "blank". Jag har kört mot adware utan träff. Adressen återfinns inte i registryt vid sökning.

Hjälp!

 

[Cecilia]

Det verkar ju inte vettigt att ett virus skulle göra så att du bara kom till MSN, de brukar se till att man kommer till mycket otrevligare sidor.

Går det att välja någon annan sida, Eforum t ex, och det är kvar efter avstängningen av Internet Explorer?

 

[Gubben99]

Gjorde "http://di.se/Nyheter/" som startsida, men kom ändå till MSN sök och "Internet+Explorer"!

 

[Cecilia]

Då är det nog bäst att din dator kollas upp. Du är säker på att det är den senaste Ad-aware du har, SE 1.05 just uppdaterad?

Kolla dessa instruktioner för inställningar:

http://www.lavasoftsupport.com/index.php?showtopic=42066

Något du missat?

 

Kör on-line skanningar:

http://housecall.trendmicro.com/housecall/start_corp.asp

http://www.pandasoftware.com/activescan/com/activescan_principal.htm

 

Kör dessutom Spybot:

http://www.safer-networking.org/en/download/index.html

 

Och sedan HijackThis:

http://www.majorgeeks.com/download3155.html

Kör det, skanna, spara loggen och lägg sedan ut den i ditt svar tillsammans med resultaten från de andra programmen.

 

Obs! Loggar ska läggas ut i svar på följande sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

Tillägg: Har du ändrat någon inställning i Intenert Explorer nyligen?

[inlägget ändrat 2004-11-29 14:55:29 av Cecilia]

[Gubben99]

Det blev ingen skillnad, jag kommer till "http://search.msn.se/results.aspx?srch=105&FORM=AS5&q=Internet+Explorer" i alla fall!

 

[log]Logfile of HijackThis v1.98.2

Scan saved at 15:24:01, on 2004-12-01

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\ID2SCAPS.EXE

C:\PROGRAM\F-SECURE\COMMON\FSMA32.EXE

C:\PROGRAM\F-SECURE\COMMON\FSMB32.EXE

C:\PROGRAM\F-SECURE\COMMON\FCH32.EXE

C:\PROGRAM\F-SECURE\COMMON\FNRB32.EXE

C:\PROGRAM\F-SECURE\COMMON\FAMEH32.EXE

C:\PROGRAM\F-SECURE\COMMON\FIH32.EXE

C:\PROGRAM\F-SECURE\ANTI-VIRUS\FSGK32.EXE

C:\PROGRAM\F-SECURE\ANTI-VIRUS\FSSM32.EXE

C:\PROGRAM\F-SECURE\ANTI-VIRUS\FSAV32.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\ATIPTAXX.EXE

C:\PROGRAM\REAL\REALPLAYER\REALPLAY.EXE

C:\PROGRAM\F-SECURE\COMMON\FSM32.EXE

C:\PROGRAM\VANLIGA FILER\ADAPTEC SHARED\CREATECD\CREATECD50.EXE

C:\PROGRAM\ADAPTEC\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE

C:\PROGRAM\F-SECURE\BACKWEB\7681197\PROGRAM\BACKWEB-7681197.EXE

C:\PROGRAM\ID2\CSP\ID2CERTMOVER.EXE

C:\PROGRAM\MICROSOFT OFFICE\OFFICE\1053\MSOFFICE.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE

C:\PROGRAM\VANLIGA FILER\SYSTEM\MAPI\1053\95\MAPISP32.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\PROGRAM\CIBS3\CIBS.EXE

C:\PROGRAM\INTERNET EXPLORER\IEXPLORE.EXE

C:\FOLKES BRAOHA\SPYWARE\HIJACKTHIS\HIJACKTHIS.EXE

C:\PROGRAM\MICROSOFT OFFICE\OFFICE\WINWORD.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://di.se/Nyheter/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: (no name) - {8E718888-423F-11D2-876E-00A0C9082467} - (no file)

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe

O4 - HKLM\..\Run: [Aktivitetsfältet] SysTray.Exe

O4 - HKLM\..\Run: [RealTray] C:\Program\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\F-Secure\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [CreateCD50] "C:\Program\Vanliga filer\Adaptec Shared\CreateCD\CreateCD50.exe" -r

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe

O4 - HKLM\..\RunServices: [iD2Scaps] C:\WINDOWS\SYSTEM\id2scaps.exe

O4 - HKLM\..\RunServices: [fsaa] C:\Program\F-Secure\Common\fsaa.exe

O4 - HKLM\..\RunServices: [F-Secure Management Agent] C:\Program\F-Secure\Common\FSMA32.EXE

O4 - Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O4 - Startup: iD2 CSP Certificate Utility.lnk = C:\Program\iD2\CSP\iD2CertMover.exe

O4 - Global Startup: F-Secure BackWeb.lnk = C:\Program\F-Secure\BackWeb\7681197\Program\backweb-7681197.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O12 - Plugin for .sgn: C:\PROGRAM\INTERN~1\PLUGINS\npSign.dll

O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - https://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

 

 

[/log]

 

[inlägget ändrat 2004-12-01 18:10:08 av Monshi]

[Cecilia]

Vad är det som är svårt att förstå i texten om hur man lägger ut loggar? Jag skulle gärna vilja förbättra den så att den är lättare att förstå.

