---

Hejza.

Jeg er angrebet af et eller andet. Jeg kan ikke få det væk.
Når jeg starter min browser op første gang, så lyder der et lille 'klik' og
jeg får en gul stjerne med et ! i. Stjernen forsvinder igen efter ca 2 sek.
Sætter jeg min default side til blank, finder Ad-Aware denne:

Vendor:Possible Browser Hijack attempt
Category:Data Miner
Object Type:RegData
Size:-
Location:Software\Microsoft\Internet Explorer\Main "Start Page"
("about:blank")
Last Activity:04-05-2004
Risk LevelMedium
Comment:Possible browser hijack attempt
Description:Possible attempt to control\redirect the browser. This object
referrs to a "blacklisted" site.

Fjerner jeg den starter min browser op med denne adresse:

http://www.msn.dk/Default.asp?Ath=f

Retter jeg den til blank igen, så er vi tilbage hvor vi startede.
Har scannet med alt hvad jeg kan finde, slettet alle mine temp. internet
filer, og hvad ved jeg.

Hvad gør jeg nu ??

//Gorm

---

Det med stjernen er fra min Google Toolbar, ...sorry.

Men resten er stadig et problem.

//Gorm

"Zup Zuip" <cfv@fgh.fj> wrote in message
news:4097bd52$0$211$edfadb0f@dread11.news.tele.dk...
> Hejza.
>
> Jeg er angrebet af et eller andet. Jeg kan ikke få det væk.
> Når jeg starter min browser op første gang, så lyder der et lille 'klik'
og
> jeg får en gul stjerne med et ! i. Stjernen forsvinder igen efter ca 2
sek.
> Sætter jeg min default side til blank, finder Ad-Aware denne:
>
> Vendor:Possible Browser Hijack attempt
> Category:Data Miner
> Object Type:RegData
> Size:-
> Location:Software\Microsoft\Internet Explorer\Main "Start Page"
> ("about:blank")
> Last Activity:04-05-2004
> Risk LevelMedium
> Comment:Possible browser hijack attempt
> Description:Possible attempt to control\redirect the browser. This object
> referrs to a "blacklisted" site.
>
> Fjerner jeg den starter min browser op med denne adresse:
>
> http://www.msn.dk/Default.asp?Ath=f
>
> Retter jeg den til blank igen, så er vi tilbage hvor vi startede.
> Har scannet med alt hvad jeg kan finde, slettet alle mine temp. internet
> filer, og hvad ved jeg.
>
> Hvad gør jeg nu ??
>
> //Gorm
>
>
>
>

---

"Zup Zuip" <cfv@fgh.fj> wrote in message
news:4097bd52$0$211$edfadb0f@dread11.news.tele.dk...

Hej,

> Vendor:Possible Browser Hijack attempt
> Category:Data Miner
> Object Type:RegData

Det problem kan sandsynligvis klares med CWShredder.

Den kan hentes fra følgende adresse:
http://www.spywareinfo.com/~merijn/downloads.html

Venligst
Peter Kruse
http://www.csis.dk

---

"Peter Kruse" <kruse@nonospam_csis_.dk> wrote in message
news:4097d7f9$0$217$edfadb0f@dread16.news.tele.dk...
> > Vendor:Possible Browser Hijack attempt
> > Category:Data Miner
> > Object Type:RegData
>
> Det problem kan sandsynligvis klares med CWShredder.
>
> Den kan hentes fra følgende adresse:
> http://www.spywareinfo.com/~merijn/downloads.html
>

Den fandt ikke noget.

//Gorm

---

In article <4097d7f9$0$217$edfadb0f@dread16.news.tele.dk>, Peter Kruse wrote:
> Det problem kan sandsynligvis klares med CWShredder.

Hvad er CWShredder, og hvordan kan den (hvis det var tilfældet) løse problemmet?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:slrnc9h55t.2o2.chel@weebo.dmz.spindelnet.dk...

