DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Waar gaat dit over?
De spyware der spyware, die van MySearchNow en CoolWebSearch, die zich zeer diep in je systeem naar binnenvreet en daar heel erg hardnekkig blijft zitten.
Godverdomme! Kutspyware!
Ik weet het
Wat doe ik ertegen?
Ad-Aware en Spybot hebben hier nog geen goed verweer tegen. Daarom is er dit centrale topic om tips uit te wisselen en programma's te vinden om dit stukje gemene code zo snel mogelijk weg te krijgen.
Programma's
CWShredder is alvast een goede. Dit programma haalt het meeste wel weg.
Regedit (standaard in Windows).
Hier staat een Uninstaller die misschien werkt
Dit is er nog zo een (een uninstaller dus).
Met HjjackThis kan je een overzicht genereren van geinstalleerde extra's en spyware. Post je log hier en we kunnen zien wat we er aan kunnen doen
Andere tips en trucs? Betere tips en trucs? HijackThis log gemaakt? Post ze hier en we lossen het op!
De spyware der spyware, die van MySearchNow en CoolWebSearch, die zich zeer diep in je systeem naar binnenvreet en daar heel erg hardnekkig blijft zitten.
Godverdomme! Kutspyware!
Ik weet het
Wat doe ik ertegen?
Ad-Aware en Spybot hebben hier nog geen goed verweer tegen. Daarom is er dit centrale topic om tips uit te wisselen en programma's te vinden om dit stukje gemene code zo snel mogelijk weg te krijgen.
Programma's
CWShredder is alvast een goede. Dit programma haalt het meeste wel weg.
Regedit (standaard in Windows).
Hier staat een Uninstaller die misschien werkt
Dit is er nog zo een (een uninstaller dus).
Met HjjackThis kan je een overzicht genereren van geinstalleerde extra's en spyware. Post je log hier en we kunnen zien wat we er aan kunnen doen
Andere tips en trucs? Betere tips en trucs? HijackThis log gemaakt? Post ze hier en we lossen het op!
Tip : Internet Explorer niet meer gebruiken en opverstappen op Firefox scheelt echt heel veel in het binnen halen van spyware , ja nu kan je gewoon de vage sites bezoeken
ik heb geen spyware op mijn computer volgens bovenstaande programma's en toch gebruik ik IE en kom ik soms ook wel eens op een vage site. Niet zeuren over een andere browser.quote:Op maandag 28 juni 2004 08:43 schreef AlwaysConnected het volgende:
Tip : Internet Explorer niet meer gebruiken en opverstappen op Firefox scheelt echt heel veel in het binnen halen van spyware , ja nu kan je gewoon de vage sites bezoeken
Kun je hier wat mee? Het zou me echt super helpen. Mijn pc start al twee weken met een of andere search pagina op. Ik krijg het er niet af. CW shedder removed hem wel (SearchX) maar daarna staat het er meteen weer op
Logfile of HijackThis v1.97.7
Scan saved at 9:03:31, on 28-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\mcc.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Sony\vaio media music server\SSSvr.exe
C:\Program Files\Sony\click to dvd\ctdatsvr.exe
C:\Program Files\Rainlendar\Rainlendar.exe
C:\Program Files\sony\photo server 20\appsrv\PicAppSrv.exe
C:\Program Files\Common Files\sony shared\vaio media platform\SV_Httpd.exe
C:\Program Files\Common Files\sony shared\vaio media platform\UPnPFramework.exe
C:\Program Files\Common Files\Sony Shared\vaio media platform\sv_httpd.exe
C:\Program Files\Common Files\Sony Shared\vaio media platform\UPnPFramework.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\COMMON~1\SONYSH~1\AVLib\Sptisrv.exe
C:\Documents and Settings\Wouter\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Wouter\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Wouter\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Wouter\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Wouter\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Wouter\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Wouter\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {633B50BE-1867-4815-81B1-B0DFAD80C7D0} - C:\WINDOWS\System32\pgdmaaa.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Multimedia Codecs] C:\WINDOWS\System32\mcc.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Click to DVD Automatic Mode Launcher.lnk = C:\Program Files\Sony\click to dvd\ctdatsvr.exe
O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research (HKLM)
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://dev-www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://195.18.69.102/activex/AxisCamControl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m(...)CAB?37918.0129050926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi(...)bs/flash/swflash.cab
Logfile of HijackThis v1.97.7
Scan saved at 9:03:31, on 28-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\mcc.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Sony\vaio media music server\SSSvr.exe
C:\Program Files\Sony\click to dvd\ctdatsvr.exe
C:\Program Files\Rainlendar\Rainlendar.exe
C:\Program Files\sony\photo server 20\appsrv\PicAppSrv.exe
C:\Program Files\Common Files\sony shared\vaio media platform\SV_Httpd.exe
C:\Program Files\Common Files\sony shared\vaio media platform\UPnPFramework.exe
