Klote startpagina wil niet weg

quote:

Op maandag 21 juni 2004 08:22 schreef DaCybrSrfr het volgende:

[..]

Ik zie in beide pics de urrel 'about:blank' staan.
Misschien wel es aan gedacht dat die herschreven kan worden?

Dat is niet het probleem, volgens mij is about:blank trouwens geen fysieke pagina, door met HijackThis de entry about:blank die naar een bestand verwijst te verwijderen kom je hier wel van af. Als je de bron opvraagt van de pagina, zie je bovenin ook de source van de pagina urlencoded weergegeven. Door op bijv. deze pagina de urlencoded string te ontcijferen kun je erachter komen welke dll het veroorzaakt. De dll verwijderen is alleen niet de oplossing voor alle problemen, hij komt dan terug zodra je opnieuw opstart maar dan onder een andere, uit vier random gekozen letters bestaande naam.

Ik heb meerdere malen zoiets gehad maar waarschijnlijk toch iets anders want ik kon het normaal wel verwijderen.

zoek ergens "xqdcxsp-setup" op en daarin zit dacht ik ook een goede tool om browser hijacks uit het register enzo te halen.
maar browser hijacks worden ook redelijk goed besproken op de officiele microsoft website(en al je windows zooi updaten scheelt soms ook iets)

quote:

Op maandag 21 juni 2004 08:26 schreef Shaman het volgende:

[..]

Dat is niet het probleem, volgens mij is about:blank trouwens geen fysieke pagina, door met HijackThis de entry about:blank die naar een bestand verwijst te verwijderen kom je hier wel van af. Als je de bron opvraagt van de pagina, zie je bovenin ook de source van de pagina urlencoded weergegeven. Door op bijv. deze pagina de urlencoded string te ontcijferen kun je erachter komen welke dll het veroorzaakt. De dll verwijderen is alleen niet de oplossing voor alle problemen, hij komt dan terug zodra je opnieuw opstart maar dan onder een andere, uit vier random gekozen letters bestaande naam.

oe.. ik leer nog wat hier..
en in register bij HKEY_LOCAL_MACHINE/....../Run staan verder geen maffe entry's...
Of in windows ini files.

quote:

Op maandag 21 juni 2004 08:37 schreef DaCybrSrfr het volgende:

[..]

oe.. ik leer nog wat hier..
en in register bij HKEY_LOCAL_MACHINE/....../Run staan verder geen maffe entry's...
Of in windows ini files.

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs staat een dll die het probleem veroorzaakt.

Van de microsoft website, ik heb geen zin om het helemaal door te lezen maar dit zou moeten werken volgens microsoft(in samenwerking met ad ware en dat hijack dinges zou je best veel kunnen doen)


Note If you are running Microsoft Windows NT 4.0, Windows 2000, or Windows XP, you must log on as a user with administrator credentials to follow these steps. If your network system administrator used the IEAK, Group Policy, System Policy, or registry settings to configure your home page, contact your system administrator before you follow these steps:
Obtain and run a current antivirus program, with up-to-date virus definitions (signatures), and follow the instructions for cleaning or removing any viruses that are found. Microsoft does not provide software to stop virus infections or to clean infected computers. You may want to contact an antivirus software vendor for more information about how to remove a virus from your computer and how to help prevent future infections. If your computer has been infected, it may be open to additional forms of attack.

For additional information about how to determine if your computer is infected with a virus, worm, or trojan, how to recover from an infection, how to help prevent future infections from a virus, and how to contact antivirus software vendors, click the following article number to view the article in the Microsoft Knowledge Base:
129972 Computer Viruses: Description, Prevention, and Recovery

For additional information about how to recover an already compromised system, visit the CERT Coordination Center at the following CERT Web site:
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

Microsoft provides third-party contact information to help you find technical support. This contact information may change without notice. Microsoft does not guarantee the accuracy of this third-party contact information.