Hej Christian,

> Hvad er CWShredder, og hvordan kan den (hvis det var tilfældet) løse
problemmet?

CWShredder er et gratis værktøj, som kan anvendes til at fjerne forskellige
IE hijackers og hookers, herunder den famøse CoolWebSearch.

Ud fra det fremlagte er det yderst dramatisk at anbefale en reformattering
af harddisken. Det har vi slet ikke nok data til at vurdere.

Venligst
Peter Kruse

---

In article <4098b2cb$0$227$edfadb0f@dread16.news.tele.dk>, Peter Kruse wrote:
> CWShredder er et gratis værktøj, som kan anvendes til at fjerne forskellige
> IE hijackers og hookers, herunder den famøse CoolWebSearch.
>
> Ud fra det fremlagte er det yderst dramatisk at anbefale en reformattering
> af harddisken. Det har vi slet ikke nok data til at vurdere.

Har vi data? Kan vi få data til at lave en bedre vurdering?

Udfra din beskrivelse af CWShredder, ville jeg ikke stole på
din anbefalding omkring brugen af programmet, da det på mig
virker som om du ikke ved hvad programmet gør.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:slrnc9hvd8.ie8.chel@weebo.dmz.spindelnet.dk...

Hej Christian,

> Har vi data? Kan vi få data til at lave en bedre vurdering?

Er det ikke irrelevant, når du indirekte anbefaler en reformattering af
harddisken, uden det nødvendige grundlag?

> Udfra din beskrivelse af CWShredder, ville jeg ikke stole på
> din anbefalding omkring brugen af programmet, da det på mig
> virker som om du ikke ved hvad programmet gør.

Hvad? Christian, skal jeg give dig en længere forklaring på hvad programmet
gør? Jeg har kørt CWShredder i mit testlab flere gange. Det indeholder
ingen skadelige funktioner og er udelukkende blevet udviklet med det formål
at fjerne CoolWebSearch komponenter. Heraf navnet. Programmet er skrevet i
Visual Basic og scanner et berørt system for en række værdier i
registreringsdatabasen. Tillad mig at henvise til:
http://www.spywareinfo.com/~merijn/cwschronicles.html

Venligst
Peter Kruse
http://www.csis.dk

---

In article <409b51d2$0$256$edfadb0f@dread16.news.tele.dk>, Peter Kruse wrote:
> Er det ikke irrelevant, når du indirekte anbefaler en reformattering af
> harddisken, uden det nødvendige grundlag?

Mit grundlag er at han ikke ved hvad der forgår på maskinen.

> Hvad? Christian, skal jeg give dig en længere forklaring på hvad programmet
> gør? Jeg har kørt CWShredder i mit testlab flere gange. Det indeholder
> ingen skadelige funktioner og er udelukkende blevet udviklet med det formål
> at fjerne CoolWebSearch komponenter. Heraf navnet. Programmet er skrevet i

Har du et link til kildeteksten?

> Visual Basic og scanner et berørt system for en række værdier i
> registreringsdatabasen. Tillad mig at henvise til:
> http://www.spywareinfo.com/~merijn/cwschronicles.html

Citat fra siden:

....However, the file hooked into the Winsock LSP chain,
which lies very deep into the bowels of Windows and is
one of the hardest parts of Windows to manipulate.
Only a very small selection of spyware used this method
of infection, and incorrect removal left a computer with
a broken Internet connection that could not be fixed
even by reinstalling Windows....

Ved han hvad han skriver om, eller gætter han sig til
hvordan verden hænger sammen?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:slrnc9nsok.q60.chel@weebo.dmz.spindelnet.dk...

Hej Christian,

> Mit grundlag er at han ikke ved hvad der forgår på maskinen.

Så er han en af mange millioner brugere der bør reformattere deres harddisk


> Har du et link til kildeteksten?

Tja, jeg kan jo altid disassemble skidtet, men dette program er ikke
frigivet med kildekode. Det indeholder, så vidt jeg kan se, intet skadeligt.

