Snorren = datorn
Har blivit hijackad av ett program som kapar datorn var 5:e min
http://www.jimbutt.com/warning/danger.html

Jag blir galen får inte bort det.Tips ! ?

Error # 317 Port 8080 och 3128 #%¤#%ZZ%%###

Varför tror du det? För att den där webbsidan påstår det?

När jag surfar till sidan så kommer det genast en javascript-alert om att min dator är infekterad. Det finns inga möjligheter att webbsidan skulle kunna ta reda på något sådant med javascript. Alltså en bluff.

Det är den nya "flugan" att klickar du på den så kommer du antingen till ett porrställe
eller oxså så kommer du att kanske få ett otrevligt program.

>Varför tror du det? För att den där webbsidan påstår det?

Jag gissar att eftersom han skriver "var 5:e min" att hans webbläsare mycket riktigt är kapad...

Ladda hem HijackThis (finns på http://www.merijn.org/downloads.html).
Kör det och posta loggen som det programmet ger dig så kan vi se om vi kan hjälpa dig...

Får du ut något av denna logg ?
Logfile of HijackThis v1.99.1
Scan saved at 12:44:00, on 2005-03-27
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program\Delade filer\Real\Update_OB\realsched.exe
C:\Program\Microsoft AntiSpyware\gcasServ.exe
C:\Program\Internet Explorer\iclogin.exe
C:\Program\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program\Clipmt40\CLIPMT42.exe
C:\ICom100\PCR100.exe
C:\Program\Temp_idag\Termometer.exe
C:\Program\SPYWAR~1\swdoctor.exe
C:\Program\Delade filer\Real\Update_OB\rnathchk.exe
C:\Temp\HijackThis.exe

<b>R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jimbutt.com/stuffs/</b>
'Denna ovan är boven i dramat
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aftonbladet.se
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy1.telia.com:8080;gopher=proxy1.telia.com:8080;http=proxy1.telia.com:8080;https=proxy1.telia.com:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = login1.telia.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\Program\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\Program\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Program\Delade filer\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [gcasServ] "C:\Program\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [IC Login] C:\Program\Internet Explorer\iclogin.exe
O4 - Startup: CLIPMT42.lnk = C:\Program\Clipmt40\CLIPMT42.exe
O4 - Startup: PCR100.lnk = C:\ICom100\PCR100.exe
O4 - Startup: Termometer.lnk = C:\Program\Temp_idag\Termometer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\Program\SPYWAR~1\tools\iesdpb.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094202712937
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_05) -
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www1.trelleborg.se/Webcams/scripts/AxisCamControl.ocx
O16 - DPF: {99B6E512-3893-4155-9964-8EB8E06099CB} (WebSpyWareKiller Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/WebSWK.cab
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {CAFEEFAC-0014-0001-0005-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_05) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{71D3A418-3CAB-48C9-82AF-366F2C932B00}: NameServer = 192.168.0.1,192.168.0.2
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = telia.com
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Visibroker Activation Daemon (oad) - Unknown owner - d:\program\vbroker\bin\oad.exe (file missing)
O23 - Service: VisiBroker Smart Agent (osagent) - Unknown owner - d:\program\vbroker\bin\osagent.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

><b>R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jimbutt.com/stuffs/</b>
>'Denna ovan är boven i dramat

Jepp... det är ett av "felen"... fast den riktiga "boven i dramat" tror jag är följande rad:

<b>O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)</b>

Prova sätta en bock framför ovanstående rader i HijackThis och sen klicka på "Fix checked". Troligtvis är dessa två rader relaterade till samma problem.
Övriga rader ser ok ut... fast kolla igenom dom, t ex ifall det står ett konstigt filnamn (som du inte känner igen... speciellt om filen körs från C:\Windows eller C:\Windows\System32...)

Använd Google för att söka efter filnamn som ser suspekta ut i loggen. Får du upp träffar om att det kan vara spyware eller liknande så stämmer det nog...

Får du upp träffar i Google om att det är en giltig windows process så bör du <b>inte</b> plocka bort det.

Kan du härleda filen till ett program du själv har installerat och använder så är den nog också ok... och således dumt att plocka bort...

<b>OBS! (1)</b>
Var försiktig om och när du rensar. Tar du bort en systemprocess så finns det risk för att din dator inte fungerar nästan gång du startar datorn... och det är ju inte roligt... ;)

<b>OBS! (2)</b>
När du plockar bort en "browser hijacker" så kan din winsock bli korrupt så att du inte tar dig ut på nätet igen... För att fixa till den finns ett fint program att ladda hem här: http://www.spychecker.com/program/winsockxpfix.html

Lycka till!

ps. Har du något antivirusprogram installerat? Kan inte se någon antivirus-process i loggen... eller är jag blind..? ;)