Open the Web site that you want to set as your home page in Internet Explorer.
Click Tools, click Internet Options, and then click Use Current. Restart your computer, and then restart Internet Explorer. If the issue is resolved, do not follow the remaining steps.
Perform a clean boot of your computer.

For additional information about how to clean boot your operating system, click the following article numbers to view the articles in the Microsoft Knowledge Base:
310353 How to Perform a Clean Boot in Windows XP

281770 How to Perform Clean-Boot Troubleshooting for Windows 2000

267288 How to Perform a Clean Boot in Windows Millennium Edition

192926 How to Perform Clean-Boot Troubleshooting for Windows 98

243039 How to Perform a Clean Boot in Windows 95

Repeat steps 2 and 3.

If the issue is resolved, you have installed third-party software that changed your Internet Explorer home page or code in the form of a malicious attack, such as an unknown virus has been run on your system. One of the startup items that were removed by using the clean boot method is causing the issue. Any startup items that run Regedit.exe or a .reg, .hta, .vbs, or .js file may be the cause of the issue. Leave any such startup items or suspected third-party software turned off, and then continue troubleshooting with the next step.
Click Start, and then click Run.
In the Open box, type regedit, and then click OK.
In Registry Editor, locate the following subkey, if it exists:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel

If the ResetWebSettings value or the HomePage value exists in this key, right-click the values, and then click Delete.

Note You may also want to verify any Web site information contained in the Default_Page_URL value and the Start Page value in the following registry keys:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main

HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main

On the Edit menu, click Delete, and then click Yes to confirm the deletion.
On the File menu or on the Registry menu, click Exit to quit Registry Editor.
Repeat steps 2 and 3. If the issue is resolved, turn on the startup items that you turned off in step 4 except for the items that may be causing the issue for example, commands that run Regedit.exe or a .reg, .hta, .vbs, or .js file. If the issue recurs, you turned on the startup item that was causing the issue. Repeat steps 4 through 11.

Important: After the issue is resolved, follow these steps to help prevent the problem from recurring:
Do not run, save, or download a program from a source that you do not trust.
Regularly use a current antivirus product.
If you are running Microsoft Outlook 2000 or Outlook 98, upgrade to Outlook 2000 SR-2 or later, or install the Outlook 2000 SR-1 Extended E-mail Security update. To install this update, visit the following Microsoft Web site:
http://office.microsoft.com/Downloads/2000/Out2ksec.aspx

If you are running Outlook Express, upgrade to Outlook Express 6 or later. Make sure that Active Scripting is turned off for e-mail and block e-mail attachments.

For additional information about how to do this, click the following article number to view the article in the Microsoft Knowledge Base:
291387 OLEXP: Using Virus Protection Features in Outlook Express 6

If you connect to the Internet directly, use a firewall. For additional information about firewalls, visit the following Microsoft Web site:
http://www.microsoft.com/security/articles/firewall.asp

If a virus or code in the form of a malicious attack has been run on your system, delete all Temporary Internet Files, Cookies, and Internet Explorer History items.

For additional information about how to do this, click the following article numbers to view the articles in the Microsoft Knowledge Base:
260897 How to Delete the Contents of the Temporary Internet Files Folder

278835 How to Delete Cookie Files

157729 How to Clear the History Entries in Internet Explorer

You may also want to search your hard disk for files that may have been used by the virus or code in the form of a malicious attack and delete these files. For example, files named Rad*.tmp (where * is a random set of letters and numbers), any files containing "regedit" or ".reg" (for example, a file containing "C:\Windows\regedit.exe/s C\Windows\System\radB9819.tmp"), or Windows.vbs are known to be associated with certain viruses.
Regularly download and install all critical security updates. To do this, visit the following Microsoft Web site:
http://windowsupdate.microsoft.com

Some older versions of Windows and Internet Explorer may no longer be supported by Microsoft. As a result, the latest security patches may not be available for these products. For information about which products are still supported, visit the following Microsoft Web site:
http://support.microsoft.com/default.aspx?scid=fh;en-us;LifeWin

