[Centraal] Superhardnekkige spyware die je niet weg krijgt.

Tip : Internet Explorer niet meer gebruiken en opverstappen op Firefox scheelt echt heel veel in het binnen halen van spyware , ja nu kan je gewoon de vage sites bezoeken

quote:

Op maandag 28 juni 2004 08:43 schreef AlwaysConnected het volgende:
Tip : Internet Explorer niet meer gebruiken en opverstappen op Firefox scheelt echt heel veel in het binnen halen van spyware , ja nu kan je gewoon de vage sites bezoeken

ik heb geen spyware op mijn computer volgens bovenstaande programma's en toch gebruik ik IE en kom ik soms ook wel eens op een vage site. Niet zeuren over een andere browser.

Kun je hier wat mee? Het zou me echt super helpen. Mijn pc start al twee weken met een of andere search pagina op. Ik krijg het er niet af. CW shedder removed hem wel (SearchX) maar daarna staat het er meteen weer op

Logfile of HijackThis v1.97.7
Scan saved at 9:03:31, on 28-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\mcc.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Sony\vaio media music server\SSSvr.exe
C:\Program Files\Sony\click to dvd\ctdatsvr.exe
C:\Program Files\Rainlendar\Rainlendar.exe
C:\Program Files\sony\photo server 20\appsrv\PicAppSrv.exe
C:\Program Files\Common Files\sony shared\vaio media platform\SV_Httpd.exe
C:\Program Files\Common Files\sony shared\vaio media platform\UPnPFramework.exe
C:\Program Files\Common Files\Sony Shared\vaio media platform\sv_httpd.exe
C:\Program Files\Common Files\Sony Shared\vaio media platform\UPnPFramework.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\COMMON~1\SONYSH~1\AVLib\Sptisrv.exe
C:\Documents and Settings\Wouter\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Wouter\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Wouter\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Wouter\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Wouter\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Wouter\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Wouter\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {633B50BE-1867-4815-81B1-B0DFAD80C7D0} - C:\WINDOWS\System32\pgdmaaa.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Multimedia Codecs] C:\WINDOWS\System32\mcc.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Click to DVD Automatic Mode Launcher.lnk = C:\Program Files\Sony\click to dvd\ctdatsvr.exe
O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research (HKLM)
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://dev-www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://195.18.69.102/activex/AxisCamControl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m(...)CAB?37918.0129050926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi(...)bs/flash/swflash.cab

Mijn log ziet er zo uit


Logfile of HijackThis v1.97.7
Scan saved at 9:29:24, on 28-6-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common files\WinTools\WToolsA.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Common files\WinTools\WToolsS.exe
C:\Program Files\Common files\WinTools\WSup.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\BRQIKMON.EXE
C:\PROGRA~1\Grisoft\AVG6\AVGCC32.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Common Files\Siemens AG Shared\DESServer.exe
C:\Program Files\Siemens Data Suite\SDL\Siemens Data Suite.exe
C:\Documents and Settings\Ernst Schuurkamp\Bureaublad\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50007
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://frontpage.fok.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myexexex.com/search.php?said=spage
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.myexexex.com/search.php?said=spage&qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50007
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50007
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar3_28.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinTools] C:\Program Files\Common files\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Onderzoek (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft(...)1338C922/wmv9VCM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.c(...)/netzip/RdxIE601.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/nl/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi(...)bs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab

jullie hebben beide ook gewoon adaware gedraaid, en eerst geupdate voor je m draaide ?

Ik heb dus ook die Coolwebsearch etc. 1 probleem, het komt steeds terug en ik kan het niet stoppen. Haal het wel constant weg maar je moet service pack 1 installeren van XP maar ja dat gaat dus niet.

Iemand enig idee hoe het wel kan? (Ik heb geen zin in firewalls etc.) Ik heb dit trouwens alleen als ik IE weer eens opstart om mee te surfen. Na een tijdje surfen loopt dan opeens mijn browser vast.

Ik gebruik dan ook een andere browser waarmee het wel goed gaat maar soms heb ik IE wel nodig dus dan heb ik het gezeur weer. Ik heb spywareguard maar die geeft alleen maar meldingen. Elke keer word dus mijn browser gehijacked!

Iemand?

(Volgens mij ben ik paar keer in herhaling gevallen hier boven.. excuses)

SpywareBlaster 3.1

http://www.javacoolsoftware.com/spywareblaster.html

Weet niet of dit wat is maar dit vond ik ergens... misschien wel goed programma? Het is overigens freeware dus dat is wel lekker..

