Dit krijg ik dus niet weg. En ja, ik heb de spyware FAQ doorgelezen. Nog voordat ik een verbinding maak staat dit in beeld. Het komt dus ergens weg van m'n HD, maar ik weet niet waar. Wanneer ik de eigenschappen opvraag staat er niks. Erg irritant. Hoe krijg ik dit weg?
quote:Op zondag 20 juni 2004 12:25 schreef FredvZ het volgende:
FAQ - Spyware en Browser Hijacking
http://www.pchell.com/support/searchmyrequest.shtml
cwshredder doet wonderen
quote:Juist.Kijk daar es naar.EN als je het niet zeker weet, post het dan ff hieroOp zondag 20 juni 2004 12:24 schreef Hiawatha het volgende:
Control panel -> Add/remove software. Staat daar iets raars tussen of iets dat verdacht lijkt?
quote:Onzin, het moet ergens op de computer staan. Wat je ook kan doen is het URL van de startpagina achterhalen en deze op te zoeken in de registry. Gok dat ie daar ergens instaat.Op zondag 20 juni 2004 12:40 schreef 303 het volgende:
Deze krijg je er onmogelijk af. Ik moest pc formateren en ben toch een aardige spyware expert. Dit is een van de ergste die er is. Internet Explorer is gewoon ronduit kut dat dit mogelijk is.
_edit_
Dat eerste dan. Dat IE ronduit kut is, is wel waar
Disorder, tip van de eeuw: FireFox
maar soms is eht idd rot heb ook op me laptop zo'n ding change telkens maar telkens komt rot ding weer terug maar heb geen zin om opnieuw te installen ofzo
quote:jepOp zondag 20 juni 2004 12:40 schreef 303 het volgende:
Deze krijg je er onmogelijk af. Ik moest pc formateren en ben toch een aardige spyware expert. Dit is een van de ergste die er is. Internet Explorer is gewoon ronduit kut dat dit mogelijk is.
quote:Nee ! lees mijn posts hierbovenOp zondag 20 juni 2004 12:43 schreef FlyingFox het volgende:
PC formateren my ass! Deze moet er toch ook af te halen zijn?
quote:Ik geef het niet op en ga dingen proberen.Op zondag 20 juni 2004 12:44 schreef The-Chosen1 het volgende:
[..]
Nee ! lees mijn posts hierboven
Denk je dat-ie weg is als ik enkel XP opnieuw installeer?quote:dat jij het niet kan betekent niet dat anderen het ook niet kunnenOp zondag 20 juni 2004 12:44 schreef The-Chosen1 het volgende:
[..]
Nee ! lees mijn posts hierboven
En nu is Notepad ook ineens verdwenen zodat ik m'n Hijackthis log niet kan openen
quote:je processen kijken en wat je niet kent bij google intypen en je krijgt de uitleg.Op zondag 20 juni 2004 12:46 schreef FlyingFox het volgende:
[..]
Ik geef het niet op en ga dingen proberen.
tuurlijk is dit te verwijderen alhoewel het erg lastig kan zijn.
format c?? NOWAY!!!
quote:Doe dat niet en post je hijackthis log hier.. Bijna 100% zeker dat daar nog genoeg in te vinden is waardoor die pagina nog actief wordt/blijft.Op zondag 20 juni 2004 12:46 schreef FlyingFox het volgende:
[..]
Ik geef het niet op en ga dingen proberen.
zoek in het register in HKLM in software/microsoft/windows/currentversion naar verdachte registersleutels en verwijder deze
ook in HKLM software/microsoft/internetexplorer etc. etc.
quote:Ik kan het 'Software/microsoft' gedeelte nog wel vinden. Bij mij staat daar echter geen 'windows'.Op zondag 20 juni 2004 12:54 schreef eyal het volgende:
start > uitvoeren > typ "regedit"
zoek in het register in HKLM in software/microsoft/windows/currentversion naar verdachte registersleutels en verwijder deze
ook in HKLM software/microsoft/internetexplorer etc. etc.
quote:ik het niet kan ? lees de post van andere users die het zelfde hebben en het er niet afkrijgen , en het scheelt ook een stuk dat er zulke goede spyware progs. zijnOp zondag 20 juni 2004 12:46 schreef piere het volgende:
[..]
dat jij het niet kan betekent niet dat anderen het ook niet kunnen
quote:typisch een reply van iemand die nog nooit deze vorm van spyware heeft gehad , als je niet weet waar je het over hebt reageer dan gewoon nietOp zondag 20 juni 2004 12:47 schreef piere het volgende:
[..]
je processen kijken en wat je niet kent bij google intypen en je krijgt de uitleg.
tuurlijk is dit te verwijderen alhoewel het erg lastig kan zijn.
format c?? NOWAY!!!
quote:Dan zit je sowieso in het verkeerde stuk te kijken.. Je moet in ieder geval kijken bij: "HKey Local Machine". En als je dat nog niet eens gezien had in zijn post (HKLM), ga dan niet zomaar in het register liggen klooien..Op zondag 20 juni 2004 13:10 schreef Disorder het volgende:
[..]
Ik kan het 'Software/microsoft' gedeelte nog wel vinden. Bij mij staat daar echter geen 'windows'.
Draai hijackthis gewoon en post die log hier, dan helpen ze je hier wel verder met wat wel en niet weg kan.
quote:mmm je kan het proberen natuurlijk bij me werkte het niet ( ik draai dan ook 98 se ) ik moest het helemaal opnieuw doen , maar je kan het proberen natuurlijkOp zondag 20 juni 2004 12:46 schreef FlyingFox het volgende:
[..]
Ik geef het niet op en ga dingen proberen.
quote:Wat jij zegt is complete onzin. Alle vormen van spyware zijn te verwijderen, er moet alleen een juist tooltje voor zijn. Ik had laatst ook bij iemand een nieuwe vorm van CoolWebSearch die nog niet te verwijderen was met CWShredder, weekje later was er een update van CWShredder uit en weg was de spyware.. Dus voor alles is een oplossing, maar af en toe moet je gewoon geduld hebben.Op zondag 20 juni 2004 13:21 schreef The-Chosen1 het volgende:
[..]
typisch een reply van iemand die nog nooit deze vorm van spyware heeft gehad , als je niet weet waar je het over hebt reageer dan gewoon niet
quote:ligt eraan sommige dialers ( OOKAL KLIK JE NEE AAN ) instaleren zichzelfOp zondag 20 juni 2004 13:25 schreef F.U.B.A.R het volgende:
Als je de beveiliging van IE strenger instelt, dan kan zoiets toch niet meer gebeuren? Of wel? Als je expliciiet op "Ja, installeer die crap maar" klikt, wel maar toch niet zomaar achter je rug?
quote:Niks thumbs down, ik heb die pagina regelmatig gehad en kreeg hem alleen maar weg met Hijjack this.Op zondag 20 juni 2004 12:26 schreef Disorder het volgende:
[..]
quote:ben ik met je eens , maar op di moment is voor dit geval GEEN oplossing , geloof heb alles geprobeerd van spydocter /spybot1.3 sd / schredder adawere6.0 alles !!!! en ben toch niet echt een computer leekOp zondag 20 juni 2004 13:23 schreef Psycho_Flip het volgende:
[..]
Wat jij zegt is complete onzin. Alle vormen van spyware zijn te verwijderen, er moet alleen een juist tooltje voor zijn. Ik had laatst ook bij iemand een nieuwe vorm van CoolWebSearch die nog niet te verwijderen was met CWShredder, weekje later was er een update van CWShredder uit en weg was de spyware.. Dus voor alles is een oplossing, maar af en toe moet je gewoon geduld hebben.
kan het niet uploaden hier
quote:vreemd bij mij werkte dat niet , kan eraan liggen dat ik 98 se gebruik ?Op zondag 20 juni 2004 13:29 schreef yvonne het volgende:
[..]
Niks thumbs down, ik heb die pagina regelmatig gehad en kreeg hem alleen maar weg met Hijjack this.
quote:Logfile of HijackThis v1.97.7
Scan saved at 12:43:28, on 20-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Mixer.exe
C:\program files\powerstrip\pstrip.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\CMMON32.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Lavasoft Ad-Aware\Tools\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\EIGENMAP~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\EIGENMAP~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\EIGENMAP~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\EIGENMAP~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\EIGENMAP~1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\EIGENMAP~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O1 - Hosts: 127.0.0.0 localhost
O1 - Hosts: 127.0.0.2 auditmypc.com
O1 - Hosts: 127.0.0.3 boards.cexx.org
O1 - Hosts: 127.0.0.4 bulletproofsoft.net
O1 - Hosts: 127.0.0.5 camtech2000.net
O1 - Hosts: 127.0.0.6 cexx.org
O1 - Hosts: 127.0.0.7 computercops.us
O1 - Hosts: 127.0.0.8 ct7support.com
O1 - Hosts: 127.0.0.9 doxdesk.com
O1 - Hosts: 127.0.0.20 kellys-korner-xp.com
O1 - Hosts: 127.0.0.21 kephyr.com
O1 - Hosts: 127.0.0.22 lavasoft.de
O1 - Hosts: 127.0.0.23 lavasoftusa.com
O1 - Hosts: 127.0.0.24 lurkhere.com
O1 - Hosts: 127.0.0.25 majorgeeks.com
O1 - Hosts: 127.0.0.26 merijn.org
O1 - Hosts: 127.0.0.27 mjc1.com
O1 - Hosts: 127.0.0.28 moosoft.com
O1 - Hosts: 127.0.0.29 mvps.org
O1 - Hosts: 127.0.0.30 net-integration.net
O1 - Hosts: 127.0.0.31 noadware.net
O1 - Hosts: 127.0.0.32 no-spybot.com
O1 - Hosts: 127.0.0.33 onlinepcfix.com
O1 - Hosts: 127.0.0.34 pchell.com
O1 - Hosts: 127.0.0.35 pestpatrol.com
O1 - Hosts: 127.0.0.36 safer-networking.org
O1 - Hosts: 127.0.0.37 secure.spykiller.com
O1 - Hosts: 127.0.0.38 secureie.com
O1 - Hosts: 127.0.0.39 security.kolla.de
O1 - Hosts: 127.0.0.40 spybot.info
O1 - Hosts: 127.0.0.41 spychecker.com
O1 - Hosts: 127.0.0.42 spychecker.com
O1 - Hosts: 127.0.0.43 spycop.com
O1 - Hosts: 127.0.0.44 spyguard.com
O1 - Hosts: 127.0.0.45 spykiller.com
O1 - Hosts: 127.0.0.46 spyware.co.uk
O1 - Hosts: 127.0.0.47 spyware-cop.com
O1 - Hosts: 127.0.0.49 spywarenuker.com
O1 - Hosts: 127.0.0.50 spywareremove.com
O1 - Hosts: 127.0.0.51 spywareremove.com
O1 - Hosts: 127.0.0.52 stopzillapro.com
O1 - Hosts: 127.0.0.53 sunbelt-software.com
O1 - Hosts: 127.0.0.54 thiefware.com
O1 - Hosts: 127.0.0.55 tomcoyote.org
O1 - Hosts: 127.0.0.56 unwantedlinks.com
O1 - Hosts: 127.0.0.57 webattack.com
O1 - Hosts: 127.0.0.58 wilders.org
O1 - Hosts: 127.0.0.59 www.auditmypc.com
O1 - Hosts: 127.0.0.60 www.bulletproofsoft.net
O1 - Hosts: 127.0.0.61 www.cexx.org
O1 - Hosts: 127.0.0.62 www.computercops.us
O1 - Hosts: 127.0.0.63 www.ct7support.com
O1 - Hosts: 127.0.0.64 www.doxdesk.com
O1 - Hosts: 127.0.0.65 www.eblocs.com
O1 - Hosts: 127.0.0.66 www.enigmasoftwaregroup.com
O1 - Hosts: 127.0.0.67 www.free-spyware-scan.com
O1 - Hosts: 127.0.0.68 www.free-web-browsers.com
O1 - Hosts: 127.0.0.69 www.grc.com
O1 - Hosts: 127.0.0.70 www.grisoft.com
O1 - Hosts: 127.0.0.71 www.hackfaq.org
O1 - Hosts: 127.0.0.72 www.hazeleger.net
O1 - Hosts: 127.0.0.73 www.javacoolsoftware.com
O1 - Hosts: 127.0.0.74 www.kellys-korner-xp.com
O1 - Hosts: 127.0.0.75 www.kephyr.com
O1 - Hosts: 127.0.0.76 www.lavasoft.de
O1 - Hosts: 127.0.0.77 www.lavasoftusa.com
O1 - Hosts: 127.0.0.78 www.lurkhere.com
O1 - Hosts: 127.0.0.79 www.majorgeeks.com
O1 - Hosts: 127.0.0.80 www.merijn.org
O1 - Hosts: 127.0.0.81 www.mjc1.com
O1 - Hosts: 127.0.0.82 www.moosoft.com
O1 - Hosts: 127.0.0.83 www.mvps.org
O1 - Hosts: 127.0.0.84 www.net-integration.net
O1 - Hosts: 127.0.0.85 www.noadware.net
O1 - Hosts: 127.0.0.86 www.no-spybot.com
O1 - Hosts: 127.0.0.87 www.onlinepcfix.com
O1 - Hosts: 127.0.0.88 www.pchell.com
O1 - Hosts: 127.0.0.89 www.pestpatrol.com
O1 - Hosts: 127.0.0.90 www.safer-networking.org
O1 - Hosts: 127.0.0.91 www.secureie.com
O1 - Hosts: 127.0.0.92 www.security.kolla.de
O1 - Hosts: 127.0.0.93 www.spybot.info
O1 - Hosts: 127.0.0.94 www.spychecker.com
O1 - Hosts: 127.0.0.95 www.spychecker.com
O1 - Hosts: 127.0.0.96 www.spycop.com
O1 - Hosts: 127.0.0.97 www.spyguard.com
O1 - Hosts: 127.0.0.98 www.spykiller.com
O1 - Hosts: 127.0.0.99 www.spyware.co.uk
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {D23EBA97-18D0-45C2-B051-A866F06EB8D3} - C:\WINDOWS\System32\pnif.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [PowerStrip] c:\program files\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi(...)bs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.co(...)5,0,4283/mcfscan.cab
O16 - DPF: {FF0C042C-98E9-4C36-B2EC-E21FDFDCEF75} (InstallCtl Class) - http://download.redswoosh.com/Installer/rsinstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B1D4DE5-3500-4DA0-BF1E-B923E9591958}: NameServer = 195.121.1.34 195.121.1.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{3B1D4DE5-3500-4DA0-BF1E-B923E9591958}: NameServer = 195.121.1.34 195.121.1.66
quote:Mwoah.. der zijn genoeg andere programma's nog.. Spysweeper haalt sowieso al weer meer weg dan adaware en/of spybot. HijackThis helpt ook goed als je weet hoe te gebruiken. En zo zijn der nog een hoop programma's en anders moet je hier eens kijken.. Daar kunnen ze je gegarandeerd helpen.Op zondag 20 juni 2004 13:30 schreef The-Chosen1 het volgende:
[..]
