Just nu i M3-nätverket
Jump to content

Fel startsida


Guest idgadmin

Recommended Posts

Guest idgadmin

Hej!

 

Får upp fel startsida på internet hela tiden. Kör Ad Aware och den hittar några objekt: Cool Web Search. Tar bort dom ,men problemet kvarstår när jag startar om datorn. Löser Hijack This problemet? Var kan jag hitta det?

 

mvh Håkan

 

Link to comment
Share on other sites

Du har nog en fil som återställer den felaktiga startsidan, kör spybot och se om den hittar nåt mer.

 

AMD Duron 1,2 Ghz 256 MB 20 + 80 GB GeForce 4 MX440 64 MB

 

Link to comment
Share on other sites

Gå till http://www.spywareinfo.com/~merijn/downloads.html och ladda hem CWShredder.

 

Kör programmet, det bör fixa ditt problem.

 

På samma ställe kan du även ladda ner HiJack This.

HiJack This visar vad som finns i datorn, som kan ställa till med liknande problem.

 

När du har kört HiJack This sparar du loggen och klistrar in den här, så får du hjälp med att analysera innehållet.

OBS!

Merparten av det som listas av

HiJack This tillhör systemet.

 

Ingen personlig information finns i loggfilen.

 

 

Link to comment
Share on other sites

Guest idgadmin

Tack för hjälpen!

 

Har laddat hem HijackThis och kört igenom. Här är loggen:

 

Logfile of HijackThis v1.97.7

Scan saved at 09:14:03, on 2004-04-07

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\DRIVERS\CDANTSRV.EXE

C:\WINNT\System32\svchost.exe

C:\OfficeScanNT\ntrtscan.exe

C:\WINNT\System32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\OfficeScanNT\tmlisten.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\Cad\R15\cmt\winvnc.exe

C:\WINNT\system32\svchost.exe

C:\OfficeScanNT\ofcdog.exe

C:\WINNT\Explorer.EXE

C:\Program Files\COMPAQ\Easy Access Button Support\StartEAK.exe

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\OfficeScanNT\pccntmon.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Real\RealPlayer\RealPlay.exe

C:\WINNT\system32\internat.exe

C:\Program Files\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE

C:\Program Files\Compaq\Easy Access Button Support\CPQEADM.EXE

C:\Compaq\EAKDRV\EAUSBKBD.EXE

C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe

C:\Program Files\Microsoft Office\Office\1053\msoffice.exe

C:\Program Files\Hijack\HijackThis.exe

C:\Program Files\Internet Explorer\iexplore.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ibfi.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ibfi.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ibfi.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ibfi.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ibfi.dll/sp.html (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ibfi.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {A39F3C15-F866-40D5-8879-A1980AB15E2C} - C:\WINNT\system32\ibfi.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\COMPAQ\Easy Access Button Support\StartEAK.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScanNT\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38048.0466087963

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

Vad kan fixas?

 

mvh

 

Link to comment
Share on other sites

Det finns ett antal objekt som jag tror är helt ok att ta bort.

Det finns ingen information om dessa på nätet(egentligen är det samma, men på flera platser).

 

Det är:

[FET]

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ibfi.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ibfi.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ibfi.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ibfi.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ibfi.dll/sp.html (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ibfi.dll/sp.html (obfuscated)

 

och

 

O2 - BHO: (no name) - {A39F3C15-F866-40D5-8879-A1980AB15E2C} - C:\WINNT\system32\ibfi.dll

[/FET]

 

Översättningen av obfuscated är fördunkla, komplicera, förvilla.

 

Personligen hade jag tagit bort detta.

Det gör du genom att stänga webbläsaren, köra HJT igen och bocka i objekten.

 

Sök sedan efter ibfi.dll och

sp.html, och ta bort dessa om dom hittas.

Det är möjligt att du måste aktivera visning av dolda mappar och filer för att hitta dessa.

 

 

Link to comment
Share on other sites

Tyvärr är det enklaste svaret på den frågan: så fort du går ut på Internet.

 

Dock är det inte alla sidor..