Heb het overigens zelf nog niet getest want ik zit op school en niet thuis jammer genoeg.

[ Bericht 11% gewijzigd door Doezelhaar op 28-06-2004 09:56:57 (Toevoeging..) ]

Ik krijg met Spybot 1.3 toch een hoop weg naar mijn gevoel. Heb heel lang CoolWebSearch erop gehad, maar daar lijk ik nu geen last meer van te hebben....

quote:

Op maandag 28 juni 2004 09:00 schreef indahnesia.com het volgende:

[..]

ik heb geen spyware op mijn computer volgens bovenstaande programma's en toch gebruik ik IE en kom ik soms ook wel eens op een vage site. Niet zeuren over een andere browser.

was ook maar een tip
heb wel geconstateerd dat als e bepalde sites zoetk met IE en net FF
dat dat echt scheelt
op de zelde pagina geweest met IE en FF
en toch vind spysweeper met IE wel spyware en FF niet
zit op me werk weet zo ff niet welke page
maar daarom was et ook maar een tip

quote:

Op maandag 28 juni 2004 09:39 schreef Damusic2me het volgende:
jullie hebben beide ook gewoon adaware gedraaid, en eerst geupdate voor je m draaide ?

Yep en CWshedder en Spybot, het takkeding komt telkens weer terug.

quote:

Op maandag 28 juni 2004 08:43 schreef AlwaysConnected het volgende:
Tip : Internet Explorer niet meer gebruiken en opverstappen op Firefox scheelt echt heel veel in het binnen halen van spyware , ja nu kan je gewoon de vage sites bezoeken

Wat jammer dat steeds meer spyware met freeware programmaatjes meekomt, en níet via je browser dus...

quote:

Op maandag 28 juni 2004 11:16 schreef QuietGuy het volgende:

[..]

Wat jammer dat steeds meer spyware met freeware programmaatjes meekomt, en níet via je browser dus...

daarom voor mij geen free / shareware meer

www.pestpatrol.com .... free online scan

quote:

Op maandag 28 juni 2004 13:02 schreef Slarioux het volgende:

[..]

Dit kan wel weg denk ik . De bestanden in bold kan je zowiezo deleten.

gedaan en heel lijkt weg te zijn ben nog een beetje voorzichtig met juichen want dat heb ik al eerder te vroeg gedaan. In ieder geval bedankt zover. Ik ben trouwens wel notepad kwijt nu? weet je hoe dat kan?

Ik heb zoiets van voorkomen is beter dan genezen... Mijn machine is dus 'gehardened'. Er draait dus niets zonder toestemming en er zitten een aantal programma's op die alles in de gaten houden.

Zo draaien standaard deze programma's:
- Norton Internet Security (Antivirus + Firewall + content-filtering)
- AdWatch

En dagelijks worden de updates (Windows / Office / IE / NIS / AdAware) binnen gehaald.

Daarnaast kunnen alleen in de door mij expliciet toegestane websites scripts uitgevoerd worden. En programmas hebben slechts beperkt toegang tot internet. Bijvoorbeeld Trillian mag alleen op poort 4000 met ICQ verbinden en/of poort 5162 en 443 naar MSN enzovoort. Bovendien logt de Firewall elk netwerkpakketje wat niet aan de toegestane criteria voldoet.

Een trojan horse heeft hier dus redelijk weinig kans. ALS hij al door de scans binnen komt, wordt hij door de firewall tegengehouden om verbinding te maken. En elke poging daartoe wordt gelogged.

Hetzelfde geldt ook voor websites die scripts uit willen voeren; ook deze worden gelogd.

Email: ik bekijk email eerst in webmail. Hierdoor kunnen geen scripts ten uitvoer gebracht worden (Norton filtert alle scripts op de webmail-client) en kan ik 'verdachte' emailtjes weggooien voordat ze uberhaupt gedownload worden. Ik weet, niet 100% waterdicht, maar toch.

Maar ik moet toegeven, om deze machine zo dicht te krijgen... is heel wat werk nodig (geweest). Je moet immers voor elke website een eigen 'profiel' aanmaken. Wel/geen cookies, wel/geen scripts etc. Maar het geeft toch een hoop rust.

Ik ben ook eindelijk (althans, zo lijkt het nu) ook eindelijk na lang zoeken en proberen, van mijn hijack af; Onverwijderbare spyware

Ik kwam dit ergens tegen en het lijkt te helpen:

[quote]Alright, let's try cleaning up what's visible first, and see if that's causing the invisible file to return.

