---

Her er så den første hijacklogthis jeg er blevet bedt om at se på oge jeg har mine anelser ang. IWEBSEARCH, men kast lige et blik på den og sig om i kan finde noget....

Venlig hilsen
Andreas1982

--------------------------------------
Logfile of HijackThis v1.98.0
Scan saved at 00:39:25, on 20-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\Programmer\Norton Personal Firewall\IAMAPP.EXE
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\Programmer\Winamp\winampa.exe
C:\Programmer\Winamp\eMusic\eMusicClient.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\KNet Utility\KNet Utility.exe
C:\Program Files\KNet Utility\KNet Utility.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton Personal Firewall\NISUM.EXE
C:\Programmer\Norton Personal Firewall\NISSERV.EXE
C:\Programmer\Norton Personal Firewall\SymProxySvc.exe
C:\Programmer\Norton Personal Firewall\ATRACK.EXE
C:\Programmer\WinRAR\WinRAR.exe
C:\DOCUME~1\SALLYL~1\LOKALE~1\Temp\Rar$EX00.814\HijackThis.exe
C:\Programmer\Messenger\msmsgs.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programmer\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programmer\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [iamapp] C:\Programmer\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [eMusicClient] C:\Programmer\Winamp\eMusic\eMusicClient.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [K-Net Utility] "C:\Programmer\KNet Utility\KNet Utility.exe" -winstart
O4 - HKCU\..\Run: [Devix's K-Net Utility] C:\Program Files\KNet Utility\KNet Utility.exe -hide
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programmer\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programmer\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm796
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O12 - Plugin for .wav: C:\Programmer\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/default/popcaploader_v5.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab

---

Hej Andreas1982
Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

Fix:
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programmer\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programmer\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programmer\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programmer\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm796
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSe tup1.0.0.8.cab

Find og slet: C:\Programmer\MyWebSearch\bar\1.bin\MWSOEMON.EXE<<<Mappen

Send en ny log fil

---

Hvis jeg har forstået dig ret skal jeg bede vedkommende om at slette mappen MyWebSearch på C-drevet.

De andre kan jeg godt få hende til at fixe, men det er den sidste jeg er bekymret for.
Det er en af min kærestes veninder, og det hele klares via MSN og det tager altså sin tid..... Brugte ca. 3 timer på at forklare hvordun hun kørte Ad-aware, Spybot og Hijackthis, så det her ser langtrukket ud... ;)

Men har jeg forståer dig ret at det er hele mappen der skal væk eller er det bare MWSOEMON.EXE ?

Venlig hilsen
Andreas1982

---

Hvorfor ikke bare køre CWShredder, som jo også plejer at fjerne MyWebSearch
http://home8.inet.tele.dk/fbj/CWShredder.exe
Så vidt jeg kan se er der ingen tvivll om at det er det eneste problem på denne Acer Notebook

---

Ja, det er mappen. Et forslag? lav et link i MSN til det spg. her, så kan hun følge med.
http://www.kandu.dk/dk/spg/45436

---

Hehe!
Det er en ret mystisk startside, for en 20årig kvinde, ikke?
Man kunne endda forstå det hvis det var buddyhollys hjemmeside

Lad os holde os til de mest simple midler..... Gider ikke at bruge 10 timer på at guide hende igennem junglen.

---

Ok,du bestemmer Er det Acer du mener?

---

Jeps!

---

Ja, det virker lidt underligt, hvis hun ikke aner noget om computere! Tror du, hun kan finde ud af at skifte den?

---

Ja - jeg har lavet en .reg fil hun skal køre og så får hun den hjemmeside hun vil have + at hun lukker ned for muligheden for at spywaren skifter hjemmesiden.
For at lave startsiden om skal hun nemlig ind i regedit og hun tør ikke engang at åbne kommandoprompten, såeee.... Hun kontakter mig vel når hun vil have den lavet om går jeg ud fra.

---

Ja - jeg har lavet en .reg fil hun skal køre og så får hun den hjemmeside hun vil have + at hun lukker ned for muligheden for at spywaren skifter hjemmesiden.
For at lave startsiden om skal hun nemlig ind i regedit og hun tør ikke engang at åbne kommandoprompten, såeee.... Hun kontakter mig vel når hun vil have den lavet om går jeg ud fra.

---

- men hun er yderst modig når det gælder downloads med smilies og andre farvestrålende ting ;)

---

Må lige spørge om det her.....

Når i kigger sådan en log igennem hvad går i så efter?
Dette er min første gang og jeg går bare efter det der ligner sådan noget gratis halløjsa der evt. kunne være problemfyldt og retter det så....

Jeg kan se at alle de foreslåede rettelser drejer sig om mywebsearchbar, som jeg også var mistænksom overfor, men er det bare sådan det gøres??

---

Vi går efter mistænkelige ting, som man lærer at finde efter mange "øvelseslogfiler" og er på forkant mht nye infektioner. Du kan kigge lidt på den side her: http://qrts.dk/hijackthis.php

---

En besvarelse der endda gik udover det forventede....

Tak skal du have lengberg.
                        

---

Velbekomme

Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.