Men det behöver inte vara varesig

pop-up eller pop-under.

 

Det är mycket svårt att skydda sig helt mot allt sådant.

 

Därför bör man köra program som

Ad-Aware och Spybot med jämna mellanrum.

En kontroll då och då med HJT är inte heller fel.

 

Om du gör en ny scanning med HJT nu, och sparar loggen, så kan du jämföra med den vid nästa tillfälle.

 

 

Link to comment
Share on other sites

Guest idgadmin

Tja!

 

Nu har jag samma problem igen med startsidan. Undrar om det är något mer som ligger i burken som kan vara problemet förutom allt som har med pjp.dll att göra. Kan det vara något program som startar varje gång jag startar datorn

 

Logfile of HijackThis v1.97.7

Scan saved at 08:18:00, on 2004-04-13

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\DRIVERS\CDANTSRV.EXE

C:\WINNT\System32\svchost.exe

C:\OfficeScanNT\ntrtscan.exe

C:\WINNT\System32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\OfficeScanNT\tmlisten.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\Cad\R15\cmt\winvnc.exe

C:\WINNT\system32\svchost.exe

C:\OfficeScanNT\ofcdog.exe

C:\WINNT\Explorer.EXE

C:\Program Files\COMPAQ\Easy Access Button Support\StartEAK.exe

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\OfficeScanNT\pccntmon.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Real\RealPlayer\RealPlay.exe

C:\WINNT\system32\internat.exe

C:\Program Files\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE

C:\Program Files\Compaq\Easy Access Button Support\CPQEADM.EXE

C:\Compaq\EAKDRV\EAUSBKBD.EXE

C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe

C:\Program Files\Microsoft Office\Office\1053\msoffice.exe

C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE

C:\PROGRA~1\Conisio\Client\VIEWSE~1.EXE

C:\Cad\R15\AcadM2002\acad.exe

C:\Program Files\Hijack\HijackThis.exe

C:\Program Files\Internet Explorer\iexplore.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\pjp.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\pjp.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\pjp.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\pjp.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\pjp.dll/sp.html (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\pjp.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {CB986ED9-7445-437D-85D0-7DAFF5E51667} - C:\WINNT\system32\pjp.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\COMPAQ\Easy Access Button Support\StartEAK.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScanNT\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38048.0466087963

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

mvh HH

 

 

Link to comment
Share on other sites

Hej.

 

Här kommer en "liten" lista med objekt du bör ta bort:

 

[FET]

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\pjp.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\pjp.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\pjp.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\pjp.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\pjp.dll/sp.html (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\pjp.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {CB986ED9-7445-437D-85D0-7DAFF5E51667} - C:\WINNT\system32\pjp.dll

[/FET]

 

Leta upp filen pjp.dll och ta bort den.

Den finns under C:\WINNT\system32.

 

 

Link to comment
Share on other sites

Blijlevens , hej :-))

 

Du har en ny infektion, som vi inte riktigt vet vad det är för något,inte heller hur vi ska få bukt med det.

Jag brukar inte omdirigera användare från ett forum till ett annat, men i detta fall om jag får be dig, gå till vårt forum.

 

Vi har där redan ett par stycken med precis samma infektion. Vi ska lösa det här och om du kommer och postar har vi fler referenser att undersöka.

 

Kanske att vi skulle vilja ha någon fil uppladdad för undersökning också.

Adressen till det svenska forumet är :

http://www.Lavasoftsupport.com/index.php?showforum=17'>http://www.lavasoftsupport.com/index.php?showforum=17

 

För att posta behöver du bara göra en enkel registrering och vänta på den blir klar.

 

Under tiden kan du göra en "startuplist log" genom att öppna HJT och klicka "Config>Misc tools" och innan du klickar på "Generate startuplist log" bocka i dom två små rutorna inunder.

När registreringen är klar , kanske du skulle vilja posta den.Den är lång.

 

Hälsning

 

Die Hard

moderator/XpertTeam

http://www.Lavasoftsupport.com

 

[FET]Member of ASAP

Alliance of Security Analysis Professionals[/FET]

 

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...