First, to prevent the problem from spreading during the cleanup, please start Reglite and copy and paste this in the address bar, then click "Go":

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Please right click on Browser Helper Objects in the left pane and select Properties. Click the Permissions button, then the Advanced button and uncheck the box "Inherit from parent the permission entries..." then click "Remove" on the next screen that comes up and then close reglite.

Next, please copy and paste the text in the box below into notepad and save it to your desktop as remove.reg then locate the remove.reg file, double-click it to run it and allow it to be merged to the registry:


REGEDIT4 [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html] [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain] [-HKEY_CLASSES_ROOT\CLSID\{3C3C4063-17B4-4018-911E-0337406625E2}] [-HKEY_CLASSES_ROOT\CLSID\{291EC250-7BC0-401B-8A8B-28C5B0D57BB8}] [-HKEY_CLASSES_ROOT\CLSID\{71922FAE-B010-487C-80C5-21D91D6229F1}] [-HKEY_CLASSES_ROOT\CLSID\{2479859D-FAF5-4673-9878-3BCFA5C6740F}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3C3C4063-17B4-4018-911E-0337406625E2}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{291EC250-7BC0-401B-8A8B-28C5B0D57BB8}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71922FAE-B010-487C-80C5-21D91D6229F1}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2479859D-FAF5-4673-9878-3BCFA5C6740F}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]"HomeOldSP"=-

After doing that, please go to Start->Run and type Regedit then hit Ok. When regedit opens, go to Edit->Find. You'll need to search for each of the following names:

gebd.dll
jign.dll

There may be entries found in both

HKEY_CLASSES_ROOT\CLSID\{Xxxxxxxxxxxxx}

and

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{Xxxxxxxxx}

Where Xxxxxxxxx is the subfolder contaning the value you searched for. You want to delete the entire subfolder (the item with curly brackets {} ) where a reference to any of those files is found, so for example:

If you were searching for the file "Bmpjmla.dll" and it came up in as a value in the

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9C195759-F265-46B1-8BCB-1F8B7B8B1C6C}\InProcServe r32 key (the value being @="C:\\WINDOWS\\System32\\bmpjmla.dll"), you would want to highlight {9C195759-F265-46B1-8BCB-1F8B7B8B1C6C} in the left pane, right-click it and choose delete.

After you've run through and deleted all of those subfolders (you'll need to use Find & Find Next to make sure you get all of them), close all windows, then rescan with Hijack This, put checks next to each of the entries below that remain and then click "Fix Checked":

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jign.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\jign.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\jign.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jign.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\jign.dll/sp.html (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\jign.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

[ Bericht 76% gewijzigd door kastanova op 28-06-2004 16:18:27 ]

quote:

Op maandag 28 juni 2004 12:58 schreef Slarioux het volgende:
Werkt ie tegen CWS?

scan .... deze scant dus alleen
(de corparate versie of home versie op je pc doet wel veel meer .. verwijderen etc )

deze free online scan vindt bijna alles (alles maar dan onder voorbehoud ) en bij wat die aangeeft te vinden staat ook wat je moet doen om er af te komen ...

het was gewoon een tip om meerdere dingen te gebruiken voor het scannen dan op 1 enkele tool te vertrouwen.... en deze is online en gratis ...

Mijn startpagina word steeds verandert in C:\Program Files\FirstEnter\Portal\portal.html.
Ik heb alle programmas uit deze topic gebruikt, maar het blijft steeds terugkeren.
Iemand een idee?

google

Ik heb gedaan wat daar stond en het lijkt weg te zijn. Bedankt!!

... graag gedaan

Ik heb eerst Ad-Aware, Spybot en CWS shredder even laten draaien ...

CWS blijft hardnekkig terugkomen

Logfile of HijackThis v1.97.7
Scan saved at 21:58:57, on 28/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Tom\Desktop\HijackThis-2.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net(...)ickTimeInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m(...)CAB?38057.5063541667
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi(...)bs/flash/swflash.cab

@thomas26:
Ik zie zo niet echt dingen staan die er niet in thuis horen. Heb je alle programma's die je noemde ook geupdate/de laatste versie van gebruikt en in veilige modus laten scannen??? Kijk eens op http://www.spywareinfo.com/~merijn/cwschronicles.html en zoek dan even welke versie van CWS je hebt.

quote:

Op maandag 28 juni 2004 13:38 schreef Kentaro het volgende:

[..]

gedaan en heel lijkt weg te zijn ben nog een beetje voorzichtig met juichen want dat heb ik al eerder te vroeg gedaan. In ieder geval bedankt zover. Ik ben trouwens wel notepad kwijt nu? weet je hoe dat kan?

ja die mis ik ook
heb wordpad.exe gekopieerd naar notepad.exe op de de juiste plaats opgeslagen stukken beter

quote:

Op dinsdag 29 juni 2004 13:21 schreef Psycho_Flip het volgende:
@thomas26:
Ik zie zo niet echt dingen staan die er niet in thuis horen. Heb je alle programma's die je noemde ook geupdate/de laatste versie van gebruikt en in veilige modus laten scannen??? Kijk eens op http://www.spywareinfo.com/~merijn/cwschronicles.html en zoek dan even welke versie van CWS je hebt.