> ...However, the file hooked into the Winsock LSP chain,
> which lies very deep into the bowels of Windows and is
> one of the hardest parts of Windows to manipulate.
> Only a very small selection of spyware used this method
> of infection, and incorrect removal left a computer with
> a broken Internet connection that could not be fixed
> even by reinstalling Windows....
>
> Ved han hvad han skriver om, eller gætter han sig til
> hvordan verden hænger sammen?

---

In article <409bf71b$0$274$edfadb0f@dread16.news.tele.dk>, Peter Kruse wrote:
>> Mit grundlag er at han ikke ved hvad der forgår på maskinen.
>
> Så er han en af mange millioner brugere der bør reformattere deres harddisk
>

Der er mange brugere der ikke ved hvad der forgår på deres maskine
og som har skadelig kode kørenden på denne.

Disse bør selvfølgelig få løst deres problem.

Men at sætte sin lid til 5-8 forskellige programmer, lavet af 5-8 forskellige
programmører/firmaer, ser jeg ikke som den rigtige løsning,
specielt ikke i en verden hvor truslen skifter implementering
for at omgåes ovenstående programmer.

Ja, de vil kunne hjælpe brugeren i nogle konkrete situationer, men det
er idag trivielt for en angriber at omgåes disse programmer.

Det eneste de ikke kan omgåes er at brugeren lærer af deres fejl
og reinstallere deres OS.

Dette virker også selvom programmøren af dette program påstår det modsatte!

>> Har du et link til kildeteksten?
>
> Tja, jeg kan jo altid disassemble skidtet, men dette program er ikke
> frigivet med kildekode. Det indeholder, så vidt jeg kan se, intet skadeligt.

Jeg gætter på det du mener er at du har testet den i 2-3 situtationer,
og observeret at den fjerner dit problem.... Men udover dette
er du ikke sikker, udover at du tror.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:slrnc9nsok.q60.chel@weebo.dmz.spindelnet.dk...

Hej,

Jeg fumlede med genvejstasterne. Sorry.

> Citat fra siden:
>
> ...However, the file hooked into the Winsock LSP chain,
> which lies very deep into the bowels of Windows and is
> one of the hardest parts of Windows to manipulate.
> Only a very small selection of spyware used this method
> of infection, and incorrect removal left a computer with
> a broken Internet connection that could not be fixed
> even by reinstalling Windows....
>
> Ved han hvad han skriver om, eller gætter han sig til
> hvordan verden hænger sammen?

Det vil jeg mene. Et stykke hen af vejen i det mindste. Layered Service
Provider (LSP), er en winsock 2 komponent. Hvis denne fjernes kan det
bevirke, at man mister forbindelsen til Internet. Jeg er dog ikke enig med
ham i at en reinstallation ikke løser problemet.

Venligst
Peter Kruse
http://www.csis.dk

---

In article <4097bd52$0$211$edfadb0f@dread11.news.tele.dk>, Zup Zuip wrote:
> Hejza.

Hejsa

> Jeg er angrebet af et eller andet. Jeg kan ikke få det væk.

Hvis jeg var angrebet af noget som jeg ikke kunne genkende, eller ej er
100% sikker på hvordan jeg kan fjerne det, ville jeg kraftigt overveje
at reinstallere maskinen.

Men hvis du ikke finder ud af hvad der gik galt, ville du evt.
lave den samme fejl på din reinstalleret maskine. Derfor bør
du kikke på din opsætning af dine programmer, og kikke på
hvordan du bruger maskinen.


Gruppens OSS/FAQ kan evt. inspirer dig til at
undgå at lave den samme fejl igen.

http://sikkerhed-faq.dk/brugere

http://sikkerhed-faq.dk/brugere#ie


Er du typen der laver mange fejl og derfor har brug
for at reinstallere maskinen ofte, kan jeg anbefalde
at bruge et diskimage software som fx ghost.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message >
> Er du typen der laver mange fejl og derfor har brug
> for at reinstallere maskinen ofte, kan jeg anbefalde
> at bruge et diskimage software som fx ghost.