C:\Program Files\Common Files\Sony Shared\vaio media platform\sv_httpd.exe
C:\Program Files\Common Files\Sony Shared\vaio media platform\UPnPFramework.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\COMMON~1\SONYSH~1\AVLib\Sptisrv.exe
C:\Documents and Settings\Wouter\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Wouter\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Wouter\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Wouter\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Wouter\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Wouter\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Wouter\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {633B50BE-1867-4815-81B1-B0DFAD80C7D0} - C:\WINDOWS\System32\pgdmaaa.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Multimedia Codecs] C:\WINDOWS\System32\mcc.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Click to DVD Automatic Mode Launcher.lnk = C:\Program Files\Sony\click to dvd\ctdatsvr.exe
O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research (HKLM)
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://dev-www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://195.18.69.102/activex/AxisCamControl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m(...)CAB?37918.0129050926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi(...)bs/flash/swflash.cab
Mijn log ziet er zo uit
Logfile of HijackThis v1.97.7
Scan saved at 9:29:24, on 28-6-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common files\WinTools\WToolsA.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Common files\WinTools\WToolsS.exe
C:\Program Files\Common files\WinTools\WSup.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\BRQIKMON.EXE
C:\PROGRA~1\Grisoft\AVG6\AVGCC32.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Common Files\Siemens AG Shared\DESServer.exe
C:\Program Files\Siemens Data Suite\SDL\Siemens Data Suite.exe
C:\Documents and Settings\Ernst Schuurkamp\Bureaublad\Downloads\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50007
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://frontpage.fok.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myexexex.com/search.php?said=spage
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.myexexex.com/search.php?said=spage&qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50007
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50007
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar3_28.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinTools] C:\Program Files\Common files\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Onderzoek (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft(...)1338C922/wmv9VCM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.c(...)/netzip/RdxIE601.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/nl/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi(...)bs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
Logfile of HijackThis v1.97.7
Scan saved at 9:29:24, on 28-6-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common files\WinTools\WToolsA.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Common files\WinTools\WToolsS.exe
C:\Program Files\Common files\WinTools\WSup.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\BRQIKMON.EXE
C:\PROGRA~1\Grisoft\AVG6\AVGCC32.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Common Files\Siemens AG Shared\DESServer.exe
C:\Program Files\Siemens Data Suite\SDL\Siemens Data Suite.exe
C:\Documents and Settings\Ernst Schuurkamp\Bureaublad\Downloads\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50007
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://frontpage.fok.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myexexex.com/search.php?said=spage
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.myexexex.com/search.php?said=spage&qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50007
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50007
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar3_28.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinTools] C:\Program Files\Common files\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Onderzoek (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft(...)1338C922/wmv9VCM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.c(...)/netzip/RdxIE601.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/nl/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi(...)bs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
jullie hebben beide ook gewoon adaware gedraaid, en eerst geupdate voor je m draaide ?
-this message was created with 100% recycled electrons-
Ik heb dus ook die Coolwebsearch etc. 1 probleem, het komt steeds terug en ik kan het niet stoppen. Haal het wel constant weg maar je moet service pack 1 installeren van XP maar ja dat gaat dus niet.
Iemand enig idee hoe het wel kan? (Ik heb geen zin in firewalls etc.) Ik heb dit trouwens alleen als ik IE weer eens opstart om mee te surfen. Na een tijdje surfen loopt dan opeens mijn browser vast.