ben ik met je eens , maar op di moment is voor dit geval GEEN oplossing , geloof heb alles geprobeerd van spydocter /spybot1.3 sd / schredder adawere6.0 alles !!!! en ben toch niet echt een computer leek
quote:Blijkbaar kon je een hoop bekende pagina's over spyware dus niet meer bereiken aangezien die in je hosts file staan/stonden.R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\EIGENMAP~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\EIGENMAP~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\EIGENMAP~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\EIGENMAP~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\EIGENMAP~1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\EIGENMAP~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankO1 - Hosts: 127.0.0.0 localhost
O1 - Hosts: 127.0.0.2 auditmypc.com
O1 - Hosts: 127.0.0.3 boards.cexx.org
O1 - Hosts: 127.0.0.4 bulletproofsoft.net
O1 - Hosts: 127.0.0.5 camtech2000.net
O1 - Hosts: 127.0.0.6 cexx.org
O1 - Hosts: 127.0.0.7 computercops.us
O1 - Hosts: 127.0.0.8 ct7support.com
O1 - Hosts: 127.0.0.9 doxdesk.com
O1 - Hosts: 127.0.0.20 kellys-korner-xp.com
O1 - Hosts: 127.0.0.21 kephyr.com
O1 - Hosts: 127.0.0.22 lavasoft.de
O1 - Hosts: 127.0.0.23 lavasoftusa.com
O1 - Hosts: 127.0.0.24 lurkhere.com
O1 - Hosts: 127.0.0.25 majorgeeks.com
O1 - Hosts: 127.0.0.26 merijn.org
O1 - Hosts: 127.0.0.27 mjc1.com
O1 - Hosts: 127.0.0.28 moosoft.com
O1 - Hosts: 127.0.0.29 mvps.org
O1 - Hosts: 127.0.0.30 net-integration.net
O1 - Hosts: 127.0.0.31 noadware.net
O1 - Hosts: 127.0.0.32 no-spybot.com
O1 - Hosts: 127.0.0.33 onlinepcfix.com
O1 - Hosts: 127.0.0.34 pchell.com
O1 - Hosts: 127.0.0.35 pestpatrol.com
O1 - Hosts: 127.0.0.36 safer-networking.org
O1 - Hosts: 127.0.0.37 secure.spykiller.com
O1 - Hosts: 127.0.0.38 secureie.com
O1 - Hosts: 127.0.0.39 security.kolla.de
O1 - Hosts: 127.0.0.40 spybot.info
O1 - Hosts: 127.0.0.41 spychecker.com
O1 - Hosts: 127.0.0.42 spychecker.com
O1 - Hosts: 127.0.0.43 spycop.com
O1 - Hosts: 127.0.0.44 spyguard.com
O1 - Hosts: 127.0.0.45 spykiller.com
O1 - Hosts: 127.0.0.46 spyware.co.uk
O1 - Hosts: 127.0.0.47 spyware-cop.com
O1 - Hosts: 127.0.0.49 spywarenuker.com
O1 - Hosts: 127.0.0.50 spywareremove.com
O1 - Hosts: 127.0.0.51 spywareremove.com
O1 - Hosts: 127.0.0.52 stopzillapro.com
O1 - Hosts: 127.0.0.53 sunbelt-software.com
O1 - Hosts: 127.0.0.54 thiefware.com
O1 - Hosts: 127.0.0.55 tomcoyote.org
O1 - Hosts: 127.0.0.56 unwantedlinks.com
O1 - Hosts: 127.0.0.57 webattack.com
O1 - Hosts: 127.0.0.58 wilders.org
O1 - Hosts: 127.0.0.59 www.auditmypc.com
O1 - Hosts: 127.0.0.60 www.bulletproofsoft.net
O1 - Hosts: 127.0.0.61 www.cexx.org
O1 - Hosts: 127.0.0.62 www.computercops.us
O1 - Hosts: 127.0.0.63 www.ct7support.com
O1 - Hosts: 127.0.0.64 www.doxdesk.com
O1 - Hosts: 127.0.0.65 www.eblocs.com
O1 - Hosts: 127.0.0.66 www.enigmasoftwaregroup.com
O1 - Hosts: 127.0.0.67 www.free-spyware-scan.com
O1 - Hosts: 127.0.0.68 www.free-web-browsers.com
O1 - Hosts: 127.0.0.69 www.grc.com
O1 - Hosts: 127.0.0.70 www.grisoft.com
O1 - Hosts: 127.0.0.71 www.hackfaq.org
O1 - Hosts: 127.0.0.72 www.hazeleger.net
O1 - Hosts: 127.0.0.73 www.javacoolsoftware.com
O1 - Hosts: 127.0.0.74 www.kellys-korner-xp.com
O1 - Hosts: 127.0.0.75 www.kephyr.com
O1 - Hosts: 127.0.0.76 www.lavasoft.de
O1 - Hosts: 127.0.0.77 www.lavasoftusa.com
O1 - Hosts: 127.0.0.78 www.lurkhere.com
O1 - Hosts: 127.0.0.79 www.majorgeeks.com
O1 - Hosts: 127.0.0.80 www.merijn.org
O1 - Hosts: 127.0.0.81 www.mjc1.com
O1 - Hosts: 127.0.0.82 www.moosoft.com
O1 - Hosts: 127.0.0.83 www.mvps.org
O1 - Hosts: 127.0.0.84 www.net-integration.net
O1 - Hosts: 127.0.0.85 www.noadware.net
O1 - Hosts: 127.0.0.86 www.no-spybot.com
O1 - Hosts: 127.0.0.87 www.onlinepcfix.com
O1 - Hosts: 127.0.0.88 www.pchell.com
O1 - Hosts: 127.0.0.89 www.pestpatrol.com
O1 - Hosts: 127.0.0.90 www.safer-networking.org
O1 - Hosts: 127.0.0.91 www.secureie.com
O1 - Hosts: 127.0.0.92 www.security.kolla.de
O1 - Hosts: 127.0.0.93 www.spybot.info
O1 - Hosts: 127.0.0.94 www.spychecker.com
O1 - Hosts: 127.0.0.95 www.spychecker.com
O1 - Hosts: 127.0.0.96 www.spycop.com
O1 - Hosts: 127.0.0.97 www.spyguard.com
O1 - Hosts: 127.0.0.98 www.spykiller.com
O1 - Hosts: 127.0.0.99 www.spyware.co.uk
O2 - BHO: (no name) - {D23EBA97-18D0-45C2-B051-A866F06EB8D3} - C:\WINDOWS\System32\pnif.dll
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} - http://dialxs.nl/install/dialxs.ocx
[ Bericht 0% gewijzigd door Psycho_Flip op 20-06-2004 13:40:06 (verduidelijking) ]
quote:Hijjack thisOp zondag 20 juni 2004 13:32 schreef Disorder het volgende:
Ah, gefixed:
[..]
quote:Idd een goed programma maar niet echt iets voor een leek.Op zondag 20 juni 2004 13:29 schreef yvonne het volgende:
[..]
Niks thumbs down, ik heb die pagina regelmatig gehad en kreeg hem alleen maar weg met Hijjack this.
quote:Doe dat danOp zondag 20 juni 2004 13:41 schreef Disorder het volgende:
Ik bedoelde met gefixed dat ik notepad terug heb gevonden. Ik ga nu Hijackthis proberen
quote:Ik ben de grootste computer leek op dit forum, en heb het met dat proggie ook weg gekregen.Op zondag 20 juni 2004 13:42 schreef Megumi het volgende:
[..]
Idd een goed programma maar niet echt iets voor een leek.
quote:Screenshotje?Op zondag 20 juni 2004 13:44 schreef Disorder het volgende:
Gedaan. Het is er nog steeds
quote:Hier was ik niet zeker van, maar ik heb ze zelf niet erin staan, dus ik gok erop dat ze weg kunnen (en aangezien hijackthis er toch een backupje van maakt..)O17 - HKLM\System\CCS\Services\Tcpip\..\{3B1D4DE5-3500-4DA0-BF1E-B923E9591958}: NameServer = 195.121.1.34 195.121.1.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{3B1D4DE5-3500-4DA0-BF1E-B923E9591958}: NameServer = 195.121.1.34 195.121.1.66
quote:Zie vorige pagina, of bedoel je dat niet?Op zondag 20 juni 2004 13:46 schreef yvonne het volgende:
[..]
Screenshotje?
quote:Nee van nu net, wat je weggehaald hebt.Op zondag 20 juni 2004 13:47 schreef Disorder het volgende:
[..]
Zie vorige pagina, of bedoel je dat niet?
quote:Ook niks. Het zit er nog steeds. Sterker nog, wanneer ik opnieuw scan zijn veel van die dingen gewoon weer teruggekeerd (vooral die SP files in m'n temp directory). Ik vermoed dat dat het is. Er zit dus iets op m'n HD dat die dingen gewoon opnieuw blijft installeren.Op zondag 20 juni 2004 13:47 schreef Psycho_Flip het volgende:
Flikker deze dan ook nog weg:
[..]