Ad-Aware en Spybot hebben de laatste updates. Van CWS shredder heb ik ook de laatste versie gedownload.

Nu moet ik eens het scannen in veilige modus eens proberen.
Thanks

quote:

Op dinsdag 29 juni 2004 15:03 schreef thomas26 het volgende:

[..]

Ad-Aware en Spybot hebben de laatste updates. Van CWS shredder heb ik ook de laatste versie gedownload.

Nu moet ik eens het scannen in veilige modus eens proberen.
Thanks

Damned.. nog vergeten in mijn vorige post te vermelden.. Probeer ook SpySweeper. Die vind meer rotzooi dan adaware en spybot.

Ook ik heb met Spy Sweeper een hoop meuk gevonden die alle andere programma's hebben laten zitten.

Onder andere een popup als ik (bijvoorbeeld) hotmail.com of google.com bezocht. Maar ook bepaalde andere sites.

Format c: ?

oja gebruik zelf de combinatie Norman (virus scanner+) Spysweeper en Ad-aware.
Ben je zo goed als overal van af. (bijna format c (als er niet teveel opstaat ))

quote:

Op dinsdag 29 juni 2004 19:49 schreef hier_en_daar het volgende:
Format c: ?

oja gebruik zelf de combinatie Norman (virus scanner+) Spysweeper en Ad-aware.
Ben je zo goed als overal van af. (bijna format c (als er niet teveel opstaat ))

Goh.. aan je reactie kon ik al zien dat je nieuw bent.. Lees eerst eens de FAQs voordat je begint te schreeuwen over format c:, aangezien dat hier NIET op prijs wordt gesteld..

Jammer dat Norman geen psycho's van mijn beeldscherm afgooid.
(probeer eens een keer te laggen (is echt niet moeilijk) ).

Dit is trouwens het voordeel van Norman. Norman wordt gezien als een hogere generatie virus scanner dan b.v. norton etc. Deze virus scanner werkt met een sandbox systeem waarbij alle binnen komende programma's. eerst in een soort zandbak worden geworpen. Waar het betreffende programma alles krijgt wat gevraagd wordt. Zodra het betreffende programma een verkeerde file vraagt (b.v. system.ini). Krijg je een waarschuwing waardoor je (tevens als het betreffende programma c.q. virus nog niet bekend is), kunt ingrijpen. Als het programma geen vreemde dingen doet. Wordt het pas op de computer uitgevoerd.
Hierdoor worden zelfs veel van de zooi die ad-aware en b.v. spysweeper moeten vinden. Automatische buiten gehouden.

(nieuw of niet, maar het werkt wel)

quote:

Op dinsdag 29 juni 2004 15:12 schreef Psycho_Flip het volgende:

[..]

Damned.. nog vergeten in mijn vorige post te vermelden.. Probeer ook SpySweeper. Die vind meer rotzooi dan adaware en spybot.

Inderdaad, Spy Sweeper heeft nog 3 andere spyware ontdekt en verwijderd.

Logfile of HijackThis v1.97.7
Scan saved at 13:00:16, on 30-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\DOCUME~1\Eigenaar\FOLDER~1\FGKEY.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Kazaa Lite K++\KazaaLite.kpp
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fok.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fok.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.fok.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Kazaa Lite K++.lnk = C:\Program Files\Kazaa Lite K++\klrun.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O8 - Extra context menu item: Si&milar Pages - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: Messenger Addon (HKLM)
O9 - Extra 'Tools' menuitem: &Messenger Addon (HKLM)
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.c(...)/netzip/RdxIE601.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/nl/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://www.earthetc.com/ecwplugins/ncs.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.bibliotheekhuissen.nl/catalogus/msrdp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromed(...)bs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://216.65.38.226/crack.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F476312-9343-4837-B1EE-9EEF0F7892B1}: NameServer = 212.29.160.1,212.29.161.254


Mijn logfile, wat moet ik hiermee doen (wat kan ik deleten, en hoe moet dat?)