If your operating system or Internet Explorer version is no longer supported, you may want to upgrade so that you can receive the latest security patches.
MORE INFORMATION
For additional information about a related problem with the Search feature in Internet Explorer, click the following article number to view the article in the Microsoft Knowledge Base:
323869 Adult Content Web Site Is Unexpectedly Displayed in Browser Window When You Click Search


The third-party products that are discussed in this article are manufactured by companies that are independent of Microsoft. Microsoft makes no warranty, implied or otherwise, regarding the performance or reliability of these products.

quote:

Important: After the issue is resolved, follow these steps to help prevent the problem from recurring:
Do not run, save, or download a program from a source that you do not trust.

lol, CWS komt binnen via een exploit in de MS Java Virtual Machine

quote:

Regularly download and install all critical security updates.

De laatste versies van CWS zorgen er juist voor dat je dit niet meer kan doen

mijn start pagina kan ik ook niet meer veranderen,soms veranderd hij uit zich zelf maar ik kan hem niet veranderen heb al gekeken naar iets raars op me pc en heb ad awary ,spybot,trojan enzo allemaal laten scannen maar niks hielp,ik heb geen idee wat het is en kom er ook niet uit,ben er al een hele tijd klaar mee,en laat het maar zo zitten ooit formateer ik de hele sooi wel weer is

quote:

Op maandag 21 juni 2004 11:04 schreef glossy het volgende:
mijn start pagina kan ik ook niet meer veranderen,soms veranderd hij uit zich zelf maar ik kan hem niet veranderen heb al gekeken naar iets raars op me pc en heb ad awary ,spybot,trojan enzo allemaal laten scannen maar niks hielp,ik heb geen idee wat het is en kom er ook niet uit,ben er al een hele tijd klaar mee,en laat het maar zo zitten ooit formateer ik de hele sooi wel weer is

1 hint: HijackThis ff laten draaien. Die vindt altijd nog dingen die niet door adaware/spybot gevonden worden.

heb net cwschredder laten draaien hielp dus ook niks

vam hijackthis word ik helemaal geen wijs uit daar staat zoveel in dus ik verwijder maar niks straks heb ik wat verkeerds weggehaald

Post je hijackthis log dan ff hier, dan wordt er wel verteld wat je kunt verwijderen en wat niet.

zo technische ben ik nou ook weer niet hoor
zou niet weten hoe ik dat moet doen (nee ben niet blond )

Ow.. ben je dan blont?
1. Men start hijackthis op
2. Klik op scan
3. Klik op save log (en sla het bestand dus ergens op)
4. Open het opgeslagen bestandje (je moet dus wel weten waar je het hebt opgeslagen bij stap 3.)
5. Doe CTRL+A, dan CTRL+C, dan weer een reactie plaatsen hier
6. Zet in die reactie [quote] en dan doe je CTRL+V [/ quote] (zonder de spatie na de /)
7. Nu zou in je reactie die log file geplakt moeten zijn.
8. Met een beetje mazzel word je verteld wat je weg kan halen.

(offtopic.. ieeeeeeeeeks... je speelt "The Sims"...)