Hier was ik niet zeker van, maar ik heb ze zelf niet erin staan, dus ik gok erop dat ze weg kunnen (en aangezien hijackthis er toch een backupje van maakt..)
quote:Denk dat ie weggehaald heeft wat ik op de vorige pagina had geplaatst.. Die halve pleurislijst dus..Op zondag 20 juni 2004 13:49 schreef yvonne het volgende:
[..]
Nee van nu net, wat je weggehaald hebt.
@disorder: Heb je ook de laatste versie van CWShredder gebruikt??
quote:Hmz, als je nou in de FAQ gekeken had met de link die ik je gaf, Ad Aware met de nieuwste update had gedraaid dan was je er al vanaf geweest.Op zondag 20 juni 2004 13:50 schreef Disorder het volgende:
Ook niks. Het zit er nog steeds. Sterker nog, wanneer ik opnieuw scan zijn veel van die dingen gewoon weer teruggekeerd (vooral die SP files in m'n temp directory). Ik vermoed dat dat het is. Er zit dus iets op m'n HD dat die dingen gewoon opnieuw blijft installeren.
Ik had hem 10 minuten geleden ook, Ad Aware erover en na 5 minuten was ik er al vanaf.
(Edit: Sowieso alle programma's die je gebruikt om te scannen in veilige modus draaien..)
quote:Dat heb ik dus ook gedaan en bij mij staat ie er nog.Op zondag 20 juni 2004 13:56 schreef FredvZ het volgende:
[..]
Hmz, als je nou in de FAQ gekeken had met de link die ik je gaf, Ad Aware met de nieuwste update had gedraaid dan was je er al vanaf geweest.
Ik had hem 10 minuten geleden ook, Ad Aware erover en na 5 minuten was ik er al vanaf.
Eerst verwijder je evt de favorieten die hij toegevoegd heeft, dan draai je ad-aware en vervolgens Hijackthis.
Dan start je je computer opnieuw op, in de veilige modus (f8 tijdens opstarten?) en draait Hijackthis voor de tweede maal. Bij mij vond hij wat extra bestandjes, die hij bij de eerste keer niet vond.
Geen idee waarom het werkte
maar dat deed het dus wel.heb het volgende gedaan:
START -> UITVOEREN type msconfig <ENTER>
ga in de opstart lijst kijken en kijk of er nutteloze dingen tussen staan
bij mij was het Is.exe, deze uit gevinkt and it was gone with the wind..
quote:Dit heeft geen nut meer aangezien er met HijackThis die regel compleet verwijderd wordt uit het register en dus ook niet meer zal opstarten. Enige punt is dat een aantal dingen steeds weer terugkomen bij TS.Op zondag 20 juni 2004 14:05 schreef Dwaashaas het volgende:
ik had laats ook zoiets
heb het volgende gedaan:
START -> UITVOEREN type msconfig <ENTER>
ga in de opstart lijst kijken en kijk of er nutteloze dingen tussen staan
bij mij was het Is.exe, deze uit gevinkt and it was gone with the wind..
quote:Oei, nu ben ik niet erg technisch, maaaaar, Norton gaf bij mij ZOveel probs, dus ook Norton opeens verdwenen etc, die heb ik vervangen door MCafee, nooit meer probs gehad, ook geen hijjacks meer.!Op zondag 20 juni 2004 14:02 schreef Disorder het volgende:
Bovendien kan ik Norton Antivirus niet meer gebruiken. Als ik 'm opstart laadt ie eventjes maar hij verschijnt daarna niet in beeld.
quote:Euhm.. doe dan ook maar ff een online virusscan.. (ik zag deze post pas nadat yvonne hem gequote had..)Op zondag 20 juni 2004 14:02 schreef Disorder het volgende:
Bovendien kan ik Norton Antivirus niet meer gebruiken. Als ik 'm opstart laadt ie eventjes maar hij verschijnt daarna niet in beeld.
quote:housecall.trendmicro.comOp zondag 20 juni 2004 14:02 schreef Disorder het volgende:
Bovendien kan ik Norton Antivirus niet meer gebruiken. Als ik 'm opstart laadt ie eventjes maar hij verschijnt daarna niet in beeld.
Dit komt dus telkens terug. Zelfs na álle truuks in dit topic geprobeerd te hebben.
Ik ga lekker hardlopen, ik word hier niet goed van.
quote:Dan komt ie na herstart gewoon weer terug...Op zondag 20 juni 2004 14:45 schreef mvt het volgende:
dan verwijder je die toch uit je register (handmatig) net als de file waar ie naar verwijst
En als je via veilige modus nu eens wat gaat klooien in windows ?
start - zoeken etc. dan vul je bij zoek scherm / homeoldsp in kijken wat hij vind en verwijderen
zelfde doe je met cool web search
quote:jammer joh dat ik in de ICT werk en regelmatig dit soort zooi tegenkom. maar maakt niet uit. doe jij maar lekker een volledige herinstallatie als je een beetje spywaretroep op je pc hebtOp zondag 20 juni 2004 13:21 schreef The-Chosen1 het volgende:
[..]
typisch een reply van iemand die nog nooit deze vorm van spyware heeft gehad , als je niet weet waar je het over hebt reageer dan gewoon niet
Daar zitten wat mensjes die er heeeeeel erg veel vanaf weten en je hopelijk kunnen helpen. Mochten ze het daar op kunnen lossen, meldt het dan hier ook ff..
En dan vooral naar CWS.Searchx
Bij die variant van CoolWebSearch komt ook een sp-file voor.. Hopelijk vind je op die pagina nog wat wat je uit kunt proberen..
quote:als je dit doet, start je pc dan niet elke keer in diagnostische mode op?Op zondag 20 juni 2004 14:05 schreef Dwaashaas het volgende:
ik had laats ook zoiets
heb het volgende gedaan:
START -> UITVOEREN type msconfig <ENTER>
ga in de opstart lijst kijken en kijk of er nutteloze dingen tussen staan
bij mij was het Is.exe, deze uit gevinkt and it was gone with the wind..
quote:Euhm.. ligt eraan wat je met diagnotische mode bedoelt.. Er komt als je in msconfig iets veranderd inderdaad een schermpje als je de pc opgestart hebt, maar dat kun je weghalen door ff een vinkje te plaatsen in dat schermpje..Op zondag 20 juni 2004 18:21 schreef eyal het volgende:
[..]
als je dit doet, start je pc dan niet elke keer in diagnostische mode op?
quote:Op zondag 20 juni 2004 18:17 schreef Psycho_Flip het volgende:
Kijk hier eens: http://www.spywareinfo.com/~merijn/cwschronicles.html
En dan vooral naar CWS.Searchx
Bij die variant van CoolWebSearch komt ook een sp-file voor.. Hopelijk vind je op die pagina nog wat wat je uit kunt proberen..
quote:Okay, daar heb ik nou dus nog niet zoveel zin in. Ik begin er morgen wel aan, of ik wacht tot CWShredder opnieuw geupdate is.* MANUAL REMOVAL INSTRUCTIONS *
Download PrcView here: http://www.spywareinfo.com/~merijn/files/pv.zip, unzip it to the desktop.
Be sure to have at least 1 Internet Explorer window open, then double click on the runme.bat.
Select option '2' from the menu.
Notepad will open with a log in it. Look for a line with this file, size and beginning to it.
The filename will always be different:
winajbm.dll 61c00000 61440 c:\windows\system32\winajbm.dll
This part indicates the bad file:
61c00000 61440
It will always start with that header.
Write down the filename behind it.
Now download KillBox:
http://download.broadbandmedic.com/VbStuff/KillBox.zip
Unzip and run it.
Don't click any of the buttons though, instead please click on the Action menu and choose "Delete on Reboot".
On the next screen, click on the File menu and choose "Add File". The file you copied earlier should now show up in the window. If that's successful, choose the Action menu and select "Process and Reboot". You'll be prompted to reboot, do so.
After rebooting, make sure the file is gone.
Tech info: Win9x/ME: Known to use the HKLM RunServicesOnce key to load, which is deleted by Windows after loading the file and recreated by the dll when Windows shuts down. Visible in Safe Mode, dll file is not loaded then and can be deleted.
WinNT/2000/XP: Known to use the HKLM AppInit_DLLs value to load, possibly more Registry keys. The 'delete file on reboot' function can be used (KillBox does this), provided the filename is known.
File is heavily encrypted using an unknown packer, has a modified PE header and crashes most (if not all) memory dumpers when attempted to dump the file from memory. Hides the dll as well as the host process (IEXPLORE.EXE, RUNDLL32.EXE, CONTROL.EXE, REGSVR32.EXE, whichever one is used) by an unknown method.
gevonden!!
onderaan op http://searchweb2.com/ klik je op Help en dan How do I uninstall one of your software products? en dan kan je een uninstaller downloaden.
Soms is het zoo simpel
quote:WheheheheOp zondag 20 juni 2004 20:16 schreef moussy het volgende:
Staat er aan de linkerkant niet iets van help of zo, er moet een manier zijn om iets te downloaden, kan je doen via die site en dan verwijder je alles wat van search the web troep dat op je pc staat.
gevonden!!
onderaan op http://searchweb2.com/ klik je op Help en dan How do I uninstall one of your software products? en dan kan je een uninstaller downloaden.
Soms is het zoo simpel
Ik denk dat er in die voorinstallatie van Dell deze meuk wordt meegeďnstalleerd (bij mij geen twijfel, aangezien het bij mij na 2 dagen al kwam), die je vanzelf activeert met één of ander programma. Hebben de mensen die die problemen hebben inderdaad een Dell?
Dit is nog erger dan spam! Wanneer gaan hierover rechtszaken beginnen?
edit:
6. Click "Start" -> "Run" -> regedit
7. Go to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
8. Select key {FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880}
dat was in mijn geval de key die voor de troep zorgde
quote:Als het goed is is die van mij eraan gerelateerd.Op zondag 20 juni 2004 21:17 schreef Psycho_Flip het volgende:
@disorder: dat stukje wat je gekopieerd hebt is niet van die CWS.SearchX, maar van CWS.Realyellowpage.. Is dus weer een compleet ander ding, maar kijk ook zeker naar bovengenoemde suggesties..
Hij maakt namelijk elke keer als je je datum wijzigd (of elke nieuwe dag) een nieuwe *random*.dll aan in je system32.
Deze kun je wel verwijderen in Safemode, maar je moet het hoofdbestand hebben die die *random*.dll's aanmaakt, en die kan ik dus niet vinden, op dit moment zit hij er nog steeds op en ik heb echt ALLES geprobeerd maar krijg hem er niet vanaf, ik ben al 2 maanden (waarvan 1 maand intensief) bezig dit hoertje z'n nek om te draaien.
http://www.siena.edu/antivirus/Spyware/CWS.htm
quote:Helpt ook niet. Die coolwebsearch bot heeft tientallen varianten. Laat ik er nou net één hebben die zeer moeilijk te verwijderen is en waarvoor blijjkbaar ook nog geen oplossing bestaat.Op maandag 21 juni 2004 08:09 schreef piere het volgende:
probeer eens:
http://www.siena.edu/antivirus/Spyware/CWS.htm
[ Bericht 0% gewijzigd door Shaman op 21-06-2004 09:09:56 ]
quote:Ik zie in beide pics de urrel 'about:blank' staan.Op zondag 20 juni 2004 12:41 schreef FlyingFox het volgende:
Ik wilde er net een topic over openen!
[afbeelding]
Zou die herschreven kunnen worden?
[ Bericht 4% gewijzigd door DaCybrSrfr op 21-06-2004 08:23:09 (klinkt iets vriendelijker) ]
quote:Dat is niet het probleem, volgens mij is about:blank trouwens geen fysieke pagina, door met HijackThis de entry about:blank die naar een bestand verwijst te verwijderen kom je hier wel van af. Als je de bron opvraagt van de pagina, zie je bovenin ook de source van de pagina urlencoded weergegeven. Door op bijv. deze pagina de urlencoded string te ontcijferen kun je erachter komen welke dll het veroorzaakt. De dll verwijderen is alleen niet de oplossing voor alle problemen, hij komt dan terug zodra je opnieuw opstart maar dan onder een andere, uit vier random gekozen letters bestaande naam.Op maandag 21 juni 2004 08:22 schreef DaCybrSrfr het volgende:
[..]