[ Bericht 0% gewijzigd door Gelderland op 30-06-2004 13:08:22 ]

Oeps..

@Gelderland: Waarom plaats je die zooi tussen [sup] dingen??

Verder: Wat is je probleem??

Enige wat weg kan is het volgende:

quote:

O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://216.65.38.226/crack.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F476312-9343-4837-B1EE-9EEF0F7892B1}: NameServer = 212.29.160.1,212.29.161.254

(die 2e weet ik niet 100% zeker, maar lijkt me wel weg te kunnen).

Verder dus ff msnplus verwijderen, tenzij je die zonder de reclame zooi geinstalleerd hebt.

Je kunt het verwijderen door de dingen die weg kunnen aan te vinken (staat zo'n hokje ergens), en dan op fix checked klikken.

Nog eens oeps..

quote:

Op woensdag 30 juni 2004 13:08 schreef Psycho_Flip het volgende:
@Gelderland: Waarom plaats je die zooi tussen [sup] dingen??

Verder: Wat is je probleem??

Enige wat weg kan is het volgende:
[..]

(die 2e weet ik niet 100% zeker, maar lijkt me wel weg te kunnen).

Verder dus ff msnplus verwijderen, tenzij je die zonder de reclame zooi geinstalleerd hebt.

Mijn probleem is dat ik steeds pop-ups krijg zonder dat ik internet (zit op kabel) heb al spybot, adaware gebruikt etc)

maar moet ik MSNPLUS verwijderen via configuratiescherm? (en waarom?) en waar kan ik die zonder reclame weer opnieuw downloaden dan?

owja, en dat 2e bestand heb ik maar even laten staan voor de zekerheid..

quote:

Op woensdag 30 juni 2004 13:49 schreef Gelderland het volgende:

[..]

Mijn probleem is dat ik steeds pop-ups krijg zonder dat ik internet (zit op kabel) heb al spybot, adaware gebruikt etc)

maar moet ik MSNPLUS verwijderen via configuratiescherm? (en waarom?) en waar kan ik die zonder reclame weer opnieuw downloaden dan?

owja, en dat 2e bestand heb ik maar even laten staan voor de zekerheid..

Je hoeft hem niet te verwijderen als je tijdens de installatie toen gekozen hebt voor installatie zonder spyware (je kon toen kiezen voor "ik ga akkoord" en "ik ga niet akkoord" (of zoiets) en dat had betrekking op de installatie van reclameshit). Je kunt hem gewoon downloaden hier: http://www.msgplus.net/ Maar let dan tijdens de installatie wel op wat je aanklikt!!

Probeer ook eens even spysweeper (als je die nog niet geprobeerd hebt tenminste).

ok, maar ik moet dan tijdens de installatie ik ga niet akkoord aanklikken? Maar dan installeertie hem wel? En hoe kan ik MSNplus! het beste verwijderen? Via configuratiescherm, en is dan de spyware weg?

quote:

Op woensdag 30 juni 2004 14:32 schreef Gelderland het volgende:
ok, maar ik moet dan tijdens de installatie ik ga niet akkoord aanklikken? Maar dan installeertie hem wel? En hoe kan ik MSNplus! het beste verwijderen? Via configuratiescherm, en is dan de spyware weg?

Jep.. via configuratiescherm verwijderen en dan even kijken of je nog onbekende/rare programma's ziet staan in die lijst (weathercast of zoiets en nog meer crap). Als je het dan opnieuw installeert moet je inderdaad voor ik ga niet akkoord kiezen (als je leest wat er verder bij staat, zul je zien dat je dan de reclameshit niet erbij krijgt).

ow oke, en verder was die log 'goed' iig, geen hardnekkig spyware?

quote:

Op woensdag 30 juni 2004 15:11 schreef Gelderland het volgende:
ow oke, en verder was die log 'goed' iig, geen hardnekkig spyware?

Voor de rest zat er geen rotzooi in, dus je had of al het grootste gedeelte verwijderd, of je klikt op de juiste dingen/geen verkeerde dingen.

Meest makkelijke is om idd even Ad-Aware erover te gooien. Die pleurt alles weg. Zet dan Ad-Watsch aan voor de pop ups. óf Wat ik hier niet terug lees, is het installeren van Microsofts Service Pack 2!!!!!!! Daar zit automatisch al een pop up blocker, vuurmuur en antivirus op. Werkt perfect. Geen last meer van irritante home-search.exe opstartpagina's of wat dan ook. SP2 is een aanrader

quote:

Op woensdag 30 juni 2004 13:49 schreef Gelderland het volgende:

[..]

