Just nu i M3-nätverket
Jump to content

startsida!


Guest idgadmin

Recommended Posts

Guest idgadmin

Har varit inne här och läst om problemen med att man får en startsida som är oönskad. Har själv detta problem, och jag kan inte få bort den. Har testat alla råd som står här, regedit, spyboot m.m. varje gång jg startar om datorn finns den där igen. Någon som har något annat knep. sidan jag får upp varje gång är http://bebvqy.t.muxa.cc/%68%2E%70%68%70?%61%69%64=420. Jag kör med XP

 

Link to comment
Share on other sites

Kymlicka hej :-)

 

Det är en "CoolWebSearch"-infektion du har och AdAware hittar och tar bort den , men du måste ha programmet inställt till "Custom scan.

 

För att ställa in AdAware för bästa resultat, läs info här : http://www.lavasoftsupport.com/index.php?showtopic=14136

 

Glöm inte heller att uppdatera referens-filen genom att klicka på "check for updates" i huvudfönstret.

 

 

Hälsning

 

Die Hard

 

 

 

Link to comment
Share on other sites

Guest idgadmin

 

har testat att ställa in AdAware som det stod i manualen men startsidan finns där när jag startar om datorn.

 

Link to comment
Share on other sites

Kymlicka, hej :-)

 

Ok, då tar vi bort det manuellt.Gör så här:

Först gå hit och hämta HiJack This, högst upp på sidan:

http://www.sherrylynn.us/privacypolicy.htm

Lägg den i en mapp bland program.Klicka sedan "HiJackThis.exe" och "scan" .Knappen visar sedan "Save logfile" klicka och lägg den någonstans, en textfil kommer då fram. Kopiera den hit och låt oss titta på den, så är du snart av med skräpet.

 

"Fixa" ingenting själv, då det mesta i logfilen är viktiga komponenter till ditt system.

 

Die Hard

 

 

 

Link to comment
Share on other sites

Guest idgadmin

 

Logfile of HijackThis v1.97.7

Scan saved at 18:13:26, on 2004-03-03

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Winamp3\winampa.exe

C:\Program\Real\RealPlayer\RealPlay.exe

C:\WINDOWS\System32\igfxtray.exe

C:\Program\F-Secure\Common\FSMA32.EXE

C:\Program\F-Secure\Common\FSMB32.EXE

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Program\The Cleaner2\tca.exe

C:\Program\F-Secure\Common\FSM32.EXE

C:\Program\D-Tools\daemon.exe

C:\Program\F-Secure\Common\FCH32.EXE

C:\Program\The Cleaner2\tcm.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\ZONELA~1\ZONEAL~1\zlclient.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program\F-Secure\Common\FAMEH32.EXE

C:\Program\F-Secure\Common\FSGK32.EXE

C:\Program\F-Secure\Common\FNRB32.EXE

C:\Program\F-Secure\Common\FIH32.EXE

C:\Program\F-Secure\Anti-Virus\fsav32.exe

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\Program\Messenger\msmsgs.exe

C:\Program\ICQ\ICQ.exe

C:\Program\Outlook Express\msimn.exe

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\download\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://login1.comhem.se'>http://login1.comhem.se'>http://login1.comhem.se

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://login1.comhem.se

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login1.comhem.se/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://bebvqy.t.muxa.cc/s.php?aid=420'>http://bebvqy.t.muxa.cc/s.php?aid=420'>http://bebvqy.t.muxa.cc/s.php?aid=420'>http://bebvqy.t.muxa.cc/s.php?aid=420 (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://bebvqy.t.muxa.cc/h.php?aid=420 (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://bebvqy.t.muxa.cc/s.php?aid=420 (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://bebvqy.t.muxa.cc/s.php?aid=420 (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://bebvqy.t.muxa.cc/s.php?aid=420 (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = IE_Window_Title

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://proxy1.telia.com:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = http://login1.telia.com;http://10.0.0.6;;localhost;

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://login1.comhem.se

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [WinampAgent] "C:\Program\Winamp3\winampa.exe"

O4 - HKLM\..\Run: [RealTray] C:\Program\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [tcactive] C:\Program\The Cleaner2\tca.exe

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\F-Secure\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [sys] regedit -s sys.reg

O4 - HKLM\..\Run: [tcmonitor] C:\Program\The Cleaner2\tcm.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [Ad-aware] C:\Program\Lavasoft\Ad-aware 6\Ad-aware.exe +c

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra 'Tools' menuitem: Sun Java-konsol (HKLM)

O9 - Extra button: ICQ Pro (HKLM)

O9 - Extra 'Tools' menuitem: ICQ (HKLM)

O9 - Extra button: Yahoo! Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O12 - Plugin for .pdf: C:\Program\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

så här ser logfilen ut

 

Link to comment
Share on other sites

Kymlicka , hej :-)

 

Stäng alla öppna applikationer samt IE, kör HJT och sätt en bock bredvid följande detaljer.Klicka sedan "fix checked" :

 

[FET]R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://bebvqy.t.muxa.cc/s.php?aid=420'>http://bebvqy.t.muxa.cc/s.php?aid=420'>http://bebvqy.t.muxa.cc/s.php?aid=420'>http://bebvqy.t.muxa.cc/s.php?aid=420 (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://bebvqy.t.muxa.cc/h.php?aid=420 (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://bebvqy.t.muxa.cc/s.php?aid=420 (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://bebvqy.t.muxa.cc/s.php?aid=420 (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://bebvqy.t.muxa.cc/s.php?

O4 - HKLM\..\Run: [sys] regedit -s sys.reg[/FET]

 

Den här har du gjort själv antar jag ? Det är "Immunize"-funktionen i Spybot. Den hjälper inte så mycket, det är mest besvärligt, eftersom du inte kommer in i "Internetalternativ" och kan ändra.

Du bestämmer om du vill ha den kvar, annars sätt en bock bredvid den också.

O6 -HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

 

Sedan skall du starta om.Efter omstart sök i dolda filer och mappar efter :

sys.reg

om du ville lägga den i en tempmapp och skicka den till oss, så vi får titta på den.Det är en "gammal och kär" fil, som tydligen ändrat egenskaper.Det är den som laddar dina start-och-söksidor, hur många gånger du än ändrar dom tillbaka.

 

Du laddar upp den här: http://www.lavahelp.com/submit/index.html

Sedan kastar du bort den och tömmer papperskorgen.

 

Hälsning

 

Die Hard

Moderator/XpertTeam

http://www.Lavasoftsupport.com

 

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...