 

Det finns ett antal säkerhetsuppdateringar att hämta ner från Windows Update. Gör det!

 

Vet du vad programmet CIBS är för något? Finns i mappen C:\Program\Cibs3. Hittar inget om det på internet.

 

Kan du söka på hårddisken och tala om i vilka mappar du hittar filen systray.exe? Behöver veta om du bara har bra sådana filer eller om du har en som hör ihop med ALADINZ.P trojan. För varje fil som du hittar på den högerklicka och välj Egenskaper och titta på fiken Version, står det någon annan tillverkare än Microsoft på någon? Du kan behöva ställa in för att se dolda filer mm så här: Utforskaren - Verktyg - Mappalternativ - Visning:

Välj Visa dolda filer och mappar

Avbocka Dölj filnmnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

Bocka för Visa innehållet i systemmappar

 

SpywareStormer är inte ett bra program att använda. Se här:

http://www.spywarewarrior.com/rogue_anti-spyware.htm#products

Går det att avinstallera från Kontrollpanelen - Lägg till och ta bort program?

 

Ladda hem och kör CWShreddar. Välj standalone version på denna sida:

http://www.intermute.com/spysubtract/cwshredder_download.html

Tala om i fall programmet rapporterar något och i så fall vad.

 

Kör och skanna med HijackThis. Bocka för följande rader:

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

O3 - Toolbar: (no name) - {8E718888-423F-11D2-876E-00A0C9082467} - (no file)

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab

 

Avsluta alla program förutom HijackThis.

Tryck på Fix checked.

Starta om och ta ut en ny HijackThis-logg och posta den här, dock med användning av LOG-knappen (-rutan), tack!

Tala också om hur svaren på ovanstående frågor och om din startsida har blivit bättre.

 

 

[Gubben99]

Felet kvarstår.

Cibs är ett eget program som inte har med frågan att göra.

[log]

Logfile of HijackThis v1.98.2

Scan saved at 17:48:00, on 2004-12-01

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\ID2SCAPS.EXE

C:\PROGRAM\F-SECURE\COMMON\FSMA32.EXE

C:\PROGRAM\F-SECURE\COMMON\FSMB32.EXE

C:\PROGRAM\F-SECURE\COMMON\FCH32.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\ATIPTAXX.EXE

C:\PROGRAM\REAL\REALPLAYER\REALPLAY.EXE

C:\PROGRAM\F-SECURE\COMMON\FSM32.EXE

C:\PROGRAM\VANLIGA FILER\ADAPTEC SHARED\CREATECD\CREATECD50.EXE

C:\PROGRAM\ADAPTEC\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE

C:\PROGRAM\F-SECURE\BACKWEB\7681197\PROGRAM\BACKWEB-7681197.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM FILES\INTERMUTE\SPYSUBTRACT\SPYSUB.EXE

C:\PROGRAM\ID2\CSP\ID2CERTMOVER.EXE

C:\PROGRAM\MICROSOFT OFFICE\OFFICE\1053\MSOFFICE.EXE

C:\PROGRAM\F-SECURE\COMMON\FNRB32.EXE

C:\PROGRAM\F-SECURE\COMMON\FAMEH32.EXE

C:\PROGRAM\F-SECURE\COMMON\FIH32.EXE

C:\PROGRAM\F-SECURE\ANTI-VIRUS\FSGK32.EXE

C:\PROGRAM\F-SECURE\ANTI-VIRUS\FSSM32.EXE

C:\PROGRAM\F-SECURE\ANTI-VIRUS\FSAV32.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\FOLKES BRAOHA\SPYWARE\HIJACKTHIS\HIJACKTHIS.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://di.se/Nyheter/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe

O4 - HKLM\..\Run: [Aktivitetsfältet] SysTray.Exe

O4 - HKLM\..\Run: [RealTray] C:\Program\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\F-Secure\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [CreateCD50] "C:\Program\Vanliga filer\Adaptec Shared\CreateCD\CreateCD50.exe" -r

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe

O4 - HKLM\..\RunServices: [iD2Scaps] C:\WINDOWS\SYSTEM\id2scaps.exe

O4 - HKLM\..\RunServices: [fsaa] C:\Program\F-Secure\Common\fsaa.exe

O4 - HKLM\..\RunServices: [F-Secure Management Agent] C:\Program\F-Secure\Common\FSMA32.EXE

O4 - Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe

O4 - Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O4 - Startup: iD2 CSP Certificate Utility.lnk = C:\Program\iD2\CSP\iD2CertMover.exe

O4 - Global Startup: F-Secure BackWeb.lnk = C:\Program\F-Secure\BackWeb\7681197\Program\backweb-7681197.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O12 - Plugin for .sgn: C:\PROGRAM\INTERN~1\PLUGINS\npSign.dll

O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - https://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

[/log]

 

[Monshi]

Flyttar denna tråd till forumet Antivirus och säkerhet

 

/T

Moderator för Internetprogram

 

[Cecilia]

Ledsen, men jag kan inte göra mer innan jag får svar på de andra frågorna jag ställde.