Mijn probleem is dat ik steeds pop-ups krijg zonder dat ik internet (zit op kabel) heb al spybot, adaware gebruikt etc)

maar moet ik MSNPLUS verwijderen via configuratiescherm? (en waarom?) en waar kan ik die zonder reclame weer opnieuw downloaden dan?

owja, en dat 2e bestand heb ik maar even laten staan voor de zekerheid..

Bij het installatie process kun je (geloof bij de 3e keer dat je op next drukt) kiezen uit "Ik ga akkoord en install MET sponsor " en "Ik ga akkord, zonder sponsor"
Keuze lijkt me duidelijk. Oh ja gewoon bij config scherm verwijderen ja!

quote:

Op maandag 26 juli 2004 11:53 schreef Xanth het volgende:
Meest makkelijke is om idd even Ad-Aware erover te gooien. Die pleurt alles weg. Zet dan Ad-Watsch aan voor de pop ups. óf Wat ik hier niet terug lees, is het installeren van Microsofts Service Pack 2!!!!!!! Daar zit automatisch al een pop up blocker, vuurmuur en antivirus op. Werkt perfect. Geen last meer van irritante home-search.exe opstartpagina's of wat dan ook. SP2 is een aanrader

sp2 werkt bij mij ook fantastisch maar vergeet niet dat het nog wel RC2 is dus nog niet de echte versie die gereleased gaat worden. En waar haal je vandaan dat er een antivirus in zit??

WIN opnieuw instaleren

quote:

Op maandag 26 juli 2004 11:53 schreef Xanth het volgende:
Meest makkelijke is om idd even Ad-Aware erover te gooien. Die pleurt alles weg.
KNIP

Euhm.. ga jij dan nog maar eens scannen met spysweeper.. Ad-aware is echt niet het beste programma.. Er is geeneen programma dat alles vindt, ieder programma wat je laat scannen op spyware zal wel weer wat dingen vinden die door een of meerdere andere programma's niet gevonden werden/worden.

quote:

Op maandag 26 juli 2004 13:27 schreef Psycho_Flip het volgende:

[..]

Euhm.. ga jij dan nog maar eens scannen met spysweeper.. Ad-aware is echt niet het beste programma.. Er is geeneen programma dat alles vindt, ieder programma wat je laat scannen op spyware zal wel weer wat dingen vinden die door een of meerdere andere programma's niet gevonden werden/worden.

Nounou loop aub niet zo te mierenneuken over een woord dat in de zin staat. Natuurlijk niet alles maar wel de meest bekende herkent ie wel. Nja sp2 werkt goed. Ik kom alleen met tips. Probeer t anders via je regedit in windows, en doe t handmatig.......

quote:

Op maandag 26 juli 2004 12:25 schreef bartrid het volgende:

[..]

sp2 werkt bij mij ook fantastisch maar vergeet niet dat het nog wel RC2 is dus nog niet de echte versie die gereleased gaat worden. En waar haal je vandaan dat er een antivirus in zit??

Heb je niet onderin je taakbalk dat security icoontje? Ff op dubbelklikken en je kan ervoor kiezen dat SP2 een antivirus aanzet. Heb je al een antivirus eropstaan, dan schakeld hij deze functie uit omdat SP2 dan op jouw (norton, panda whatever) vertrouwd.

security center is dat. Daar kan je inderdaad je antvirus mee uit of aan zetten, maar da's wat anders dan dat er een antivirus in zit

Ik heb sinds gister ook weer een lading spyware op me computer, althans ik blijf popups in beeld krijgen.
Als ik mijn computer opstart start hij sinds gister automatisch ook de volgende 'programma's' op:
Oznyrc.exe
optimize.exe
uawuar.exe
alchem.exe
Deze 'programma's' had ik tot voorkort niet eens op mijn computer. Weet iemand wat het is en of het de oorzaak is van die irritante popups?

(Een heel tijd terug vond ik in een ver weg gestopt topic over spyware een site met een lijst met allemaal programma's die wel/niet spyware zijn. Weet iemand hiervan, zoja, kan die mij dan het linkje geven van die site?)

[ Bericht 0% gewijzigd door eileenvs op 28-07-2004 13:05:25 ]

quote:

Op woensdag 28 juli 2004 11:57 schreef eileenvs het volgende:
KNIP
Oznyrc.exe --> onbekend, dus rotzooi
optimize.exe --> spyware volgens http://www.liutilities.com
uawuar.exe --> onbekend, dus rotzooi
alchem.exe --> Spyware volgens symantec
KNIP

Dus ja, die dingen kunnen de oorzaak van de popups zijn. Installeer eens: ad-aware, spybot S&D, spysweeper en update deze. Laat deze programma's dan in veilige modus scannen en de rommel verwijderen. Doe dan nog een HijackThis scan daarna en post die log hier en dan kijken we wel wat er nog allemaal voor rommel in staat.

quote:

Op woensdag 28 juli 2004 12:29 schreef Psycho_Flip het volgende:

[..]