Ik gebruik dan ook een andere browser waarmee het wel goed gaat maar soms heb ik IE wel nodig dus dan heb ik het gezeur weer. Ik heb spywareguard maar die geeft alleen maar meldingen. Elke keer word dus mijn browser gehijacked!
Iemand?
(Volgens mij ben ik paar keer in herhaling gevallen hier boven.. excuses)
Iemand enig idee hoe het wel kan? (Ik heb geen zin in firewalls etc.) Ik heb dit trouwens alleen als ik IE weer eens opstart om mee te surfen. Na een tijdje surfen loopt dan opeens mijn browser vast.
Ik gebruik dan ook een andere browser waarmee het wel goed gaat maar soms heb ik IE wel nodig dus dan heb ik het gezeur weer. Ik heb spywareguard maar die geeft alleen maar meldingen. Elke keer word dus mijn browser gehijacked!
Iemand?
(Volgens mij ben ik paar keer in herhaling gevallen hier boven.. excuses)
SpywareBlaster 3.1
http://www.javacoolsoftware.com/spywareblaster.html
Weet niet of dit wat is maar dit vond ik ergens... misschien wel goed programma? Het is overigens freeware dus dat is wel lekker..
Heb het overigens zelf nog niet getest want ik zit op school en niet thuis jammer genoeg.
[ Bericht 11% gewijzigd door Doezelhaar op 28-06-2004 09:56:57 (Toevoeging..) ]
http://www.javacoolsoftware.com/spywareblaster.html
Weet niet of dit wat is maar dit vond ik ergens... misschien wel goed programma? Het is overigens freeware dus dat is wel lekker..
Heb het overigens zelf nog niet getest want ik zit op school en niet thuis jammer genoeg.
[ Bericht 11% gewijzigd door Doezelhaar op 28-06-2004 09:56:57 (Toevoeging..) ]
Ik krijg met Spybot 1.3 toch een hoop weg naar mijn gevoel. Heb heel lang CoolWebSearch erop gehad, maar daar lijk ik nu geen last meer van te hebben....
If I am not back in 5 minutes.... just wait longer
was ook maar een tipquote:Op maandag 28 juni 2004 09:00 schreef indahnesia.com het volgende:
[..]
ik heb geen spyware op mijn computer volgens bovenstaande programma's en toch gebruik ik IE en kom ik soms ook wel eens op een vage site. Niet zeuren over een andere browser.
heb wel geconstateerd dat als e bepalde sites zoetk met IE en net FF
dat dat echt scheelt
op de zelde pagina geweest met IE en FF
en toch vind spysweeper met IE wel spyware en FF niet
zit op me werk weet zo ff niet welke page
maar daarom was et ook maar een tip
Yep en CWshedder en Spybot, het takkeding komt telkens weer terug.quote:Op maandag 28 juni 2004 09:39 schreef Damusic2me het volgende:
jullie hebben beide ook gewoon adaware gedraaid, en eerst geupdate voor je m draaide ?
Wat jammer dat steeds meer spyware met freeware programmaatjes meekomt, en níet via je browser dus...quote:Op maandag 28 juni 2004 08:43 schreef AlwaysConnected het volgende:
Tip : Internet Explorer niet meer gebruiken en opverstappen op Firefox scheelt echt heel veel in het binnen halen van spyware , ja nu kan je gewoon de vage sites bezoeken
daarom voor mij geen free / shareware meerquote:Op maandag 28 juni 2004 11:16 schreef QuietGuy het volgende:
[..]
