Just nu i M3-nätverket
Jump to content

Något försöker kapa webläsaren (IE7).


orca1234

Recommended Posts

Varje gång jag öppnar Internet Explorer (ver.7) reagerar Ad-watch och räknaren för "Blockerade försök att kapa webläsaren" ökar på. Jag misstänker att jag har något "skräp" kvar i datorn som jag inte lyckats rensa bort.

 

Jag har scannat med AVG, Ad-Aware och Spyware Search & Destroy och rensat bort det som fastnat där men det verkar som om det är något kvar som dessa inte klarar av.

 

Jag bifogar en log från HiJackThis som jag tog efter ovanstående åtgärder och undrar om någon vänlig själ kan titta igenom den och tipsa mig om det finns något där som jag ska åtgärda och ifall det är några speciella filer jag ska söka efter samt ta bort. Vore även tacksam för tips på var jag kan hitta information om vad HiJackThis visar så att det blir lättare att åtgärda problemen själv framöver.

 

Tills sist - hur ska man göra för att skydda sin dator så bra som möjligt för att slippa få in en massa skit? (Om man inte vill dra ut sladden till internet förstås!!!)

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 11:37:19, on 2007-02-24

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Grisoft\AVG7\avgamsvr.exe

C:\Program\Grisoft\AVG7\avgupsvc.exe

C:\Program\Vanliga filer\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\devldr32.exe

C:\Program\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Lavasoft\AD-AWA~1\Ad-Watch.exe

C:\Program\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://se.msn.com/'>http://se.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://se.msn.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://se.msn.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {598F4775-6FB6-477B-9842-E0426824E077} - (no file)

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [AVG7_CC] C:\Program\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [CPQEASYACC] C:\Program\Compaq\Easy Access Button Support\cpqeadm.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program\Vanliga filer\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Norton Ghost 10.0] "C:\Program\Norton Ghost\Agent\GhostTray.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AWMON] "C:\Program\Lavasoft\AD-AWA~1\Ad-Watch.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/'>http://www.net2phone.com/ (file missing)

O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9602.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1172011808200

O20 - Winlogon Notify: !SASWinLogon - C:\Program\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVG7\avgupsvc.exe

O23 - Service: iolo DMV Service (ioloDMV) - Unknown owner - C:\Program\iolo\Common\Lib\ioloDMVSvc.exe

O23 - Service: NBService - Nero AG - C:\Program\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program\Vanliga filer\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe[/log]

 

 

Link to comment
Share on other sites

Tills sist - hur ska man göra för att skydda sin dator så bra som möjligt för att slippa få in en massa skit?

Använd ett ovanligt operativsystem.

1) det är inte intressant göra skitprogramm för.

2) det är mycket svårt att få skit att sprida sig för det är så ovanligt.

 

Tex MAC

eller kör någon BSD eller Linux release.

Det finns 100-tals "distributörer" som regelbundet (tex Debian var 3 månad) släpper nya releaser (release=operativsystem+normalt en massa program typ office, CD-DVD bränning, filmvisare etc)

Det betyder att varje release bara omfattar mindre än 1/1000 del av alla datorer som kör "linux" eller "BSD"

och det är ointressant att skriva skit åt dem, hopplöst att få skit sprida sig.

 

Du kan ju testa om det funkar på din dator med Exton Knoppix v5, körs direkt från CDn.

 

http://ftp.port80.se/exton/KNOPPIX-EXTON-v5-CD-683MB-060723.iso

http://linux.exton.net/content.php?article.12

 

Populära releaser som funkar på min dator är Kubuntu 6.06.1 och Mandriva 2007

 

Link to comment
Share on other sites

Tack för tipset men jag tror inte mina datakunskaper har nått den nivån att jag vill byta operativsystem med allt vad det innebär. Vill helst fortsätta att köra windows och ändå vara skyddad mot "otrevligheter".

 

Link to comment
Share on other sites

Jag ser inget otrevligt i HijackThis-loggen, men det kan ju bero på att programmen har tagit bort de delar som skulle synas i loggen. Har Ad-watch något där man kan gå in och få mer information om vad den har stoppat, t ex till vilken webbadress?

 

Starta om datorn, skanna igenom datorn igen och skriv här vad som hittas (cookies vill jag inte se och inte långa listor på vanliga processer heller).