Dus ja, die dingen kunnen de oorzaak van de popups zijn. Installeer eens: ad-aware, spybot S&D, spysweeper en update deze. Laat deze programma's dan in veilige modus scannen en de rommel verwijderen. Doe dan nog een HijackThis scan daarna en post die log hier en dan kijken we wel wat er nog allemaal voor rommel in staat.

Ad-aware heb ik er al op staan. Die herkende het niet als spyware. Na de update ook niet! Die andere programma's zal ik gaan opzoeken.
Ik heb alle bovenstaande spywareverwante artikelen verwijderd en heb van de popups geen last meer. Thanks!

Kan iemand mij alsjeblieft helpen?
Ik word hier helemaal gestoord van!

thnx!


Logfile of HijackThis v1.97.7
Scan saved at 7:16:04 PM, on 7/28/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\System32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\PROGRA~1\INTERN~2\ALL_AB~1\inetshar.exe
E:\WINDOWS\system32\scagent.exe
E:\WINDOWS\System32\svchost.exe
E:\Program Files\Real\RealPlayer\RealPlay.exe
E:\WINDOWS\System32\devldr32.exe
E:\Program Files\MSN Messenger\MsnMsgr.Exe
E:\Program Files\Messenger\msmsgs.exe
E:\Program Files\ICQ\ICQ.exe
E:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
E:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
E:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
E:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
E:\WINDOWS\System32\wuauclt.exe
E:\Program Files\Internet Explorer\IEXPLORE.EXE
E:\Documents and Settings\AlphA\My Documents\ToolbarCop.exe
E:\Program Files\Internet Explorer\IEXPLORE.EXE
E:\Documents and Settings\AlphA\My Documents\CWShredder.exe
E:\Documents and Settings\AlphA\My Documents\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by chello broadband n.v.
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.ams.chello.nl:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = E:\WINDOWS\about.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://4-v.net/srchasst.html
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - E:\WINDOWS\nem219.dll (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5E2BD2E6-3360-474D-A774-E02372B89284} - E:\WINDOWS\madopew.dll
O2 - BHO: sr - {FC2593E3-3E5A-410F-AF3D-82613CCE58E5} - e:\windows\sr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Command Prompt Bar - {8E85E48B-7FD4-423D-BFAD-FA345D497EB5} - E:\WINDOWS\System32\ShellBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ChelloDesktop] E:\Program Files\chello\ChelloDesktop.exe
O4 - HKLM\..\Run: [RealTray] E:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NeroCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\Program Files\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [WinampAgent] "E:\Program Files\Winamp3\winampa.exe"
O4 - HKCU\..\Run: [MsnMsgr] "E:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [STYLEXP] E:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\RunOnce: [ICQ] E:\Program Files\ICQ\ICQ.exe -trayboot
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = E:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Anti-Virus&Trojan.lnk = E:\Program Files\Anti-Virus&Trojan\Anti-Virus&Trojan.exe
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.187/winsearchie32.chm::/winsearchie32.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.(...)common/bin/cabsa.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m(...)CAB?37881.2932986111
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi(...)bs/flash/swflash.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab

Dit is een trojan blijkbaar:

quote:

E:\WINDOWS\system32\scagent.exe

Weg:

quote:

E:\PROGRA~1\INTERN~2\ALL_AB~1\inetshar.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by chello broadband n.v.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = E:\WINDOWS\about.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://4-v.net/srchasst.html
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - E:\WINDOWS\nem219.dll (file missing)
O2 - BHO: (no name) - {5E2BD2E6-3360-474D-A774-E02372B89284} - E:\WINDOWS\madopew.dll
O2 - BHO: sr - {FC2593E3-3E5A-410F-AF3D-82613CCE58E5} - e:\windows\sr.dll
O3 - Toolbar: &Command Prompt Bar - {8E85E48B-7FD4-423D-BFAD-FA345D497EB5} - E:\WINDOWS\System32\ShellBar.dll
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.187/winsearchie32.chm::/winsearchie32.exe