Wat jammer dat steeds meer spyware met freeware programmaatjes meekomt, en níet via je browser dus...
www.pestpatrol.com .... free online scan
Leesen verrry carefully, I weel zay zis only once
Ill quit thinking w my dick when u quit fucking with my head
Ill quit thinking w my dick when u quit fucking with my head
Werkt ie tegen CWS?quote:Op maandag 28 juni 2004 12:27 schreef coz het volgende:
www.pestpatrol.com .... free online scan
Dit kan wel weg denk ik . De bestanden in bold kan je zowiezo deleten.quote:Op maandag 28 juni 2004 09:05 schreef Kentaro het volgende:
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Sony\click to dvd\ctdatsvr.exe
C:\Program Files\Rainlendar\Rainlendar.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Wouter\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Wouter\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Wouter\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Wouter\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Wouter\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Wouter\LOCALS~1\Temp\sp.html
O2 - BHO: (no name) - {633B50BE-1867-4815-81B1-B0DFAD80C7D0} - C:\WINDOWS\System32\pgdmaaa.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe
O9 - Extra button: Research (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
Dit kan wel weg. De bestanden in bold kan je zowiezo deleten.quote:Op maandag 28 juni 2004 09:30 schreef Superduif het volgende:
C:\Program Files\Common files\WinTools\WToolsA.exe
C:\Program Files\Common files\WinTools\WToolsS.exe
C:\Program Files\Common files\WinTools\WSup.exe
C:\WINDOWS\System32\wuauclt.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50007
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://frontpage.fok.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myexexex.com/search.php?said=spage
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.myexexex.com/search.php?said=spage&qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50007
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50007
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar3_28.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file)
gedaan en heel lijkt weg te zijn ben nog een beetje voorzichtig met juichen want dat heb ik al eerder te vroeg gedaan. In ieder geval bedankt zover. Ik ben trouwens wel notepad kwijt nu? weet je hoe dat kan?quote:Op maandag 28 juni 2004 13:02 schreef Slarioux het volgende:
[..]
Dit kan wel weg denk ik . De bestanden in bold kan je zowiezo deleten.
ben nog een beetje voorzichtig met juichen want dat heb ik al eerder te vroeg gedaan. In ieder geval bedankt zover. Ik ben trouwens wel notepad kwijt nu? weet je hoe dat kan?
Ik heb zoiets van voorkomen is beter dan genezen... Mijn machine is dus 'gehardened'. Er draait dus niets zonder toestemming en er zitten een aantal programma's op die alles in de gaten houden.
Zo draaien standaard deze programma's:
- Norton Internet Security (Antivirus + Firewall + content-filtering)
- AdWatch
En dagelijks worden de updates (Windows / Office / IE / NIS / AdAware) binnen gehaald.
Daarnaast kunnen alleen in de door mij expliciet toegestane websites scripts uitgevoerd worden. En programmas hebben slechts beperkt toegang tot internet. Bijvoorbeeld Trillian mag alleen op poort 4000 met ICQ verbinden en/of poort 5162 en 443 naar MSN enzovoort. Bovendien logt de Firewall elk netwerkpakketje wat niet aan de toegestane criteria voldoet.
Een trojan horse heeft hier dus redelijk weinig kans. ALS hij al door de scans binnen komt, wordt hij door de firewall tegengehouden om verbinding te maken. En elke poging daartoe wordt gelogged.
Hetzelfde geldt ook voor websites die scripts uit willen voeren; ook deze worden gelogd.
Email: ik bekijk email eerst in webmail. Hierdoor kunnen geen scripts ten uitvoer gebracht worden (Norton filtert alle scripts op de webmail-client) en kan ik 'verdachte' emailtjes weggooien voordat ze uberhaupt gedownload worden. Ik weet, niet 100% waterdicht, maar toch.
Maar ik moet toegeven, om deze machine zo dicht te krijgen... is heel wat werk nodig (geweest). Je moet immers voor elke website een eigen 'profiel' aanmaken. Wel/geen cookies, wel/geen scripts etc. Maar het geeft toch een hoop rust.
Zo draaien standaard deze programma's:
- Norton Internet Security (Antivirus + Firewall + content-filtering)
- AdWatch
En dagelijks worden de updates (Windows / Office / IE / NIS / AdAware) binnen gehaald.
Daarnaast kunnen alleen in de door mij expliciet toegestane websites scripts uitgevoerd worden. En programmas hebben slechts beperkt toegang tot internet. Bijvoorbeeld Trillian mag alleen op poort 4000 met ICQ verbinden en/of poort 5162 en 443 naar MSN enzovoort. Bovendien logt de Firewall elk netwerkpakketje wat niet aan de toegestane criteria voldoet.