 

[Gubben99]

Jag hade bara en systray.exe, inget av adware-programmen har hittat något. Vid sökning i regedit finns inte "http://search.msn.se/results.aspx?srch=105&FORM=AS5&q=Internet+Explorer".'>http://search.msn.se/results.aspx?srch=105&FORM=AS5&q=Internet+Explorer". Nu söker jag i Windowsmappen efter filer som innehåller texten "http://search.msn.se/results.aspx?srch=105&FORM=AS5&q=Internet+Explorer", noll träff; likaså i C:\Program och C:\Program Files. Ingen av filerna direkt under C:\ innehåller texten "http://search.msn.se/results.aspx?srch=105&FORM=AS5&q=Internet+Explorer".

Fastän jag tog bort "R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost" var den tillbaks när jag idag körde HijackThis

 

[Cecilia]

Kört CWShreddar, den är specialiserad på att åtgärda konstiga startsidor?

Windows Update? Interner Explorer finns i version 6 med många säkerhetshål igentäppta.

Jo, jag såg att ProxyOverride var tillbaks.

 

[vertpre]

 

Att det finns två systray.exe kan bero på att man uppgraderat från Win98 till XP.

 

[Lars2W2]

Jag och flera andra har haft probs med about:blank (sök på uttrycket i detta forum) och jag hade själv god hjälp av tidsstämplarna i \System32, så till vida att man kunde se på dom vad som lades ner samtidigt som about:blank ändrades. Det var lite skit som inget removal hittade. Felsäkert läge, manuellt borttag och det hela var över.

 

Ett långskott, men ändå...

 

[Gubben99]

Win98 har jag. Dock sökte jag nu i C:\ efter filer ändrade senaste månaden och fann under Windows "Patch.exe" från Trend Micro Inc.

Den hade datum 29/11 men mitt problem är äldre än så. Vad är det?

 

[Cecilia]

Trend Micro är ett känt antivirusföretag. Du har kört en virusskanning hos dem, antagligen den 29/11.

 

[Gubben99]

Nu har jag löst problemet:

Gick till "lägg till/ta bort program" och valde "återställa den ursprungliga konfigurationen". Då blev det IE 5.00 med 40 bitars kryptering. Sedan uppgraderade jag till IE 5.5 (vill inte ha 6.0 då den har "hål"). Sedan körde jag "windows upgrade".

Nu kommer "about: blank" upp "som startsida"!

Glad igen men vilket slit!

 

[Cecilia]

Roligt att det löste sig.

Men jag skulle nog inte säga att IE 5.5 har färre hål än senaste 6-versionen. Vill du ha en webbläsare med mindre problem borde du köra Netscape, Mozilla eller Firefox.

 

[Gubben99]

Skiten var tillbaks idag igen. Jag kollade alla filer på C:\ som var ändrade efter igår då jag gjorde jobbet - utan att hitta något. Datorn stod på i natt, vi har hårdvarubrandvägg med portarna 25 och 80 öppna. Är det Bill Gates som styr?

 

[Cecilia]

Vad säger CWShredder?

Menar du inkommande portar?

Har du mail- och webbserver eller?

Info om portar här:

http://www.grc.com/default.htm

Välj ShieldsUp! strax nedanför mitten av sidan.

 

Det är kanske IE som tycker att du ska uppdatera.

 

[Gubben99]

Har Exchange Server 5.5 och webserver i vår serverburk.

CWShredder hittar inget.

 

Jag får väl leva med eländet.

Orkar inte hålla på mer.

 

[Cecilia]

Jag förstår dig, det verkar ju inte precis vara något allvarligt. Om du skulle ändra dig så är kanske Lavasofts forum något för dig, där har de mer kunskap än jag har.

http://www.lavasoftsupport.com/index.php?s=512a98b6e20de133c95975826eaf0fbe&showforum=17

 

 

[Veronica1]

Hej.

Har du provat att köra Spybot Search & Detroy?

Du hittar det här:

http://www.download.com/3120-20_4-0.html?qt=search+%26+destroy&tg=dl-20&search.x=4&search.y=6

 

Jag hade problem med knepiga startsidor som inte gav sig och ovanstående program löste det åt mig.

 

Mvh Veronica

 

[Gubben99]

Jag har gett upp. Prövat allt som detta forum föreslagit. Klickar STOP när IE håller på att öppnas eller tar en länk och går in via så jag slipper se MSN Sök och Internet+Explorer i sökrutan. Dessutom har min dator av sig själv ändrat jpg- och gif-filers öppningsprogram från PSP till IE. Det har jag ändrat tillbaka (2 ggr har det hänt).

GOD JUL och GOTT NYTT ÅR allihopa!