Logfile of HijackThis v1.97.7
Scan saved at 11:55:09, on 21-6-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\PROGRA~1\SIZECR~1\Upload flag save.exe
C:\Program Files\WindowsSA\omniscient.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\com.exe
C:\Program Files\Innovative Technologies\Advanced Popup Killer 2002\Killer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\mslagent\mslagent.exe
C:\WINDOWS\System32\rundll32.exe
C:\Documents and Settings\sonja\Application Data\csta.exe
C:\WINDOWS\System32\wnsapisu.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Save\Save.exe
C:\Program Files\MSN\MSNCoreFiles\msn6.exe
C:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\Documents and Settings\sonja\Bureaublad\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/NowOnline/Portal/portal.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/NowOnline/Portal/portal.html
R3 - URLSearchHook: (no name) - _{8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {021BB032-80A8-4FB6-B3D5-CF27B1553B95} - C:\WINDOWS\mslagent\4b_1,0,1,0_mslagent.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~2\BHO\INCFIN~1.DLL
O2 - BHO: (no name) - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINDOWS\System32\ibauayi.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: (no name) - {B6E50AAB-7F0A-4787-9187-B38FED9A4CE4} - C:\WINDOWS\raM5N8M.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {F5F2C96E-E8E3-A55D-46A2-C5E74E6438A8} - C:\PROGRA~1\UserBalm\Ball Ooze.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKLM\..\Run: [DM_Server] C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe /onreboot
O4 - HKLM\..\Run: [3C92D840] C:\WINDOWS\System32\upabezurci.exe
O4 - HKLM\..\Run: [Fortis Secure Layer Config] cseinst.exe -o-h
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [pluscoal] C:\PROGRA~1\SIZECR~1\Upload flag save.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [CLSID] C:\WINDOWS\System32\com.exe
O4 - HKCU\..\Run: [Popup Killer] C:\Program Files\Innovative Technologies\Advanced Popup Killer 2002\Killer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [mslagent] C:\WINDOWS\mslagent\mslagent.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1014.dll,InstantAccess
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Hart] C:\Documents and Settings\sonja\Application Data\csta.exe
O4 - HKCU\..\Run: [WNST] C:\WINDOWS\System32\wnsapisu.exe
O4 - HKCU\..\Run: [C:\WINDOWS\System32\iyigopa.dll] C:\WINDOWS\System32\iyigopa.dll /c del >nul
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O10 - Hijacked Internet access by New.Net
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.(...)GAUTH_1014_EN_XP.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/ima(...)tialSetup1.0.0.8.cab
O16 - DPF: {26E8361F-BCE7-4F75-A347-98C88B418322} - http://download.websearch.com/Dnl/T_50085/QDow.cab
O16 - DPF: {2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C} (MiniBugTransporterX Class) - http://download.weatherbu(...)iBugTransporter.cab?
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab
O16 - DPF: {65B818E1-F4D8-4F96-A1DF-35F3D1C86194} (limmyloding.limmyform) - http://bins.roings.com/mp3.cab
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers/pinstall/pinstall.cab
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - http://www2.flingstone.com/cab/2000XP/bridge-c5.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi(...)bs/flash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_EN_XP.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.c(...)nloader/imloader.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/dlaccell.CAB


zo dan


(offtopic:wat is er mis met de sims??)

Ik zal nog ff duidelijk posten hoe de laatste CWS te verwijderen is:

- Open internet explorer en zoek in de bron de weergegeven SRC van de pagina op (ziet er zo uit: res://%20%31...etc) en kopieer dit.
- Ontcijfer op deze pagina de tekens die je zojuist gekopieerd heb.
- schrijf het pad wat nu weergegeven wordt op
- zoek in het register deze sleutel op:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs en schrijf de naam van de dll op.
- Sluit met Killbox alle svchost entries en andere vreemde systeemprocessen.
- Download CoolWWWSearch.SmartKiller removal tool en start deze.
- Download CWShredder en start deze
- Download HijackThis en verwijder alle sleutels die verwijzen naar lege bestanden of sleutels met namen als 'searchThis' en 'CoolWebSearch', verwijder ook alle andere rommel die je niet kunt plaatsen, alleen bij de sleutels met nummers 04(wat laad windows in) 012(.spop, weet niet precies wat dit is) & 017 (DNS servers) is voor zover ik weet wat voorzichtigheid geboden
- Laat Ad-Aware een scan doen en verwijder alles.
- Laat Spybot S & D een scan doen en verwijder alles.
- Open het register en maak een backup
- Zoek en verwijder alle verwijzingen naar de opgeschreven dll's
- Verwijder met Killbox de opgeschreven dll's

Ik geef geen garanties, maar deze methode werkte wel op mijn vaders computer (win2k). Het enige probleem dat hij nu nog heeft is dat windowsupdate niet meer werkt en dat Spyware blaster niet wil installeren. Ik hoop hier nog een oplossing voor kan vinden (anyone?)