Een trojan horse heeft hier dus redelijk weinig kans. ALS hij al door de scans binnen komt, wordt hij door de firewall tegengehouden om verbinding te maken. En elke poging daartoe wordt gelogged.
Hetzelfde geldt ook voor websites die scripts uit willen voeren; ook deze worden gelogd.
Email: ik bekijk email eerst in webmail. Hierdoor kunnen geen scripts ten uitvoer gebracht worden (Norton filtert alle scripts op de webmail-client) en kan ik 'verdachte' emailtjes weggooien voordat ze uberhaupt gedownload worden. Ik weet, niet 100% waterdicht, maar toch.
Maar ik moet toegeven, om deze machine zo dicht te krijgen... is heel wat werk nodig (geweest). Je moet immers voor elke website een eigen 'profiel' aanmaken. Wel/geen cookies, wel/geen scripts etc. Maar het geeft toch een hoop rust.
Don't hurry, be crappy!
Ik ben ook eindelijk (althans, zo lijkt het nu) ook eindelijk na lang zoeken en proberen, van mijn hijack af; Onverwijderbare spyware
Ik kwam dit ergens tegen en het lijkt te helpen:
[quote]Alright, let's try cleaning up what's visible first, and see if that's causing the invisible file to return.
First, to prevent the problem from spreading during the cleanup, please start Reglite and copy and paste this in the address bar, then click "Go":
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Please right click on Browser Helper Objects in the left pane and select Properties. Click the Permissions button, then the Advanced button and uncheck the box "Inherit from parent the permission entries..." then click "Remove" on the next screen that comes up and then close reglite.
Next, please copy and paste the text in the box below into notepad and save it to your desktop as remove.reg then locate the remove.reg file, double-click it to run it and allow it to be merged to the registry:
REGEDIT4 [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html] [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain] [-HKEY_CLASSES_ROOT\CLSID\{3C3C4063-17B4-4018-911E-0337406625E2}] [-HKEY_CLASSES_ROOT\CLSID\{291EC250-7BC0-401B-8A8B-28C5B0D57BB8}] [-HKEY_CLASSES_ROOT\CLSID\{71922FAE-B010-487C-80C5-21D91D6229F1}] [-HKEY_CLASSES_ROOT\CLSID\{2479859D-FAF5-4673-9878-3BCFA5C6740F}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3C3C4063-17B4-4018-911E-0337406625E2}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{291EC250-7BC0-401B-8A8B-28C5B0D57BB8}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71922FAE-B010-487C-80C5-21D91D6229F1}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2479859D-FAF5-4673-9878-3BCFA5C6740F}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]"HomeOldSP"=-
After doing that, please go to Start->Run and type Regedit then hit Ok. When regedit opens, go to Edit->Find. You'll need to search for each of the following names:
gebd.dll
jign.dll
There may be entries found in both
HKEY_CLASSES_ROOT\CLSID\{Xxxxxxxxxxxxx}
and
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{Xxxxxxxxx}
Where Xxxxxxxxx is the subfolder contaning the value you searched for. You want to delete the entire subfolder (the item with curly brackets {} ) where a reference to any of those files is found, so for example:
If you were searching for the file "Bmpjmla.dll" and it came up in as a value in the
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9C195759-F265-46B1-8BCB-1F8B7B8B1C6C}\InProcServe r32 key (the value being @="C:\\WINDOWS\\System32\\bmpjmla.dll"), you would want to highlight {9C195759-F265-46B1-8BCB-1F8B7B8B1C6C} in the left pane, right-click it and choose delete.
After you've run through and deleted all of those subfolders (you'll need to use Find & Find Next to make sure you get all of them), close all windows, then rescan with Hijack This, put checks next to each of the entries below that remain and then click "Fix Checked":
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jign.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\jign.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\jign.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jign.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\jign.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\jign.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
[ Bericht 76% gewijzigd door kastanova op 28-06-2004 16:18:27 ]
Ik kwam dit ergens tegen en het lijkt te helpen:
[quote]Alright, let's try cleaning up what's visible first, and see if that's causing the invisible file to return.