Nu har jeg jo arbejdet med computere i 25 år, det er min levevej.
Jo jeg bruger da selvfølgelig Ghost, og jeg har da også spolet det ældste
image jeg havde på, men der er der også hijack i.
Underligt, for jeg har de nyeste opdateringer til alt installeret.
Har scannet min computer af med 5 forskellige antivirus programmer uden at
de finder noget som helst.
Jeg omformatere skidtet her i week-end'n, og så må vi se.

//Gorm

---

In article <4098e197$0$254$edfadb0f@dread12.news.tele.dk>, Zup Zuip wrote:
> Nu har jeg jo arbejdet med computere i 25 år, det er min levevej.

Beklager, dit oprindelig indlæg gav mig ikke dette indtryk.

> Underligt, for jeg har de nyeste opdateringer til alt installeret.

Dette har ingen betydning for et komprimiteret system.

> Har scannet min computer af med 5 forskellige antivirus programmer uden at
> de finder noget som helst.

Hvad skal det hjælpe?

> Jeg omformatere skidtet her i week-end'n, og så må vi se.

Jeg plejer at lave et grund image, dvs. lige efter maskinen er
blevet installeret uden patches. Dette bruger jeg i tilfældet
af at jeg senere får en patch der giver andre problemmer.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Zup Zuip" <cfv@fgh.fj> skrev i en meddelelse
news:4098e197$0$254$edfadb0f@dread12.news.tele.dk...
> Nu har jeg jo arbejdet med computere i 25 år, det er min levevej.
> Jo jeg bruger da selvfølgelig Ghost, og jeg har da også spolet det ældste
> image jeg havde på, men der er der også hijack i.
> Underligt, for jeg har de nyeste opdateringer til alt installeret.
> Har scannet min computer af med 5 forskellige antivirus programmer uden at
> de finder noget som helst.
> Jeg omformatere skidtet her i week-end'n, og så må vi se.

Det er da vist at skyde gråspurve med kanoner....

Det eneste der er sket er at du har inst. google toolbar hvilket
(selvfølgelig fristes jeg til at sige!!) har medført at din startside er
blevet sat til http://www.google.com/ Den RegData som AdAware refererer til
er følgende sti i registreringsdatabasen:
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main... Luk
registreringseditoren op og du vil opdage at værdien af "Main" =
http://www.google.com/

Hvad er det nu man plejer at høre herinde???...... Nåe jo.. Slap af og spis
et stykke chokolade af den mørke slags..

/ Michael...

---

"Michael Korsgaard" <mikkos@NOSHITwebspeed.dk> wrote in message
news:40990b5a$0$500

> Hvad er det nu man plejer at høre herinde???...... Nåe jo.. Slap af og
spis
> et stykke chokolade af den mørke slags..

Jep det gør jeg nu.

Det er KUN Ad-Aware som siger at jeg har denne HiJack, men de skriver nu at
det er en fejl og man bare skal tilføje den til sin ignore liste.

The topic can be found here:
http://www.lavasoftsupport.com/index.php?showtopic=26385&view=getnewpost

//Gorm

---

In article <409910bc$0$244$edfadb0f@dread12.news.tele.dk>, Zup Zuip wrote:
> Det er KUN Ad-Aware som siger at jeg har denne HiJack, men de skriver nu at
> det er en fejl og man bare skal tilføje den til sin ignore liste.

En scanner med falske positiver ... det bliver værrer og værrer.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:slrnc9i9aa.id2.chel@weebo.dmz.spindelnet.dk...

Hej Christian,

> En scanner med falske positiver ... det bliver værrer og værrer.

Jeg kender ingen scanner som ikke har produceret falsk-positive. Omvendt er
jeg overrasket over, at Lavasoft har besluttet sig for at flagge
"AboutBlank" som "possible hijack". Igen, der er tale om en "possible" og
løsningen er at tilføje den ignore listen.

Venligst
Peter Kruse
http://www.csis.dk