Heb ik laatst ook gehad. Heel veel geprobeerd maar hij bleef terugkomen.
tip1 : zoek naar deze file en verwijder die. (mssoemon.exe). Run dan Spybot S&D.
tip 2: Als je XP hebt kun je mbv system restore terug naar eerdere settings toen je er nog geen last van had.

succes.

@glossy: Je hebt er echt een hoop rotzooi op staan. Ik ga nu ff eten en dan kijk ik wel ff wat er allemaal weg kan. Het kan wel zo zijn dat je daarna een paar foutmelding krijgt bij het opstarten of dat een paar programma's niet meer werken (cometcursor of zoiets??). Heb je trouwens bij het installeren van MSN Plus gekozen voor: ik ga akkoord of ik ga niet akkoord (bij de 2e optie wordt het ook gewoon geinstalleerd, alleen dan zonder spyware..)

@Shaman: Heb je al in de hosts file gekeken of daar niet toevallig de site van windowsupdate in staat??

quote:

Op maandag 21 juni 2004 12:08 schreef Psycho_Flip het volgende:
@glossy: Je hebt er echt een hoop rotzooi op staan. Ik ga nu ff eten en dan kijk ik wel ff wat er allemaal weg kan. Het kan wel zo zijn dat je daarna een paar foutmelding krijgt bij het opstarten of dat een paar programma's niet meer werken (cometcursor of zoiets??). Heb je trouwens bij het installeren van MSN Plus gekozen voor: ik ga akkoord of ik ga niet akkoord (bij de 2e optie wordt het ook gewoon geinstalleerd, alleen dan zonder spyware..)

@Shaman: Heb je al in de hosts file gekeken of daar niet toevallig de site van windowsupdate in staat??

Ja, dat is het probleem niet, ik kom wel op de site, kan de laatste update ook downloaden, maar tijdens de installatie breek hij af en ook Spyware Blaster wil niet installeren...

@Glossy MSNplus draaien kan ik je sterk afraden, er heeft al regelmatig een flink veiligheidslek ingezeten...

quote:

Op maandag 21 juni 2004 12:08 schreef Psycho_Flip het volgende:
@glossy: Je hebt er echt een hoop rotzooi op staan. Ik ga nu ff eten en dan kijk ik wel ff wat er allemaal weg kan. Het kan wel zo zijn dat je daarna een paar foutmelding krijgt bij het opstarten of dat een paar programma's niet meer werken (cometcursor of zoiets??). Heb je trouwens bij het installeren van MSN Plus gekozen voor: ik ga akkoord of ik ga niet akkoord (bij de 2e optie wordt het ook gewoon geinstalleerd, alleen dan zonder spyware..)

dat er een hoop sooi opstaat ja dat weet ik ook wel ,krijg genog troep binnen via internet waar ik niks van af weet.
en heb geen idee met msn plus staat er al zo lang op

die startpagina komt 9 van de 10x mee met msn+

Ik heb hem er toch echt uit gekregen via dat downloadje wat ik hier gepost had.. wat zijn jullie toch allemaal moeilijk aan het doen

Moussy: Dat programaatje wat jij zei, werkt lang niet voor alle startpagina-veranderprogrammaatjes. Dat werkt alleen (lijkt me in ieder geval) voor die search2web startpagina-veranderprogramma.. Met hijackthis vind je gewoon nog zodanig veel andere rotzooi die je anders niet zou vinden, waardoor je systeem dus minder troep zal bevatten.

quote:

Op maandag 21 juni 2004 12:23 schreef moussy het volgende:
die startpagina komt 9 van de 10x mee met msn+