First, to prevent the problem from spreading during the cleanup, please start Reglite and copy and paste this in the address bar, then click "Go":
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Please right click on Browser Helper Objects in the left pane and select Properties. Click the Permissions button, then the Advanced button and uncheck the box "Inherit from parent the permission entries..." then click "Remove" on the next screen that comes up and then close reglite.
Next, please copy and paste the text in the box below into notepad and save it to your desktop as remove.reg then locate the remove.reg file, double-click it to run it and allow it to be merged to the registry:
REGEDIT4 [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html] [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain] [-HKEY_CLASSES_ROOT\CLSID\{3C3C4063-17B4-4018-911E-0337406625E2}] [-HKEY_CLASSES_ROOT\CLSID\{291EC250-7BC0-401B-8A8B-28C5B0D57BB8}] [-HKEY_CLASSES_ROOT\CLSID\{71922FAE-B010-487C-80C5-21D91D6229F1}] [-HKEY_CLASSES_ROOT\CLSID\{2479859D-FAF5-4673-9878-3BCFA5C6740F}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3C3C4063-17B4-4018-911E-0337406625E2}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{291EC250-7BC0-401B-8A8B-28C5B0D57BB8}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71922FAE-B010-487C-80C5-21D91D6229F1}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2479859D-FAF5-4673-9878-3BCFA5C6740F}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]"HomeOldSP"=-
After doing that, please go to Start->Run and type Regedit then hit Ok. When regedit opens, go to Edit->Find. You'll need to search for each of the following names:
gebd.dll
jign.dll
There may be entries found in both
HKEY_CLASSES_ROOT\CLSID\{Xxxxxxxxxxxxx}
and
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{Xxxxxxxxx}
Where Xxxxxxxxx is the subfolder contaning the value you searched for. You want to delete the entire subfolder (the item with curly brackets {} ) where a reference to any of those files is found, so for example:
If you were searching for the file "Bmpjmla.dll" and it came up in as a value in the
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9C195759-F265-46B1-8BCB-1F8B7B8B1C6C}\InProcServe r32 key (the value being @="C:\\WINDOWS\\System32\\bmpjmla.dll"), you would want to highlight {9C195759-F265-46B1-8BCB-1F8B7B8B1C6C} in the left pane, right-click it and choose delete.
After you've run through and deleted all of those subfolders (you'll need to use Find & Find Next to make sure you get all of them), close all windows, then rescan with Hijack This, put checks next to each of the entries below that remain and then click "Fix Checked":
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jign.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\jign.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\jign.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jign.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\jign.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\jign.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
[ Bericht 76% gewijzigd door kastanova op 28-06-2004 16:18:27 ]
I was an atheist until I realized I was God
scan .... deze scant dus alleenquote:Op maandag 28 juni 2004 12:58 schreef Slarioux het volgende:
Werkt ie tegen CWS?
(de corparate versie of home versie op je pc doet wel veel meer .. verwijderen etc )
deze free online scan vindt bijna alles (alles maar dan onder voorbehoud ) en bij wat die aangeeft te vinden staat ook wat je moet doen om er af te komen ...
het was gewoon een tip om meerdere dingen te gebruiken voor het scannen dan op 1 enkele tool te vertrouwen.... en deze is online en gratis ...
Leesen verrry carefully, I weel zay zis only once
Ill quit thinking w my dick when u quit fucking with my head
Ill quit thinking w my dick when u quit fucking with my head
Mijn startpagina word steeds verandert in C:\Program Files\FirstEnter\Portal\portal.html.
Ik heb alle programmas uit deze topic gebruikt, maar het blijft steeds terugkeren.
Iemand een idee?
Ik heb alle programmas uit deze topic gebruikt, maar het blijft steeds terugkeren.
Iemand een idee?
Leesen verrry carefully, I weel zay zis only once
Ill quit thinking w my dick when u quit fucking with my head
Ill quit thinking w my dick when u quit fucking with my head
... graag gedaan
... graag gedaan
Leesen verrry carefully, I weel zay zis only once
Ill quit thinking w my dick when u quit fucking with my head
Ill quit thinking w my dick when u quit fucking with my head
|
|