Ik zie in beide pics de urrel 'about:blank' staan.
Misschien wel es aan gedacht dat die herschreven kan worden?
zoek ergens "xqdcxsp-setup" op en daarin zit dacht ik ook een goede tool om browser hijacks uit het register enzo te halen.
maar browser hijacks worden ook redelijk goed besproken op de officiele microsoft website(en al je windows zooi updaten scheelt soms ook iets)
quote:oe.. ik leer nog wat hier..Op maandag 21 juni 2004 08:26 schreef Shaman het volgende:
[..]
Dat is niet het probleem, volgens mij is about:blank trouwens geen fysieke pagina, door met HijackThis de entry about:blank die naar een bestand verwijst te verwijderen kom je hier wel van af. Als je de bron opvraagt van de pagina, zie je bovenin ook de source van de pagina urlencoded weergegeven. Door op bijv. deze pagina de urlencoded string te ontcijferen kun je erachter komen welke dll het veroorzaakt. De dll verwijderen is alleen niet de oplossing voor alle problemen, hij komt dan terug zodra je opnieuw opstart maar dan onder een andere, uit vier random gekozen letters bestaande naam.
en in register bij HKEY_LOCAL_MACHINE/....../Run staan verder geen maffe entry's...
Of in windows ini files.
quote:In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs staat een dll die het probleem veroorzaakt.Op maandag 21 juni 2004 08:37 schreef DaCybrSrfr het volgende:
[..]
oe.. ik leer nog wat hier..
en in register bij HKEY_LOCAL_MACHINE/....../Run staan verder geen maffe entry's...
Of in windows ini files.
Note If you are running Microsoft Windows NT 4.0, Windows 2000, or Windows XP, you must log on as a user with administrator credentials to follow these steps. If your network system administrator used the IEAK, Group Policy, System Policy, or registry settings to configure your home page, contact your system administrator before you follow these steps:
Obtain and run a current antivirus program, with up-to-date virus definitions (signatures), and follow the instructions for cleaning or removing any viruses that are found. Microsoft does not provide software to stop virus infections or to clean infected computers. You may want to contact an antivirus software vendor for more information about how to remove a virus from your computer and how to help prevent future infections. If your computer has been infected, it may be open to additional forms of attack.
For additional information about how to determine if your computer is infected with a virus, worm, or trojan, how to recover from an infection, how to help prevent future infections from a virus, and how to contact antivirus software vendors, click the following article number to view the article in the Microsoft Knowledge Base:
129972 Computer Viruses: Description, Prevention, and Recovery
For additional information about how to recover an already compromised system, visit the CERT Coordination Center at the following CERT Web site:
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
Microsoft provides third-party contact information to help you find technical support. This contact information may change without notice. Microsoft does not guarantee the accuracy of this third-party contact information.
Open the Web site that you want to set as your home page in Internet Explorer.
Click Tools, click Internet Options, and then click Use Current. Restart your computer, and then restart Internet Explorer. If the issue is resolved, do not follow the remaining steps.
Perform a clean boot of your computer.
For additional information about how to clean boot your operating system, click the following article numbers to view the articles in the Microsoft Knowledge Base:
310353 How to Perform a Clean Boot in Windows XP
281770 How to Perform Clean-Boot Troubleshooting for Windows 2000
267288 How to Perform a Clean Boot in Windows Millennium Edition
192926 How to Perform Clean-Boot Troubleshooting for Windows 98
243039 How to Perform a Clean Boot in Windows 95
Repeat steps 2 and 3.
If the issue is resolved, you have installed third-party software that changed your Internet Explorer home page or code in the form of a malicious attack, such as an unknown virus has been run on your system. One of the startup items that were removed by using the clean boot method is causing the issue. Any startup items that run Regedit.exe or a .reg, .hta, .vbs, or .js file may be the cause of the issue. Leave any such startup items or suspected third-party software turned off, and then continue troubleshooting with the next step.
Click Start, and then click Run.
In the Open box, type regedit, and then click OK.
In Registry Editor, locate the following subkey, if it exists:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
If the ResetWebSettings value or the HomePage value exists in this key, right-click the values, and then click Delete.
Note You may also want to verify any Web site information contained in the Default_Page_URL value and the Start Page value in the following registry keys:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main
On the Edit menu, click Delete, and then click Yes to confirm the deletion.
On the File menu or on the Registry menu, click Exit to quit Registry Editor.
Repeat steps 2 and 3. If the issue is resolved, turn on the startup items that you turned off in step 4 except for the items that may be causing the issue for example, commands that run Regedit.exe or a .reg, .hta, .vbs, or .js file. If the issue recurs, you turned on the startup item that was causing the issue. Repeat steps 4 through 11.
Important: After the issue is resolved, follow these steps to help prevent the problem from recurring:
Do not run, save, or download a program from a source that you do not trust.
Regularly use a current antivirus product.
If you are running Microsoft Outlook 2000 or Outlook 98, upgrade to Outlook 2000 SR-2 or later, or install the Outlook 2000 SR-1 Extended E-mail Security update. To install this update, visit the following Microsoft Web site:
http://office.microsoft.com/Downloads/2000/Out2ksec.aspx
If you are running Outlook Express, upgrade to Outlook Express 6 or later. Make sure that Active Scripting is turned off for e-mail and block e-mail attachments.
For additional information about how to do this, click the following article number to view the article in the Microsoft Knowledge Base:
291387 OLEXP: Using Virus Protection Features in Outlook Express 6
If you connect to the Internet directly, use a firewall. For additional information about firewalls, visit the following Microsoft Web site:
http://www.microsoft.com/security/articles/firewall.asp
If a virus or code in the form of a malicious attack has been run on your system, delete all Temporary Internet Files, Cookies, and Internet Explorer History items.
For additional information about how to do this, click the following article numbers to view the articles in the Microsoft Knowledge Base:
260897 How to Delete the Contents of the Temporary Internet Files Folder
278835 How to Delete Cookie Files
157729 How to Clear the History Entries in Internet Explorer
You may also want to search your hard disk for files that may have been used by the virus or code in the form of a malicious attack and delete these files. For example, files named Rad*.tmp (where * is a random set of letters and numbers), any files containing "regedit" or ".reg" (for example, a file containing "C:\Windows\regedit.exe/s C\Windows\System\radB9819.tmp"), or Windows.vbs are known to be associated with certain viruses.
Regularly download and install all critical security updates. To do this, visit the following Microsoft Web site:
http://windowsupdate.microsoft.com
Some older versions of Windows and Internet Explorer may no longer be supported by Microsoft. As a result, the latest security patches may not be available for these products. For information about which products are still supported, visit the following Microsoft Web site:
http://support.microsoft.com/default.aspx?scid=fh;en-us;LifeWin
If your operating system or Internet Explorer version is no longer supported, you may want to upgrade so that you can receive the latest security patches.
MORE INFORMATION
For additional information about a related problem with the Search feature in Internet Explorer, click the following article number to view the article in the Microsoft Knowledge Base:
323869 Adult Content Web Site Is Unexpectedly Displayed in Browser Window When You Click Search
The third-party products that are discussed in this article are manufactured by companies that are independent of Microsoft. Microsoft makes no warranty, implied or otherwise, regarding the performance or reliability of these products.
quote:lol, CWS komt binnen via een exploit in de MS Java Virtual MachineImportant: After the issue is resolved, follow these steps to help prevent the problem from recurring:
Do not run, save, or download a program from a source that you do not trust.
quote:De laatste versies van CWS zorgen er juist voor dat je dit niet meer kan doenRegularly download and install all critical security updates.
quote:1 hint: HijackThis ff laten draaien. Die vindt altijd nog dingen die niet door adaware/spybot gevonden worden.Op maandag 21 juni 2004 11:04 schreef glossy het volgende:
mijn start pagina kan ik ook niet meer veranderen,soms veranderd hij uit zich zelf maar ik kan hem niet veranderen heb al gekeken naar iets raars op me pc en heb ad awary ,spybot,trojan enzo allemaal laten scannen maar niks hielp,ik heb geen idee wat het is en kom er ook niet uit,ben er al een hele tijd klaar mee,en laat het maar zo zitten ooit formateer ik de hele sooi wel weer is
zou niet weten hoe ik dat moet doen (nee ben niet blond
)1. Men start hijackthis op
2. Klik op scan
3. Klik op save log (en sla het bestand dus ergens op)
4. Open het opgeslagen bestandje (je moet dus wel weten waar je het hebt opgeslagen bij stap 3.)
5. Doe CTRL+A, dan CTRL+C, dan weer een reactie plaatsen hier
6. Zet in die reactie [quote] en dan doe je CTRL+V [/ quote] (zonder de spatie na de /)
7. Nu zou in je reactie die log file geplakt moeten zijn.
8. Met een beetje mazzel word je verteld wat je weg kan halen.
(offtopic.. ieeeeeeeeeks... je speelt "The Sims"...)
Scan saved at 11:55:09, on 21-6-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\PROGRA~1\SIZECR~1\Upload flag save.exe
C:\Program Files\WindowsSA\omniscient.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\com.exe
C:\Program Files\Innovative Technologies\Advanced Popup Killer 2002\Killer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\mslagent\mslagent.exe
C:\WINDOWS\System32\rundll32.exe
C:\Documents and Settings\sonja\Application Data\csta.exe
C:\WINDOWS\System32\wnsapisu.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Save\Save.exe
C:\Program Files\MSN\MSNCoreFiles\msn6.exe
C:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\Documents and Settings\sonja\Bureaublad\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/NowOnline/Portal/portal.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/NowOnline/Portal/portal.html
R3 - URLSearchHook: (no name) - _{8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {021BB032-80A8-4FB6-B3D5-CF27B1553B95} - C:\WINDOWS\mslagent\4b_1,0,1,0_mslagent.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~2\BHO\INCFIN~1.DLL
O2 - BHO: (no name) - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINDOWS\System32\ibauayi.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: (no name) - {B6E50AAB-7F0A-4787-9187-B38FED9A4CE4} - C:\WINDOWS\raM5N8M.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {F5F2C96E-E8E3-A55D-46A2-C5E74E6438A8} - C:\PROGRA~1\UserBalm\Ball Ooze.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKLM\..\Run: [DM_Server] C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe /onreboot
O4 - HKLM\..\Run: [3C92D840] C:\WINDOWS\System32\upabezurci.exe
O4 - HKLM\..\Run: [Fortis Secure Layer Config] cseinst.exe -o-h
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [pluscoal] C:\PROGRA~1\SIZECR~1\Upload flag save.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [CLSID] C:\WINDOWS\System32\com.exe
O4 - HKCU\..\Run: [Popup Killer] C:\Program Files\Innovative Technologies\Advanced Popup Killer 2002\Killer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [mslagent] C:\WINDOWS\mslagent\mslagent.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1014.dll,InstantAccess
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Hart] C:\Documents and Settings\sonja\Application Data\csta.exe
O4 - HKCU\..\Run: [WNST] C:\WINDOWS\System32\wnsapisu.exe
O4 - HKCU\..\Run: [C:\WINDOWS\System32\iyigopa.dll] C:\WINDOWS\System32\iyigopa.dll /c del >nul
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O10 - Hijacked Internet access by New.Net
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.(...)GAUTH_1014_EN_XP.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/ima(...)tialSetup1.0.0.8.cab
O16 - DPF: {26E8361F-BCE7-4F75-A347-98C88B418322} - http://download.websearch.com/Dnl/T_50085/QDow.cab
O16 - DPF: {2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C} (MiniBugTransporterX Class) - http://download.weatherbu(...)iBugTransporter.cab?