 

I loggen syns det att du har SUPERAntiSpyware i datorn men du skriver inget om att du har skannat igenom datorn med det?

 

Link to comment
Share on other sites

Jag har även kört SUPERAntiSpyware scan i felsäkert läge och den hittade heller inget.

 

Kan det vara så att det inte är något virus/spyware utan helt enkelt en konflikt?

 

När jag startar Internet Explorer 7 så kommer följande sida upp:

http://go.microsoft.com/fwlink/?LinkId=74005

följt av

http://runonce.msn.com/runonce2.aspx

 

Detta är väl den första sidan som ska komma upp efter en IE7 installation.

Jag gör mina val och sparar men det verkar som om detta inte funkar för att nästa gång jag startar IE7 så kommer samma sida upp igen. Det verkar på något sätt som om mina inställningar här inte accepteras/sparas. Ad-Watch reagerar och räknar det som ett blockerat kapningsförsök.

 

Jag kollade lite i Ad-Aware och hittade följande cookies:

@c.se.msn.com/

@live.com/

@m.webtrends.com/

@msn.com/

@rad.msn.com/

 

Tog bort allt gammalt i IE7 (filer, cookies, osv), ovanstående cookies rensades.

Stängde av Ad-Watch och startade IE7 igen, gjorde valen på runonce-sidan och sparade. Stängde IE och öppnade det igen. Den här gången hade inställningarna accepteras och IE gick direkt till hemsidan i IE.

 

När jag sedan startar Ad-Watch så är allt tillbaks på ruta 1. En massa blockerade registerändringar (som den betraktar som kapnings-försök) och runonce-sidan kommer upp igen när jag startar IE.

 

Jag har även testat starta IE utan tillägg och då reagerar Ad-Watch på två upptäckta registerändringar:

Rot:HKEY_CURRENT_USER

Nyckel:Software\Microsoft Explorer\Main

Värde:SearchMigrated

Data:

Nya data:1

 

Rot:HKEY_CURRENT_USER

Nyckel:Software\Microsoft Explorer\SearchUrl

Värde:provider

Data:

Nya data:

 

Ska testa avinstallera Ad-Aware/Ad-Watch, ställa in IE och installera Ad-Aware/Ad-Watch igen och se vad som händer.

 

Är det någon som känner igen det här problemet och kan komma med lite tips?

PS. Jag har nyligen uppgraderat datorn från Win98 till Win XP (inkl alla uppdateringar) samt uppdaterat Java.

 

 

Link to comment
Share on other sites

PROBLEMET LÖST!

 

Lösning:

1. Avinstallera Ad-Aware/Ad-Watch

2. Fixa inställningen i IE7

3. Installera Ad-Aware/Ad-Watch igen (hjälpte inte att bara avaktivera Ad-Watch under IE7 inställningaen)

 

Frid o fröjd, IE7 startar med min valda hemsida och Ad-Watch rapporterar inga blockerade kapnings-försök.

 

 

Link to comment
Share on other sites

Cecilia - var kan man hitta info om betydelsen för de olika sakerna som HiJackThis visar? Man vill ju inte ta bort något som ska vara kvar...

 

Undrar både för ev framtida behov samt eftersom det finns ett par rader i min log där det står "no name" och "file missing".

 

Link to comment
Share on other sites

Vad bra att du löste det hela! :thumbsup: Jag vet inte hur det är tänkt att Ad-watch ska fungera, men man borde ju kunna godkänna de förändringar man vill ha gjorda.

 

Här finns en tutorial i HijackThis: http://www.bleepingcomputer.com/tutorials/tutorial42.html

Men den har några år på nacken vid det här laget, det bästa är att googla på det man undrar om (eller fråga i Eforum). Man kan också slå upp filnamn etc på http://malwareremoval.com/search.html

 

Tack för poängen! :)

 

Detta är en registerrad som är kvar efter en avinstallation, möjligen kommer den in i samband med installationen av IE7 för det tycks finnas en sådan här rad i nästan alla loggar sista månaden.

O2 - BHO: (no name) - {598F4775-6FB6-477B-9842-E0426824E077} - (no file)

Kan bockas för och fixas i HijackThis. Internet Explorer måste vara avslutad när man fixar R-, O2-, O9- och O16-rader.

 

O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)

Man kan inte lita på (file missing), men om du inte använder Net2Phone längre så kan den fixas.

 

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

Som ovan.

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...