Ik heb hem er toch echt uit gekregen via dat downloadje wat ik hier gepost had.. wat zijn jullie toch allemaal moeilijk aan het doen

voor dat ik msn+ had ,kon ik me start pagina al niet meer veranderen,dus daar ligt het niet aan.

ik heb het een en ander verwijderd methijackit en heb nu me startpagina terug maar kan nog steeds niks veranderen

Glossy, deze kunnen weg (tenzij je van een bepaald ding zeker weet dat het van een bekend programma is wat je bewust geinstalleerd hebt..):

quote:

C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe
C:\PROGRA~1\SIZECR~1\Upload flag save.exe
C:\Program Files\WindowsSA\omniscient.exe
C:\WINDOWS\System32\com.exe
C:\WINDOWS\mslagent\mslagent.exe
C:\WINDOWS\System32\wnsapisu.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Save\Save.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/NowOnline/Portal/portal.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/NowOnline/Portal/portal.html
R3 - URLSearchHook: (no name) - _{8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {021BB032-80A8-4FB6-B3D5-CF27B1553B95} - C:\WINDOWS\mslagent\4b_1,0,1,0_mslagent.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~2\BHO\INCFIN~1.DLL
O2 - BHO: (no name) - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINDOWS\System32\ibauayi.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: (no name) - {B6E50AAB-7F0A-4787-9187-B38FED9A4CE4} - C:\WINDOWS\raM5N8M.dllO2 - BHO: (no name) - {F5F2C96E-E8E3-A55D-46A2-C5E74E6438A8} - C:\PROGRA~1\UserBalm\Ball Ooze.dll
O4 - HKLM\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKLM\..\Run: [DM_Server] C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe /onreboot
O4 - HKLM\..\Run: [3C92D840] C:\WINDOWS\System32\upabezurci.exeO4 - HKLM\..\Run: [pluscoal] C:\PROGRA~1\SIZECR~1\Upload flag save.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"
O4 - HKLM\..\Run: [CLSID] C:\WINDOWS\System32\com.exe
O4 - HKCU\..\Run: [mslagent] C:\WINDOWS\mslagent\mslagent.exe
O4 - HKCU\..\Run: [WNST] C:\WINDOWS\System32\wnsapisu.exe
O4 - HKCU\..\Run: [C:\WINDOWS\System32\iyigopa.dll] C:\WINDOWS\System32\iyigopa.dll /c del >nul
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O10 - Hijacked Internet access by New.NetO16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/ima(...)tialSetup1.0.0.8.cab
O16 - DPF: {26E8361F-BCE7-4F75-A347-98C88B418322} - http://download.websearch.com/Dnl/T_50085/QDow.cab
O16 - DPF: {2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C} (MiniBugTransporterX Class) - http://download.weatherbu(...)iBugTransporter.cab?
O16 - DPF: {65B818E1-F4D8-4F96-A1DF-35F3D1C86194} (limmyloding.limmyform) - http://bins.roings.com/mp3.cab
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers/pinstall/pinstall.cab
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - http://www2.flingstone.com/cab/2000XP/bridge-c5.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.c(...)nloader/imloader.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/dlaccell.CAB

heb het verwijderd maar heeft niks geholpen kan nog steeds niet me start pagina veranderen

quote:

Op zondag 20 juni 2004 13:41 schreef Disorder het volgende:
Ik bedoelde met gefixed dat ik notepad terug heb gevonden. Ik ga nu Hijackthis proberen

Als je een leek bent op dit gebied, meld je dan even aan op dit forum, plaats je log en binnen een kwartier weet je wat je moet doen!

Voor je Hijackthis gebruikt dien je wel eerst Spybot en Adaware te hebben gedraaid!!

Succes

http://forums.techguy.org/forumdisplay.php?f=54


Voor iedereen:
Ook niet onbelangrijk: http://forums.techguy.org/t208517.html