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab
O16 - DPF: {65B818E1-F4D8-4F96-A1DF-35F3D1C86194} (limmyloding.limmyform) - http://bins.roings.com/mp3.cab
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers/pinstall/pinstall.cab
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - http://www2.flingstone.com/cab/2000XP/bridge-c5.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi(...)bs/flash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_EN_XP.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.c(...)nloader/imloader.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/dlaccell.CAB
zo dan
(offtopic:wat is er mis met de sims??)
- Open internet explorer en zoek in de bron de weergegeven SRC van de pagina op (ziet er zo uit: res://%20%31...etc) en kopieer dit.
- Ontcijfer op deze pagina de tekens die je zojuist gekopieerd heb.
- schrijf het pad wat nu weergegeven wordt op
- zoek in het register deze sleutel op:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs en schrijf de naam van de dll op.
- Sluit met Killbox alle svchost entries en andere vreemde systeemprocessen.
- Download CoolWWWSearch.SmartKiller removal tool en start deze.
- Download CWShredder en start deze
- Download HijackThis en verwijder alle sleutels die verwijzen naar lege bestanden of sleutels met namen als 'searchThis' en 'CoolWebSearch', verwijder ook alle andere rommel die je niet kunt plaatsen, alleen bij de sleutels met nummers 04(wat laad windows in) 012(.spop, weet niet precies wat dit is) & 017 (DNS servers) is voor zover ik weet wat voorzichtigheid geboden
- Laat Ad-Aware een scan doen en verwijder alles.
- Laat Spybot S & D een scan doen en verwijder alles.
- Open het register en maak een backup
- Zoek en verwijder alle verwijzingen naar de opgeschreven dll's
- Verwijder met Killbox de opgeschreven dll's
Ik geef geen garanties, maar deze methode werkte wel op mijn vaders computer (win2k). Het enige probleem dat hij nu nog heeft is dat windowsupdate niet meer werkt en dat Spyware blaster niet wil installeren. Ik hoop hier nog een oplossing voor kan vinden (anyone?)
tip1 : zoek naar deze file en verwijder die. (mssoemon.exe). Run dan Spybot S&D.
tip 2: Als je XP hebt kun je mbv system restore terug naar eerdere settings toen je er nog geen last van had.
succes.
@Shaman: Heb je al in de hosts file gekeken of daar niet toevallig de site van windowsupdate in staat??
quote:Ja, dat is het probleem niet, ik kom wel op de site, kan de laatste update ook downloaden, maar tijdens de installatie breek hij af en ook Spyware Blaster wil niet installeren...Op maandag 21 juni 2004 12:08 schreef Psycho_Flip het volgende:
@glossy: Je hebt er echt een hoop rotzooi op staan. Ik ga nu ff eten en dan kijk ik wel ff wat er allemaal weg kan. Het kan wel zo zijn dat je daarna een paar foutmelding krijgt bij het opstarten of dat een paar programma's niet meer werken (cometcursor of zoiets??). Heb je trouwens bij het installeren van MSN Plus gekozen voor: ik ga akkoord of ik ga niet akkoord (bij de 2e optie wordt het ook gewoon geinstalleerd, alleen dan zonder spyware..)
@Shaman: Heb je al in de hosts file gekeken of daar niet toevallig de site van windowsupdate in staat??
@Glossy MSNplus draaien kan ik je sterk afraden, er heeft al regelmatig een flink veiligheidslek ingezeten...
quote:dat er een hoop sooi opstaat ja dat weet ik ook wel ,krijg genog troep binnen via internet waar ik niks van af weet.Op maandag 21 juni 2004 12:08 schreef Psycho_Flip het volgende:
@glossy: Je hebt er echt een hoop rotzooi op staan. Ik ga nu ff eten en dan kijk ik wel ff wat er allemaal weg kan. Het kan wel zo zijn dat je daarna een paar foutmelding krijgt bij het opstarten of dat een paar programma's niet meer werken (cometcursor of zoiets??). Heb je trouwens bij het installeren van MSN Plus gekozen voor: ik ga akkoord of ik ga niet akkoord (bij de 2e optie wordt het ook gewoon geinstalleerd, alleen dan zonder spyware..)
en heb geen idee met msn plus staat er al zo lang op
Ik heb hem er toch echt uit gekregen via dat downloadje wat ik hier gepost had.. wat zijn jullie toch allemaal moeilijk aan het doen
quote:voor dat ik msn+ had ,kon ik me start pagina al niet meer veranderen,dus daar ligt het niet aan.Op maandag 21 juni 2004 12:23 schreef moussy het volgende:
die startpagina komt 9 van de 10x mee met msn+
Ik heb hem er toch echt uit gekregen via dat downloadje wat ik hier gepost had.. wat zijn jullie toch allemaal moeilijk aan het doen
ik heb het een en ander verwijderd methijackit en heb nu me startpagina terug maar kan nog steeds niks veranderen
quote:C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe
C:\PROGRA~1\SIZECR~1\Upload flag save.exe
C:\Program Files\WindowsSA\omniscient.exe
C:\WINDOWS\System32\com.exe
C:\WINDOWS\mslagent\mslagent.exe
C:\WINDOWS\System32\wnsapisu.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Save\Save.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/NowOnline/Portal/portal.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/NowOnline/Portal/portal.html
R3 - URLSearchHook: (no name) - _{8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {021BB032-80A8-4FB6-B3D5-CF27B1553B95} - C:\WINDOWS\mslagent\4b_1,0,1,0_mslagent.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~2\BHO\INCFIN~1.DLL
O2 - BHO: (no name) - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINDOWS\System32\ibauayi.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: (no name) - {B6E50AAB-7F0A-4787-9187-B38FED9A4CE4} - C:\WINDOWS\raM5N8M.dllO2 - BHO: (no name) - {F5F2C96E-E8E3-A55D-46A2-C5E74E6438A8} - C:\PROGRA~1\UserBalm\Ball Ooze.dll
O4 - HKLM\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKLM\..\Run: [DM_Server] C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe /onreboot
O4 - HKLM\..\Run: [3C92D840] C:\WINDOWS\System32\upabezurci.exeO4 - HKLM\..\Run: [pluscoal] C:\PROGRA~1\SIZECR~1\Upload flag save.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"
O4 - HKLM\..\Run: [CLSID] C:\WINDOWS\System32\com.exe
O4 - HKCU\..\Run: [mslagent] C:\WINDOWS\mslagent\mslagent.exe
O4 - HKCU\..\Run: [WNST] C:\WINDOWS\System32\wnsapisu.exe
O4 - HKCU\..\Run: [C:\WINDOWS\System32\iyigopa.dll] C:\WINDOWS\System32\iyigopa.dll /c del >nul
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O10 - Hijacked Internet access by New.NetO16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/ima(...)tialSetup1.0.0.8.cab
O16 - DPF: {26E8361F-BCE7-4F75-A347-98C88B418322} - http://download.websearch.com/Dnl/T_50085/QDow.cab
O16 - DPF: {2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C} (MiniBugTransporterX Class) - http://download.weatherbu(...)iBugTransporter.cab?
O16 - DPF: {65B818E1-F4D8-4F96-A1DF-35F3D1C86194} (limmyloding.limmyform) - http://bins.roings.com/mp3.cab
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers/pinstall/pinstall.cab
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - http://www2.flingstone.com/cab/2000XP/bridge-c5.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.c(...)nloader/imloader.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/dlaccell.CAB
quote:Als je een leek bent op dit gebied, meld je dan even aan op dit forum, plaats je log en binnen een kwartier weet je wat je moet doen!Op zondag 20 juni 2004 13:41 schreef Disorder het volgende:
Ik bedoelde met gefixed dat ik notepad terug heb gevonden. Ik ga nu Hijackthis proberen
Voor je Hijackthis gebruikt dien je wel eerst Spybot en Adaware te hebben gedraaid!!
Succes
http://forums.techguy.org/forumdisplay.php?f=54
Voor iedereen:
Ook niet onbelangrijk: http://forums.techguy.org/t208517.html
quote:De laatste oplossing:Op maandag 21 juni 2004 13:09 schreef glossy het volgende:
heb het verwijderd maar heeft niks geholpen kan nog steeds niet me start pagina veranderen
quote:Wordt de pagina zodra je het zelf veranderd hebt weer terug veranderd in een andere pagina van spyware? Zo ja, wat staat er dan in de adresbalk en plaats evt. een screenshot ervan.Op maandag 21 juni 2004 13:09 schreef glossy het volgende:
heb het verwijderd maar heeft niks geholpen kan nog steeds niet me start pagina veranderen
Ik heb al wat dingen uit deze post geprobeerd maar bij mij blijft het er ook gewoon op.
Ben nu nog aan het kloten met hijack this ik post straks wel een log
linkje naar eerste post met slotje
Spyware spam probleem help + screenshot
quote:Logfile of HijackThis v1.97.7
Scan saved at 15:03:53, on 21-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\niSvcLoc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Program Files\Common Files\Acronis\Schedule\schedule.exe
C:\AVERTV2K\QuickTV.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Emiel\Bureaublad\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Emiel\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Emiel\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Emiel\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Emiel\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Emiel\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Emiel\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.wleiden.net:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Acronis Schedule] C:\Program Files\Common Files\Acronis\Schedule\schedule.exe
O4 - HKLM\..\Run: [Ad-watch] "C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [Ad-aware] "C:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - Global Startup: QuickTV.lnk = C:\AVERTV2K\QuickTV.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.co(...)/TEInstallPlugIn.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://simcity.ea.com/update/EARTPX.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net(...)imeFullInstaller.exe
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://activex.webcam.nl/AxisCamControl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m(...)CAB?37814.3602430556
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {BC18E6DF-BE57-4580-93E8-F228F9A133AA} (MaxisSimCity4LotTeleX Control) - http://simcity.ea.com/exc(...)SimCity4LotTeleX.cab
O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/update/MaxisSimCity4PatcherX.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi(...)bs/flash/swflash.cab
O16 - DPF: {D3D83E08-54D1-4E9D-8EAF-9F979D139294} (MaxisSimCityScapeTeleX Control) - http://simcity.ea.com/scape/teleport/MaxisSimCityScapeTeleX.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp02.photoprintit.de/5/defaults/activex/XUpload.ocx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.wleiden.net:3128
Welke ik ook niet ken, en jij misschien wel is de volgende, dus ook ff zelf beoordelen of die weg kan:
C:\Program Files\Common Files\Acronis\Schedule\schedule.exe
Deze kunnen sowieso weg:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Emiel\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Emiel\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Emiel\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Emiel\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Emiel\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Emiel\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
Kijk ook hier even naar: http://www.spywareinfo.com/~merijn/cwschronicles.html#searchx
Wat jij hebt, is blijkbaar hetzelfde als Disorder heeft, dus ik hoop dat als hij/zij het verwijderd heeft het hier even laat weten hoe ie het gedaan heeft.
quote:ik kan het helemaal niet zelf veranderen me start pagina,heb een hoop er uit gegooid en heb nu me oude start pagina terug (is van zelf gegaan) maar verders kan ik het dus niet veranderenOp maandag 21 juni 2004 13:40 schreef Psycho_Flip het volgende:
[..]
Wordt de pagina zodra je het zelf veranderd hebt weer terug veranderd in een andere pagina van spyware? Zo ja, wat staat er dan in de adresbalk en plaats evt. een screenshot ervan.
Ik heb vanalles geprobeerd, Spybot, Ad-Aware Spykiller enz maar toch blijft het maar terug komen
quote:Hmm.. das inderdaad raar, maar verder is het dus eigenlijk wel opgelost?? Hou in ieder geval http://www.spywareinfo.com/~merijn/cwschronicles.html in de gaten en download af en toe eens CWShredder. Die wordt regelmatig geupdate waardoor ie weer nieuwe dingen van CWS kan verwijderen.Op maandag 21 juni 2004 17:17 schreef glossy het volgende:
[..]
ik kan het helemaal niet zelf veranderen me start pagina,heb een hoop er uit gegooid en heb nu me oude start pagina terug (is van zelf gegaan) maar verders kan ik het dus niet veranderen
quote:Voor jou geldt hetzelfde, scan met CWShredder en als het dan nog niet opgelost is ff je hijackthis log hier posten.Op maandag 21 juni 2004 18:27 schreef HarryH het volgende:
Ik heb een ander probleem, mijn startpagina wordt steeds vanaf de C schijf geladen vanuit de map C:\Nowonline, ik delete hem steeds maar binnen een kwartier is het er weer.
