I've been hijacked

[fredonor]

En eller annen gang den 1 april ble pc'en min hijacka. Jeg har kjørt adaware, men den tok ikke rotta på dette:

 

IE prøver til stadighet å legge inn en passthrough på omegasearch.com, og det har blitt lagt inn en toolbar på toppen. Om jeg fjerner den og setter tilbake google-baren min, så blir dette endret tilbake igjen med en gang jeg åpner en ny side. I tillegg har IE blitt ustabil som f... og må hele tiden lukkes pga et "uventet problem". I tillegg "hopper" IE litt hver gang jeg åpner en ny side.

 

Browser Hijack Blaster hindrer at passthrough-siden kommer inn etter at jeg installerte den.

 

IE åpner heller ikke på en av brukerene...

 

Har noen tips på hvordan jeg får bort svineriet?

 

mvh

fredonor

[BeFs]

Installere Opera?

[wasser]

Prøv dette: gå på kjør og skriv "msconfig" og velg "oppstart". Let der om du ser noe meget mistenkelig som ikke skal ligge der. Fjern haken på meget mistenkelige ting som du ikke kjenner igjen. Godt forslag kan være å sammenligne med en maskin som ikke har problemet hvis du er i tvil. For uerfarne kan det annbefales å bare prøve ett punkt av gangen.

 

Gå deretter på www.antivirus.com, vel "personal" arkfanen og velg deretter "Sjekk din pc for virus nå". følg annvisningene. Dette virus søket tar også enkelte harde "malwares".

 

Ett annet punkt kan være å sjekke inne på "legg til og fjern programvare" i kontrollpanel. Det kan kanskje være att problemet har installert seg som ett program?

 

Lykke til videre!

[baldrick-the-man]

Installere Opera er sikkert et heftig alternativ. Men et lite søk i Gogle (omegasearch.com +IE) - så dukker denne opp http://www.blizzpub.net/forums/thread.php?tid=30371 - kanskje den kan være til hjelp - uten å måtte bytte browser ...

[fredonor]

Har i allefall kjørt hijackthis, og fått følgende loggfil:

 

Logfile of HijackThis v1.97.7

Scan saved at 02:25:57, on 03.04.2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\CTSvcCDA.exe

C:\PROGRA~1\NORTON~3\NORTON~1\GHOSTS~2.EXE

C:\Programfiler\Fellesfiler\Microsoft Shared\VS7Debug\mdm.exe

C:\Programfiler\Norton AntiVirus\navapsvc.exe

C:\Programfiler\Norton Internet Security\NISUM.EXE

C:\Programfiler\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe

C:\WINDOWS\System32\svchost.exe

C:\Programfiler\Norton Internet Security\SymProxySvc.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Programfiler\Norton Internet Security\NISSERV.EXE

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\NORTON~1\navapw32.exe

C:\Programfiler\Norton Internet Security\IAMAPP.EXE

C:\Programfiler\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programfiler\RedLine\Taskbar.exe

C:\Programfiler\Fellesfiler\Real\Update_OB\realsched.exe

C:\Programfiler\Logitech\iTouch\iTouch.exe

C:\Programfiler\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

C:\Programfiler\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

C:\Programfiler\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\Programfiler\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Programfiler\Java\j2re1.4.2_03\bin\jusched.exe

C:\Programfiler\Winamp\winampa.exe

C:\Programfiler\QuickTime\qttask.exe

C:\PROGRA~1\BITSPO~1\setupdrvatom.exe

C:\WINDOWS\wt\wcmdmgr.exe

C:\Programfiler\redline\gameutil.exe

C:\Programfiler\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

C:\Programfiler\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Programfiler\Logitech\MouseWare\system\em_exec.exe

C:\Programfiler\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Programfiler\MSI\PC Alert 4\PCAlert4.exe

C:\Programfiler\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\Programfiler\Norton Internet Security\ATRACK.EXE

C:\Programfiler\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\Programfiler\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Programfiler\Browser Hijack Blaster\bhblaster.exe

C:\Programfiler\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\notepad.exe

C:\Programfiler\Internet Explorer\iexplore.exe

C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe

C:\Documents and Settings\Henrik.BLACKDIAMOND\Lokale innstillinger\Temporary Internet Files\Content.IE5\QTHYNYL4\HijackThis[1].exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://omegasearch.com/searchbar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://omegasearch.com/searchbar.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spray.no/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://omegasearch.com/searchbar.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://omegasearch.com/searchbar.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://omegasearch.com/searchbar.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.gocyberlink.com/registration/re...nfredo&Lang=Nor

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {0B5D6591-4B75-043B-1120-0125923059C3} - C:\PROGRA~1\MAPIFO~1\style heart.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programfiler\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programfiler\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll

O3 - Toolbar: LoadActiveIntra - {B215110B-E00C-AD69-77CE-58F78FDB6D43} - C:\PROGRA~1\MAPIFO~1\style heart.dll

O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [iamapp] C:\Programfiler\Norton Internet Security\IAMAPP.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Programfiler\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\Updreg.exe

O4 - HKLM\..\Run: [CTStartup] C:\Programfiler\Creative\SBAudigy\Program\CTEaxSpl.EXE /run

O4 - HKLM\..\Run: [Jet Detection] C:\Programfiler\Creative\SBAudigy\PROGRAM\ADGJDet.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Programfiler\Fellesfiler\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programfiler\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programfiler\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programfiler\Fellesfiler\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Programfiler\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programfiler\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [CamMonitor] C:\Programfiler\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Programfiler\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programfiler\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Programfiler\Winamp\winampa.exe

O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\wcmdmgrl.exe -launch

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [GREAT LINK] C:\PROGRA~1\BITSPO~1\setupdrvatom.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programfiler\Fellesfiler\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: gameutil.exe.lnk = ?

