Just nu i M3-nätverket
Jump to content

Fel startsida.


Surfen

Recommended Posts

Hej.

Har läst tidigare exempel (1juni 2004 22:28)på hur man tar bort filer med hjälp av Hijackthis, som ställer till det så man får upp felaktig startsida och inte kan behålla den man vill ha.

Har kört Norton o Ad-aware. Ad-aware spårade visserligen upp 9 st trojaner, men dessa blir på ngt sätt kvar, trots deleting.

Bifogar Hijacks logfil för att ngn kunnig ev kan säga mig vilka filer som skall bort.

 

Logfile of HijackThis v1.97.7

Scan saved at 08:31:49, on 2004-06-21

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Program\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\System32\CTHELPER.EXE

C:\Program\Delade filer\Symantec Shared\ccApp.exe

C:\Program\QuickTime\qttask.exe

C:\Program\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program\WinZip\WZQKPICK.EXE

C:\Documents and Settings\Ägaren\Lokala inställningar\Temporary Internet Files\Content.IE5\QX6J0TMB\HijackThis[1].exe

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\Program\Messenger\msmsgs.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {AF0CD484-892A-4AAA-833F-371A0EEF2889} - C:\WINDOWS\System32\pmieeba.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [storageGuard] "C:\Program\VERITAS Software\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [WCOLOREAL] C:\Program\COMPAQ\Coloreal\coloreal.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [uSB] C:\WINDOWS\system32\usb.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program\Delade filer\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program\Delade filer\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sUService] C:\WINDOWS\system32\SUService.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program\WinZip\WZQKPICK.EXE

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1408.g.akamai.net/7/1408/9955/20040119/akamai.info.apple.com/iTunes4/WW/win/S019-0123.20040119.rip19/iTunesSetup.exe

O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38042.5395486111

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

 

Surfen

 

Link to comment
Share on other sites

Hej.

 

Stäng alla öppna fönster och kör HJT igen.

Bocka i följande:

[FET]

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\sp.html

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\sp.html

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\sp.html

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\sp.html

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\sp.html

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\sp.html

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

 

O2 - BHO: (no name) - {AF0CD484-892A-4AAA-833F-371A0EEF2889} - C:\WINDOWS\System32\pmieeba.dll

 

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

 

[/FET]

 

Leta sedan upp följande filer och tag bort dom:

[FET]

C:\WINDOWS\System32\pmieeba.dll

 

C:\WINDOWS\UpdReg.EXE

[/FET]

 

Töm även temp-mapparna som ligger under

C:\Documents and settings\användarnamn\Lokala inställningar.

 

användarnamn är tex Administratör, All Users, Default User.

 

Töm sedan papperskorgen och starta om datorn.

-----------------------------------------------------------------

 

Mail: Mij@idgmail.se

 

Link to comment
Share on other sites

 

Tack Mij, så långt.

Nu när jag ska köra HJT igen så kommer man inte in på deras hemsida via länken i denna supportdel:

www.spywareinfo.com/~merijn/downloads.html

Hoppas servern ligger nere temporärt !?

Provar igen senare idag eller har du ett annat tipps?

 

Surfen

 

Link to comment
Share on other sites

Det kan vara att servern är nere för tillfället.

Siter som håller på med sådana saker, som försvårar för dom som vill sprida en massa skit, blir ofta attackerade.

 

Allt för att det skall bli svårare att bli av med eländet.

 

Men om du har HJT hemma, så behöver du inte gå in på deras sida....

 

Eller har du kastat programmet?

-----------------------------------------------------------------

 

Mail: Mij@idgmail.se

 

Link to comment
Share on other sites

 

Tack än en gång Mij !

Det lyckades!

Men filen C:\windows\system32\pmieeba.dll var åtkomstskyddad och gick inte att föra till papperskorgen!

men Updreg.EXE gick att ta bort.

Efter omstart ser allt ut att fungera ändå.

 

Surfen

 

Link to comment
Share on other sites

Har du provat att starta i felsäkert läge och ta bort den?

Om inte, så prova...

 

Skapa sedan en ny HJT-logg och kopiera in, så vi ser så att du inte har fått något nytt pga den..

 

Roligt att det hjälpte..

-----------------------------------------------------------------

 

Mail: Mij@idgmail.se

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...