Ik heb vanalles geprobeerd, Spybot, Ad-Aware Spykiller enz maar toch blijft het maar terug komen
quote:Ik heb 2 netwerkkaarten waarvan de wireless meestal is uitgeschakeld, de proxy schakel ik in als ik de wireless gebruik.Op maandag 21 juni 2004 16:21 schreef Psycho_Flip het volgende:
Kree: Jij hebt blijkbaar Wireless internet (aan de proxy te zien). Als dat niet zo is dan moet je de volgende regel weg, anders niet:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.wleiden.net:3128
bovenstaande optie klopt dus gewoon
quote:Deze heb ik nagekeken, hij bleek van een ander programma te zijn wat ik had geinstalleerd.Welke ik ook niet ken, en jij misschien wel is de volgende, dus ook ff zelf beoordelen of die weg kan:
C:\Program Files\Common Files\Acronis\Schedule\schedule.exe
niks mis mee dus, maar ik heb hem toch maar verwijderd, bespaart weer geheugen.
quote:Om deze shit gaat het kennelijk.Deze kunnen sowieso weg:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Emiel\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Emiel\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Emiel\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Emiel\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Emiel\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Emiel\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
Als ik deze namelijk verwijder + de bestanden uit de temp folder.
Dan komen ze er op een of andere manier vanzelf weer in. Er staat dus ergens een programma die deze files automatisch installeerd.
het gekke is dat ik dat programma nergens kan vinden, niet in startup of als ik met ctrl alt del kijk dan staat ie er ook niet bij.
quote:Http fout 500 krijg ik als ik die pagina wil openen.Kijk ook hier even naar: http://www.spywareinfo.com/~merijn/cwschronicles.html#searchx
Wat jij hebt, is blijkbaar hetzelfde als Disorder heeft, dus ik hoop dat als hij/zij het verwijderd heeft het hier even laat weten hoe ie het gedaan heeft.
Nou tot slot, ik ben er dus nog steeds niet vanaf ondanks andere programma's zoals bv cwshredder ( die de startpagina overgens wel verwijderd maar hij komt weer terug na een tijdje )
Wie o wie heeft nog een tip voor mij.
Ik begin heeeeeeeeeeeeeel erg te irriteren aan deze shitzooi.
quote:c:\windows\system32\drivers\etc\hostsOp dinsdag 22 juni 2004 11:54 schreef Psycho_Flip het volgende:
Kree, kijk eens in je hosts file (c:\windows\system32\drivers\etc\) en kopieer die inhoud hier even. Waarschijnlijk staat daar die www.spywareinfo.com in waardoor je die pagina dus niet kunt bereiken (en waarschijnlijk nog een hoop andere pagina's..).
dit staat erin
quote:# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dit is een voorbeeld HOSTS-bestand dat wordt gebruikt door Microsoft TCP/IP for Windows.
#
# Dit bestand bevat de toewijzingen van IP-adressen naar hostnamen. Elke vermelding
# moet op een afzonderlijke regel staan. Het IP-adres dient in de eerste kolom te worden
# geplaatst, gevolgd door de bijbehorende hostnaam. Het IP-adres en de hostnaam dienen
# gescheiden te zijn door ten minste één spatie.
#
# Daarnaast kunnen opmerkingen (zoals deze) worden toegevoegd op extra
# regels of gevolgd door de computernaam, voorafgegaan door een #.
#
# Bijvoorbeeld:
#
# 102.54.94.97 rhino.acme.com # bronserver
# 38.25.63.10 x.acme.com # x clienthost
127.0.0.1 localhost
quote:Het lijkt nu of ik er vanaf ben.Run Hijack This again and put a check by these. Close ALL windows except HijackThis and click "Fix checked"
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\CALIBE~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\CALIBE~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\CALIBE~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\CALIBE~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\CALIBE~1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\CALIBE~1\LOCALS~1\Temp\sp.html
Restart to safe mode.
How to start your computer in safe mode
Because XP will not always show you hidden files and folders by default, Go to Start > Search and under "More advanced search options".
Make sure there is a check by "Search System Folders" and "Search hidden files and folders" and "Search system subfolders"
Next click on My Computer. Go to Tools > Folder Options. Click on the View tab and make sure that "Show hidden files and folders" is checked. Also uncheck "Hide protected operating system files" and "Hide extensions for known file types" . Now click "Apply to all folders"
Click "Apply" then "OK"
In safe mode navigate to the C:\Windows\Temp folder. Open the Temp folder and go to Edit > Select All then Edit > Delete to delete the entire contents of the Temp folder.
Next navigate to the C:\Documents and Settings\CALIBE~1\Local Settings\Temp folder. Open the Temp folder and go to Edit > Select All then Edit > Delete to delete the entire contents of the Temp folder.
Finally go to Control Panel > Internet Options. On the General tab under "Temporary Internet Files" Click "Delete Files". Put a check by "Delete Offline Content" and click OK. Now click the "Delete Cookies" button and click OK.
Empty the Recycle Bin
Boot back to normal and do the following:
Go here and download Adaware 6 Build 181
Install the program and launch it.
First in the main window look in the bottom right corner and click on Check for updates now and download the latest referencefiles.
Make sure the following settings are made and on -------ON=GREEN
From main window :Click Start then Activate in-depth scan (recommended)
Click Use custom scanning options then click Customize and have these options selected: Under Drives and Folders put a check by Scan within archives and below that under Memory and Registry put a check by all the options there.
Now click on the Tweak button in that same window. Under Scanning engine select Unload recognized processes during scanning and under Cleaning Engine select Let windows remove files in use at next reboot
Click proceed to save your settings.
Now to scan just click the Next button.
When the scan is finished mark everything for removal and get rid of it.(Right-click the window and choose select all from the drop down menu and click Next)
Restart your computer.
Maar dat kan ik nog niet met zekerheid zeggen nu, ik dacht dat laatst namelijk ook en toen kwam dat ######ding weer automatisch terug.
Ik hou jullie op de hoogte.
En uiteraard bedankt voor de hulp tot nu toe
quote:TERING DE TYFUS GOLERA ######GV#$$#$@### Tering ding.Het lijkt nu of ik er vanaf ben.
Dit is verdomme toch niet te geloven, Ik heb er een dag geen last van gehad en nu staat ie er dus gewoon weer op.
Kan iemand mij nog helpen voordat ik die computer uit het raam smijt.
Echt niet te geloven ik ken wel mekken.
HELP!!!!!!
Maargoed anyway hoe krijg ik dat kut ding eraf
1. Download Spy Sweeper: http://webroot.com/download/trial/347/ssfsetup347.exe
2. Update de definities (options>update definitions)
3. Scan je hdd
4. Flikker alle rommel weg die Spy Sweeper vindt
5. Ga naar Extra>Internet-Opties>Programma's en kies daar voor' Webinstellingen herstellen'
6. Gefeliciteerd met je schone pc
quote:Heb je de stappen die ik hierboven beschreef al doorlopen ? Probeer dat anders eens en gooi voordat je gaat rebooten even je cookies en cache weg. Er staan wat dubbele stappen tussen, maar je kunt niet zeker genoeg zijnOp dinsdag 22 juni 2004 22:54 schreef kree het volgende:
[..]
TERING DE TYFUS GOLERA ######GV#$$#$@### Tering ding.
Dit is verdomme toch niet te geloven, Ik heb er een dag geen last van gehad en nu staat ie er dus gewoon weer op.
Kan iemand mij nog helpen voordat ik die computer uit het raam smijt.
Echt niet te geloven ik ken wel mekken.
HELP!!!!!!
http://forums.techguy.org/t241655.html
[ Bericht 11% gewijzigd door Versie1 op 23-06-2004 11:16:10 ]
quote:Ik heb dit programma ook nog even gedraaid.Op dinsdag 22 juni 2004 23:11 schreef Williampie het volgende:
De oplossing voor TS + vele anderen:
1. Download Spy Sweeper: http://webroot.com/download/trial/347/ssfsetup347.exe
2. Update de definities (options>update definitions)
3. Scan je hdd
4. Flikker alle rommel weg die Spy Sweeper vindt
5. Ga naar Extra>Internet-Opties>Programma's en kies daar voor' Webinstellingen herstellen'
6. Gefeliciteerd met je schone pc
De pagina lijkt weer weg te zijn, maarja dat heb ik al meer gehad.
Morgen horen jullie meer.
quote:helpt niet, ps spy sweeper geeft om de minuut aan dat de startpagina is verandert en of ik hem wil veranderen in about blank. Shit ding gaat maar niet weg. Mensen die me kunnen helpen en de anderen plzz helpOp dinsdag 22 juni 2004 23:11 schreef Williampie het volgende:
De oplossing voor TS + vele anderen:
1. Download Spy Sweeper: http://webroot.com/download/trial/347/ssfsetup347.exe
2. Update de definities (options>update definitions)
3. Scan je hdd
4. Flikker alle rommel weg die Spy Sweeper vindt
5. Ga naar Extra>Internet-Opties>Programma's en kies daar voor' Webinstellingen herstellen'
6. Gefeliciteerd met je schone pc
quote:Als je bovenstaand is checkt dan?1. Remove coolwebsearch: DataNotary, BootConf and MSInfo variants
* Turn off user-style sheet option at Tools->Internet Options->Accessibility in your Internet Explorer.
* You should now be able to delete the user stylesheet from the Windows folder. With DataNotary it is called 'default.css'; with MSInfo it is called 'oslogo.bmp'; with Bootconf it may be either.
2. Remove coolwebsearch: MSInfo variant
* Delete the line “run=C:WINDOWS..PROGRA~1COMMON~1MICROS~1MSINFOmsinfo.exe” from win.ini file in your Windows folder. This line may be changed a little on different systems, but will always point to msinfo.exe.
* Delete the “c:ProgramFilesCommon FilesMSInfo' folder.
3. Remove coolwebsearch: BootConf, SvcHost variants
* Open the registry and find the key HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
* Delete the bootconf.exe or svchost.exe entry
* You can then delete the bootconf.exe or svchost32.exe file from the System folder (called 'System32' on Windows NT/2000/XP).
4. Remove coolwebsearch: BootConf, SvcHost, MSInfo variants
* Find the file ‘HOSTS’ with no extension in the driversetc folders in your System folder
* Either edit it to remove the hijacker entries, or simply delete the file.
5. Remove coolwebsearch: PnP variant
* Find the registry key HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
* Delete the SysPnP entry
* Also delete the oemsysinf.pnp file from the 'inf' folder inside your Windows folder.
6. Remove coolwebsearch: MSSPI variant
* This is very tricky to remove by hand as this can result in loosing your internet connection. It is advised that you do not do this by hand.
* Open the registry key HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWinSock2 ParametersProtocol_Catalog9Catalog_Entries
* Delete the subkeys starting with the path of msspi.dll
* Renumber the remaining subkeys, and set the Num_Catalog_Entries value in the Protocol_Catalog9 key to match the highest numbered subkey left.
* Open the registry key HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
* Delete the a msupdate entry if it is there
* Restart the computer and you should be to delete msspi.dll in the System folder (called 'System32' on Windows NT/2000/XP), along with msupdate.exe if it is present.
7. Remove coolwebsearch: DNSRelay variant
* Open a DOS command prompt window and enter the following commands:
* cd "%WinDir%System"
* regsvr32 /u dnsrelay.dll
* Restart
* You should be able to delete the file 'dnsrelay.dll' in the System folder (called 'System32' on Windows NT/2000/XP).