O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programfiler\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Programfiler\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: PC Alert 4.lnk = C:\Programfiler\MSI\PC Alert 4\PCAlert4.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/12ad67a6311ea54ad900/...ip/RdxIE601.cab

O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/no/big/1.1....g/GoogleNav.cab

O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/...tail/DASAct.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...37997.448912037

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab

 

 

Har fjernet alle referanser til omegasearch. Er det noen som har erfaring med dette som kan se om det er noe mer som bør fjernes?

 

Rebooter nå...

[fredonor]

Ser ut til at jeg har løst det :-)

 

Måtte fjerne noen linjer til + at jeg fant ut hva jeg skulle slette (2 mapper som hadde lagt seg inn i programfiler).

 

Takk til Baldrick som satte meg på sporet :-)

 

God påske!

 

mvh

fredonor

[Alastor]

Spybot Search And Destroy fjerner også siste rester av spyware, vil anbefale dette programmet som en suppor ttil at du har brukt til nå.

[reybr]

Søk på google etter CWShredder.

Et genialt lite program som fjerner det meste av slik hijacking

[Dr.X]

Bruker du IE er du bare dum !

[bamsefar]

Bruker du IE er du bare dum !

Nåja, IE er ikke det beste, men det duger. Å si at noen er dum fordi man bruker IE er bare... dumt!

[PoleCat]

Bruker du IE er du bare dum !

Røyker du er du også "dum", men for noen blir det rett og slett bare en vane som er veldig vond å venne seg av med. Som å bruke IE.

[gspr]

Bruker du IE er du bare dum !

Bytt like godt ut IE med Windows i påstanden over, som er svært korrekt, om enn totalt ubegrunnet....

[toretors]

Alle de dumme jeg kjenner bruker ie

[TheBoz]

Ikke noe spyware blir installert automatisk, du må ALLTID trykke ja for å bekrefte. Lærer en seg å klikke nei på alle bokser som spretter opp sånn så er du ganske trygg.. (Så lenge du har fornuftige sikkerhetsinstillinger)

[marw_the_big_headed_rhino]

Ikke noe spyware blir installert automatisk, du må ALLTID trykke ja for å bekrefte. Lærer en seg å klikke nei på alle bokser som spretter opp sånn så er du ganske trygg.. (Så lenge du har fornuftige sikkerhetsinstillinger)

Og et lite tips på tampen. Siden det ikke er veldig vanskelig å omprogrammere en knapp til at du takker ja til å installere selv om du trykker nei, så er det lettere å bruke alt + f4 for å stenge et vindu.

 

 

bono_head

[fredonor]

Ikke noe spyware blir installert automatisk, du må ALLTID trykke ja for å bekrefte. Lærer en seg å klikke nei på alle bokser som spretter opp sånn så er du ganske trygg.. (Så lenge du har fornuftige sikkerhetsinstillinger)

Klar over at ikke noe installeres av seg selv. Nå var det heller ikke jeg som klarte å legge inn dette på pc'en. Vi er flere i dette huset, og nå har hun lært :-)

[marw_the_big_headed_rhino]

Alle de dumme jeg kjenner bruker ie

Ikke nok med det. Mange jeg kjenner som er veldig intelligent bruker også Internet Explorer. Jeg selv bruker Mozilla. Tror jeg er ganske gjennomsnittlig. Ganske flink på data dog...

[agvg]

Ikke noe spyware blir installert automatisk, du må ALLTID trykke ja for å bekrefte.

Nåja, mange kjører med sikkerhetshull store som låvedører og endel sider utnytter disse mulighetene til fulle.

[reybr]

Ikke noe spyware blir installert automatisk, du må ALLTID trykke ja for å bekrefte.

Nåja, mange kjører med sikkerhetshull store som låvedører og endel sider utnytter disse mulighetene til fulle.

Bruker vanligvis Firefox og har ingen problemer med den, men for litt siden brukte jeg IE på en side som ikke var helt bra i Firefox. Dum som jeg var så fortsatte jeg å bruke IE siden den browseren allerede var åpen. Sikkerhetsinnstillingene er stilt på høy, og jeg svarer aldri Ja på spørsmål om installering eller noe sånt noe. IE er også oppdatert. Likevel klarte det å snike seg inn en liten jævel som la seg over mediaplayeren min. Så spyware kan komme selv om du svarer nei og avbryter alt som er av popups og prompts og installasjonsspørsmål.

 

Det er heller ikke bare porno og cracks sider som spyr ut spyware, men vanlige aviser også

[It's me]

Bumping av to måneder gammel tråd er det liten vits i. Posten stenges.