After you have removed any variants of CoolWebSearch which you have there is one last thing which you need to do to complete the removal process. Go to Internet Options->Programs->Reset Web Settings in your Internet Explorer to remove the hijacked home page and search settings.
quote:Ik heb het programma gisteren gebruikt.Op woensdag 23 juni 2004 03:25 schreef Alessandro het volgende:
[..]
helpt niet, ps spy sweeper geeft om de minuut aan dat de startpagina is verandert en of ik hem wil veranderen in about blank. Shit ding gaat maar niet weg. Mensen die me kunnen helpen en de anderen plzz help
Alleen scannen, ik laat hem niet meedraaien op de achtergrond.
en tot op heden is mijn startpagina nog niet veranderd.
Het lijkt goed te gaan
quote:Op zondag 20 juni 2004 13:33 schreef Psycho_Flip het volgende:
[..]
Mwoah.. der zijn genoeg andere programma's nog.. Spysweeper haalt sowieso al weer meer weg dan adaware en/of spybot. HijackThis helpt ook goed als je weet hoe te gebruiken. En zo zijn der nog een hoop programma's en anders moet je hier eens kijken.. Daar kunnen ze je gegarandeerd helpen.
Even verdachte mappen op root en program files verwijderen. Je zult zelf tenminste wel weten welke programma's je wel geďnstalleerd hebt en welke niet.
quote:Jammer maar de spam pagina is weer terug.Op woensdag 23 juni 2004 11:48 schreef kree het volgende:
[..]
Ik heb het programma gisteren gebruikt.
Alleen scannen, ik laat hem niet meedraaien op de achtergrond.
en tot op heden is mijn startpagina nog niet veranderd.
Het lijkt goed te gaan
Wel vreemd hoor na een bepaalde tijd (die niet altijd hetzelfde is)
Installeerd dat ding zichzelf weer.
Zoek maar eens naar "sp.html". Als je die leegmaakt, dan heb je iig geen vervelende startpagina meer.
aanvulling:
als je notepad kwijt ben moet je zoeken naar notepad.exe.bak en deze hernoemen naar notepad.exe
Maar er is iets dat hem dan weer automatisch opnieuw installeerd.
op spywareinfo heb ik ook gezocht en wat dingen uitgeprobeerd.
Maar ik heb hem nog steeds niet weg dat kut ding.
Ik hoop nu maar dat er binnekort een nieuwe versie van cwshredder komt die hem kan verwijderen.
Zijn er trouwens nog meer mensen die last hebben van dit klote ding?
Dit zou moeten helpen volgens een aantal mensen daar..
quote:Ik heb ook onwijs last van dit KLOTE DING Jah!Op vrijdag 25 juni 2004 11:15 schreef kree het volgende:
ik kan die sp.html wel weghalen of leegmaken.
Maar er is iets dat hem dan weer automatisch opnieuw installeerd.
op spywareinfo heb ik ook gezocht en wat dingen uitgeprobeerd.
Maar ik heb hem nog steeds niet weg dat kut ding.
Ik hoop nu maar dat er binnekort een nieuwe versie van cwshredder komt die hem kan verwijderen.
Zijn er trouwens nog meer mensen die last hebben van dit klote ding?
http://forums.spywareinfo.com/index.php?showtopic=8535&hl=
quote:NEEEEEEEEEEEEEeee werkt niet!!!!!!!!!!!!!!!!!Op zondag 27 juni 2004 09:39 schreef Psycho_Flip het volgende:
Iemand dit al gelezen en suggesties daar geprobeerd?? (Stond ook in mijn vorige reactie al en aangezien niemand zegt dat het wel/niet werkt ga ik ervan uit dat het nog niet getest is)
http://forums.spywareinfo.com/index.php?showtopic=8535&hl=
Leuk al die logs posten en dat 'experts' er naar kijken, vervolgens komt het zo weer terug, het is gewoon dikke kut in het kwadraat... De makers lachen zich kapot, elke gebruiker met dit ding staat gewoon voor lul, wie weet wat ze met je computer uitspoken behalve dat de startpagina aangepast is..
Ergens zit een 'hook' en die is nog steeds niet gevonden omdat het ding zo zwaar beveiligt is :S
diegene die dit heeft geschreven wens ik spontaan een hart aanval
Scan saved at 20:25:32, on 30-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\PopUp Killer\PopUpKiller.EXE
C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\webshots.scr
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
D:\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ANTJER~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ANTJER~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ANTJER~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ANTJER~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ANTJER~1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ANTJER~1\LOCALS~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.nu.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2A19DB67-736C-4FF1-AD3B-B9E6E667241F} - C:\WINDOWS\System32\mpb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: CSBHO - {D14D6793-9B65-11D3-80B6-00500487BDBA} - C:\PROGRA~1\COMETS~1\Platform\Bin\csbho.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - (no file)
O3 - Toolbar: Starware - {FE6BC4EF-5676-484B-88AE-883323913256} - C:\PROGRA~1\COMETS~1\Platform\Bin\csietb.dll
O4 - HKLM\..\Run: [PopUpKiller] C:\Program Files\PopUp Killer\PopUpKiller.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - Startup: Webshots.lnk = D:\Program Files\Webshots\Launcher.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.truedoc.com/activex/tdserver.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1678F7E1-C422-11D0-AD7D-00400515CAAA} (CometCursor Class) - http://files.cometsystems(...)82320841086872454500
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://81.204.110.113/activex/AxisCamControl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m(...)CAB?38020.2042476852
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi(...)bs/flash/swflash.cab
O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! Webcam Viewer Wrapper) - http://chat.yahoo.com/cab/yvwrctl.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
En nu?
) maar komen wel terug.Heb ook die *** opstart pagina.
Gebruik nu wel FF, maar ik wil het er wel af hebben
quote:Daarna volgende programma's draaien (eerst updaten voor het scannen) in veilige modus:Onbekend voor mij, moet je zelf maar even beoordelen:
C:\WINDOWS\webshots.scr
O4 - HKLM\..\Run: [PopUpKiller] C:\Program Files\PopUp Killer\PopUpKiller.EXE
O4 - Startup: Webshots.lnk = D:\Program Files\Webshots\Launcher.exe
Dit kan weg:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ANTJER~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ANTJER~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ANTJER~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ANTJER~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ANTJER~1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ANTJER~1\LOCALS~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.nu.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {2A19DB67-736C-4FF1-AD3B-B9E6E667241F} - C:\WINDOWS\System32\mpb.dll
O2 - BHO: CSBHO - {D14D6793-9B65-11D3-80B6-00500487BDBA} - C:\PROGRA~1\COMETS~1\Platform\Bin\csbho.dll (file missing)
O3 - Toolbar: (no name) - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - (no file)
O3 - Toolbar: Starware - {FE6BC4EF-5676-484B-88AE-883323913256} - C:\PROGRA~1\COMETS~1\Platform\Bin\csietb.dll
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.truedoc.com/activex/tdserver.cab
O16 - DPF: {1678F7E1-C422-11D0-AD7D-00400515CAAA} (CometCursor Class) - http://files.cometsystems(...)82320841086872454500
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://81.204.110.113/activex/AxisCamControl.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! Webcam Viewer Wrapper) - http://chat.yahoo.com/cab/yvwrctl.cab
- ad-aware
- spybot S&D
- Spysweeper
- CWShredder
En daarna nogmaals HijackThis en weer de rotzooi verwijderen en dan hopen dat het niet meer terugkomt, maar aangezien je ook met die sp.html zit verwijs ik je ook weer naar: http://www.spywareinfo.com/~merijn/cwschronicles.html en dan vooral de CWS.searchx variant.
O4 - HKLM\..\Run: [PopUpKiller] C:\Program Files\PopUp Killer\PopUpKiller.EXE
O4 - Startup: Webshots.lnk = D:\Program Files\Webshots\Launcher.exe
Zijn voor programma's van mij
Popupkiller
en een webshots programmatje, maar verder alvast bedankt!hijs weg, door alleen dat programma
quote:Wees daar maar niet te vroeg mee.Op woensdag 30 juni 2004 20:49 schreef Renesite het volgende:
Pycho_Flip THANX THANX THANX THANX THANX!
hijs weg, door alleen dat programma
Ik heb ook gedacht dat het weg was en toch kwam het na een dag weer terug.
Laat maar effe horen of dat jouw ook gebeurd.
Ik gebruik nu FIrefox, gewoon omdat ik die spam helemaal zat was en ik geen zin meer had om nog moeite te doen om het te verwijderen.
quote:Op donderdag 1 juli 2004 00:25 schreef kree het volgende:
[..]
Wees daar maar niet te vroeg mee.
Ik heb ook gedacht dat het weg was en toch kwam het na een dag weer terug.
Laat maar effe horen of dat jouw ook gebeurd.
Ik gebruik nu FIrefox, gewoon omdat ik die spam helemaal zat was en ik geen zin meer had om nog moeite te doen om het te verwijderen.
Firefox, en na de vakantie wel formateren, moet toch een keer gebeuren in de afgelopen 2 jaar liep alles goed
Norton en alles doen het nu gewoon goed? ik bedoel, ik krijg alleen een popupje als ik norton afsluit en verder niets (Ja, notepad doet beetje raar, maar die gebruik ik nooit
)Trouwens mijn norton doet nu raar ik kan hem wel openen en hij doet het wel alleen ik kan de tekens niet meer zien. Heel apart
quote:http://www.mozilla.org/products/firefox/Op donderdag 1 juli 2004 12:47 schreef Alessandro het volgende:
Wat is firefox en hoe doe ik dat????
Trouwens mijn norton doet nu raar ik kan hem wel openen en hij doet het wel alleen ik kan de tekens niet meer zien. Heel apart
http://forums.spywareinfo.com/index.php?showtopic=7447
Hierin staat dat het proces iexplore.exe er dus voor zorgt dat het ding weer iedere keer terugkomt. Lees het even door en wie de suggesties uit die thread geprobeerd heeft en succes heeft gehad met het verwijderen, laat dit aub hier dan even weten.
quote:Ik snap de ballen er van, maar mijn engels is ook zó perfectOp donderdag 1 juli 2004 15:41 schreef Psycho_Flip het volgende:
Voor degene die het probleem met die sp.html hebben (en er vanaf willen zonder een andere browser te willen gebruiken), lees deze thread eens door:
http://forums.spywareinfo.com/index.php?showtopic=7447
Hierin staat dat het proces iexplore.exe er dus voor zorgt dat het ding weer iedere keer terugkomt. Lees het even door en wie de suggesties uit die thread geprobeerd heeft en succes heeft gehad met het verwijderen, laat dit aub hier dan even weten.
Logfile of HijackThis v1.98.0
Scan saved at 1:11:19, on 3-7-04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\CTHELPER.EXE
C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\WINDLL32.EXE
C:\PROGRAM FILES\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\WINRAR\WINRAR.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door chello broadband
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [SysSearch] REGEDIT.EXE -s C:/WINDOWS/reg.reg
O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [windll32.exe] C:\WINDOWS\SYSTEM\windll32.exe
O4 - HKCU\..\Run: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - HKCU\..\RunServices: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\RunServices: [windll32.exe] C:\WINDOWS\SYSTEM\windll32.exe
O4 - HKCU\..\RunServices: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\RunServices: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O16 - DPF: {10101010-1010-1111-1010-101010101011} - mhtml:C:\\WINX.MHT!http://216.240.137.41/counter/ie.exe
O18 - Protocol hijack: mhtml -
ehm wat nu ?!??! wat kan weg en wat niet .... help iemand ! ( ps , ja ik heb about:blank weer
)quote:Sjees.. niet iedereen is om 1u 's nachts nog wakker hoor..Op zaterdag 3 juli 2004 01:47 schreef The-Chosen1 het volgende:
iemand ?
Maar wat heb je allemaal al gedaan??
- ad-aware
- spybot S&D
- spysweeper
- CWshredder
Heb je die allemaal gedaan? Zo ja, dan kun je de volgende zooi wegflikkeren in je log:
quote:Deze weet ik niet 100% zeker:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door chello broadband
O4 - HKCU\..\Run: [windll32.exe] C:\WINDOWS\SYSTEM\windll32.exe
O4 - HKCU\..\RunServices: [windll32.exe] C:\WINDOWS\SYSTEM\windll32.exe
O16 - DPF: {10101010-1010-1111-1010-101010101011} - mhtml:C:\\WINX.MHT!http://216.240.137.41/counter/ie.exe
O18 - Protocol hijack: mhtml -
quote:Lees deze ff voor die windll32.exe die je moet verwijderen:O4 - HKLM\..\Run: [SysSearch] REGEDIT.EXE -s C:/WINDOWS/reg.reg
http://www.mac-net.com/470482.page
quote:ja alle 4 ik heb de stappen wat jij al eerder aangaf gevolgd , heb dus ook die files weggeflikkerd en mijn log ziet er als volgt uitOp zaterdag 3 juli 2004 10:06 schreef Psycho_Flip het volgende:
Maar wat heb je allemaal al gedaan??
- ad-aware
- spybot S&D
- spysweeper
- CWshredder
Logfile of HijackThis v1.98.0
Scan saved at 10:42:38, on 3-7-04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\CTHELPER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\WINDLL32.EXE
C:\PROGRAM FILES\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.searchxl.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchxl.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchxl.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchxl.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [SysSearch] REGEDIT.EXE -s C:/WINDOWS/reg.reg
O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
dubbel
quote:is goed manOp zaterdag 3 juli 2004 10:49 schreef Psycho_Flip het volgende:
Ik kijk zo ff moet nu ff weg..
quote:Heb je ook op virussen gescand?? Die windll32.exe is namelijk een bestand van een trojan/backdoor.C:\WINDOWS\SYSTEM\WINDLL32.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.searchxl.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchxl.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchxl.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchxl.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchxl.com/ie/
O4 - HKLM\..\Run: [SysSearch] REGEDIT.EXE -s C:/WINDOWS/reg.reg
quote:ja ik las het ja heb het ook gedaan met NortonOp zaterdag 3 juli 2004 11:14 schreef Psycho_Flip het volgende:
Weg:
[..]
Heb je ook op virussen gescand?? Die windll32.exe is namelijk een bestand van een trojan/backdoor.
quote:norotn kon niks vinden in iedergevalOp zaterdag 3 juli 2004 13:40 schreef Baris het volgende:
En is dat virus verwijderd? Zo nee, gebruik dan Kasperksy. Wel eerst updaten.
sorry ik heb het topic verder niet gelezen zal wel een kuttip wezen
1. Internetverbinding weghalen.
2. CWShredder draaien
3. Spybot Search & Destroy
4. Ad-aware
reboot en alles is weer normaal. het is echter geen permanente bescherming, maar je bent er wel weer vanaf
komt dat ook door spyware ?Logfile of HijackThis v1.98.0
Scan saved at 14:28:45, on 3-7-04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\CTHELPER.EXE
C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAM FILES\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\WINAMP\WINAMP.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [SysSearch] REGEDIT.EXE -s C:/WINDOWS/reg.reg
O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O18 - Protocol hijack: mhtml -
wel kort of niet ?
quote:Ja heb ik nu ook last van kan post niet lezen van outlook express en mijn norton opent wel maar ik kan niets aflezen. lijkt wel of alles erased is vaag man. Weet iemanfd hoe je dat terugkrijgt weer??Op zaterdag 3 juli 2004 14:29 schreef The-Chosen1 het volgende:
ik kan trouwens mijn email in outlook express wel openen maar niet lezen want het is gewoon blank
Ach, Woensdag pctje maar formateren
Er staat nu geen rare zooi meer in.
Het probleem van outlook express, lees dit topic op GoT eens door:
http://gathering.tweakers.net/forum/list_messages/895086/
Windows 98 (4.10.2222 A)
Windows dir: C:\WINDOWS
Windows system dir: C:\WINDOWS\SYSTEM
AppData folder: C:\WINDOWS\Application Data
Username: gertjan
Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar
Infected data: file://C:\WINDOWS\TEMP\sp.html
Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page
Infected data: file://C:\WINDOWS\TEMP\sp.html
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar
Infected data: file://C:\WINDOWS\TEMP\sp.html
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page
Infected data: file://C:\WINDOWS\TEMP\sp.html
Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant
Infected data: file://C:\WINDOWS\TEMP\sp.html
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant,http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
Infected data: file://C:\WINDOWS\TEMP\sp.html
Hosts file not present
Found Win.ini file: C:\WINDOWS\win.ini (6916 bytes, A)
Found line in Win.ini: load=
Found line in Win.ini: run=
Found System.ini file: C:\WINDOWS\system.ini (2234 bytes, A)
Found line in System.ini: shell=Explorer.exe
je kan aan de gang blijven zo 
http://www.spywareinfo.com/~merijn/cwschronicles.html#searchx
Lees die beschrijving maar eens en dan die van CWS.Realyellowpage...
http://users.telenet.be/marcvn/spyware/1972664.htm
quote:Sorry hoor, maar ooit gehoord van Google?Op zaterdag 3 juli 2004 14:12 schreef The-Chosen1 het volgende:
waar kan ik die kasperksyvinden ?
http://www.kaspersky.com
quote:geeft niet .... :\')Op dinsdag 6 juli 2004 13:33 schreef Baris het volgende:
[..]
Sorry hoor, maar ooit gehoord van Google?
http://www.kaspersky.com
quote:Ok.Op dinsdag 6 juli 2004 14:54 schreef The-Chosen1 het volgende:
[..]
geeft niet .... :\\\')
quote:kijk eens op de screenshots... zie jij een contact/help ofzo op de site?Op zaterdag 3 juli 2004 16:40 schreef Renoud het volgende:
vaak staat op die site zelf ook ergens een removal tool..
echt, ik heb het ook gehad..en NIKS helpt :\'(
opsluiten die gasten die dit soort dingen maken...
www.qwertsearch1234.com (oid)
Iemand die weet hoe ik deze weg kan halen ?
AdAware helpt niks.
quote:FAQ lezen,Op woensdag 21 juli 2004 13:42 schreef GotenSSJ het volgende:
Ik heb nu een startpagina
www.qwertsearch1234.com (oid)
Iemand die weet hoe ik deze weg kan halen ?
AdAware helpt niks.
Spybot S&D laten scannen
Spysweeper laten scannen
Is het dan nog niet weg, dan hijackthis laten draaien en als je niet weet wat weg kan, dan je log hier posten
Maar ik zal is HijackThis downloaden.
Logfile of HijackThis v1.98.0
Scan saved at 13:48:30, on 21-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\carpserv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\kdx\KHost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\WLAN\WConfig\WConfig.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Winamp\Winamp.exe
C:\Documents and Settings\Gebruiker\Mijn documenten\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://qwertysearch123.biz/?id=1064
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://qwertysearch123.biz/?id=1064
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://qwertysearch123.biz/?id=1064
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://qwertysearch123.biz/?id=1064
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://omegasearch.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://omegasearch.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://qwertysearch123.biz/?id=1064
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://omegasearch.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {021BB032-80A8-4FB6-B3D5-CF27B1553B95} - C:\WINDOWS\mslagent\4b_1,0,1,0_mslagent.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Boobpluslocks - {3AB68383-744A-2E59-0C8D-2AA145701B48} - C:\PROGRA~1\STOREC~1\math log.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: E.HH - {9E992732-295F-4987-8BE3-16FAC1639198} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\IESERV~1\IEService.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Movesecond - {295BA522-7AE3-0AD6-830D-FF299BA7CD2D} - C:\PROGRA~1\STOREC~1\math log.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [removecpl] RemoveCpl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1012.dll,InstantAccess
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [\IEService.exe] C:\DOCUME~1\ALLUSE~1\APPLIC~1\IESERV~1\IEService.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: InboxCop.lnk = C:\Program Files\InboxCop\bin\inboxcopUI.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WConfig.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_EN_XP.cab
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn(...)AClient.cab28578.cab
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/(...)ousecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab28578.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab
O20 - AppInit_DLLs: avpcc.dll
quote:Ken ik niet, heeft iets met Kontiki blabla te maken, bepaal zelf dus maar:C:\WINDOWS\System32\bcmwltry.exe
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
quote:Ken ik ook niet, bepaal zelf maar weer:C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
quote:Weg:O4 - Startup: InboxCop.lnk = C:\Program Files\InboxCop\bin\inboxcopUI.exe
quote:R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://qwertysearch123.biz/?id=1064
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://qwertysearch123.biz/?id=1064
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://qwertysearch123.biz/?id=1064
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://qwertysearch123.biz/?id=1064
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://omegasearch.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://omegasearch.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://qwertysearch123.biz/?id=1064
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://omegasearch.com/searchbar.html
O2 - BHO: (no name) - {021BB032-80A8-4FB6-B3D5-CF27B1553B95} - C:\WINDOWS\mslagent\4b_1,0,1,0_mslagent.dll (file missing)
O2 - BHO: Boobpluslocks - {3AB68383-744A-2E59-0C8D-2AA145701B48} - C:\PROGRA~1\STOREC~1\math log.dll (file missing)
O2 - BHO: E.HH - {9E992732-295F-4987-8BE3-16FAC1639198} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\IESERV~1\IEService.dll
O3 - Toolbar: Movesecond - {295BA522-7AE3-0AD6-830D-FF299BA7CD2D} - C:\PROGRA~1\STOREC~1\math log.dll (file missing)
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1012.dll,InstantAccess
O4 - HKCU\..\Run: [\IEService.exe] C:\DOCUME~1\ALLUSE~1\APPLIC~1\IESERV~1\IEService.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab
Deze dus
quote:Deze oplossing (gevonden op Tweakers) werkte voor mij.R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Emiel\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Emiel\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Emiel\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Emiel\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Emiel\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Emiel\LOCALS~1\Temp\sp.html
--------
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
You have to remove this key. The value of this key may look blank for you, but it is not. They hide the value so you can't see it. This registry key tells Windows to load the trojan DLL every time ANY application is run giving it complete control to do whatever it wants. So you need to remove it so that the trojan DLL cannot load and keep re-infecting your pc.
The way to remove the registry key is not obvious. If you just delete it from regedit, since the trojan DLL is loaded, it will re-add it right back. (Try it. Delete the AppInit_DLLs registry key and hit F5. Notice that it's added right back by the trojan). So what you have to do is the following which worked for me.
1. Rename the HLM\Software\Microsoft\Windows NT\CurrentVersion\Windows folder to Windows2.
2. Now delete the AppInit_DLLs key under the Windows2 folder.
3. Hit F5 and notice that AppInit_DLLs doesn't come back.
4. Rename the Windows2 folder back to Windows.
Now that AppInit_DLLs is gone, run the latest Adaware 6 to remove the trojan for good. Reboot your machine. Check the registry and make sure AppInit_DLLs is still gone. Your computer should be free of this for good now."
----------
Ik hoop er mensen zijn die hiermee van het probleem af zijn.
quote:Oke bedankt (En ja ik heb een Wireless kaartOp woensdag 21 juli 2004 14:57 schreef Psycho_Flip het volgende:
Heb je een wireless kaart in je pc zitten, zo ja, deze laten staan anders weg:
[..]
Ken ik niet, heeft iets met Kontiki blabla te maken, bepaal zelf dus maar:
[..]
Ken ik ook niet, bepaal zelf maar weer:
[..]
Weg:
[..]
)omschrijving:
hijackthis log:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\xxxhris\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\xxx\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\xxx\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\xxx\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\x\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\xxx\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
oplossing in 4 stappen:
(1)
download registrar lite (http://www.resplendence.com/reglite)
openen en vind de key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
onthoud de naam van dat bestand. Dit veroorzaakt de problemen.
Ga in verkenner naar <opties>, <map opties en vink de onderste optie (easy file sharing) UIT.
(2)
download http://computercops.biz/modules.php?name=F...ownload&id=1183
run hiving.bat
(3)
restart de pc, vind het bestand wat je bij (1) gevonden hebt. Rename dit bestand. Rechtermuis klik op bestand, <eigenschappen> <security settings> en dan de bovenste optie aanvinken (full control).
(4) Delete het betreffende bestand. Laat ad aware, hijack this en cws schredder de restanten opruimen.
greetz
(Gewoon van microsoft hoor dus niks engs.)