Als je een proxy moet gebruiken, dan deze laten staan, anders weg:

quote:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.ams.chello.nl:8080

dit is mijn log van hijackthis

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\TREND MICRO\INTERNET SECURITY\PCCPFW.EXE
C:\PROGRAM FILES\TREND MICRO\INTERNET SECURITY\TMPROXY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\PROGRAM FILES\LOGITECH\IMAGESTUDIO\LOGITRAY.EXE
C:\PROGRAM FILES\TREND MICRO\INTERNET SECURITY\PCCLIENT.EXE
C:\PROGRAM FILES\TREND MICRO\INTERNET SECURITY\TMOAGENT.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\MSN APPS\UPDATER\01.02.0000.2693\NL\MSNAPPAU.EXE
C:\WINDOWS\SYSTEM\SRV.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
D:\PROGRAM FILES\IM4U.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAM FILES\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE
C:\WINDOWS\PROFILES\BOY\APPLICATION DATA\AROI.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\URQYTTAF.EXE
D:\BOY\WASHER\WASHER.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\YAHOO!\MESSENGER\YMSGR_TRAY.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
D:\BOY\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=543
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=543
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bvjlqykagvnhoq(...)QU65s2Tzhfkn7VrM.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=543
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = mysearchnow.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\7FROTUEHJG.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.0000.2693\NL\MSNTB.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [gwofpfpkqihbr] C:\WINDOWS\SYSTEM\krjwbp.exe
O4 - HKLM\..\Run: [aimrect] C:\PROGRA~1\INTRAM~1\PileBurnBody.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [LexStart] lexstart.exe
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\KDX\KHOST.EXE
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [Safepartsecondmanager] C:\WINDOWS\All Users\Application Data\city build safe part\Fragproc.exe
O4 - HKLM\..\Run: [romahere] C:\WINDOWS\SYSTEM\MATRIXHERE.EXE
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCCIOMON.exe] "C:\Program Files\Trend Micro\Internet Security\PCCIOMON.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [jopa] C:\WINDOWS\SYSTEM\SYSSTARTUP.EXE
O4 - HKLM\..\Run: [Classes] C:\WINDOWS\SYSTEM\SRV.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Program Files\Trend Micro\Internet Security\PCCIOMON.exe"
O4 - HKLM\..\RunServices: [PccPfw] C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
O4 - HKLM\..\RunServices: [tmproxy] C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
O4 - HKCU\..\Run: [IM4URun] D:\PROGRAM FILES\IM4U.exe minimize
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [\IEService.exe] C:\WINDOWS\ALLUSE~1\APPLIC~1\IESERV~1\IEService.exe
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - HKCU\..\Run: [Uodt] C:\WINDOWS\Profiles\Boy\Application Data\aroi.exe
O4 - HKCU\..\Run: [Qvujmdcg] C:\WINDOWS\SYSTEM\urqyttaf.exe
O4 - HKCU\..\Run: [Washer] D:\Boy\washer\washer.exe /0
O4 - HKCU\..\Run: [romahere] C:\WINDOWS\SYSTEM\MATRIXHERE.EXE
O4 - HKCU\..\Run: [jopa] C:\WINDOWS\SYSTEM\SYSSTARTUP.EXE
O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAM FILES\SPYWARE DOCTOR\SPYDOCTOR.EXE" /Q
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - HKCU\..\RunServices: [IM4URun] D:\PROGRAM FILES\IM4U.exe minimize
O4 - HKCU\..\RunServices: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\RunServices: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\RunServices: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\RunServices: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\RunServices: [\IEService.exe] C:\WINDOWS\ALLUSE~1\APPLIC~1\IESERV~1\IEService.exe
O4 - HKCU\..\RunServices: [uninstal] regsvr32 /u /s image.dll
O4 - HKCU\..\RunServices: [Uodt] C:\WINDOWS\Profiles\Boy\Application Data\aroi.exe
O4 - HKCU\..\RunServices: [Qvujmdcg] C:\WINDOWS\SYSTEM\urqyttaf.exe
O4 - HKCU\..\RunServices: [Washer] D:\Boy\washer\washer.exe /0
O4 - HKCU\..\RunServices: [romahere] C:\WINDOWS\SYSTEM\MATRIXHERE.EXE
O4 - HKCU\..\RunServices: [jopa] C:\WINDOWS\SYSTEM\SYSSTARTUP.EXE
O4 - HKCU\..\RunServices: [Spyware Doctor] "C:\PROGRAM FILES\SPYWARE DOCTOR\SPYDOCTOR.EXE" /Q
O4 - HKCU\..\RunServices: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\RunServices: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - User Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE
O4 - User Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: SideFind (HKLM)
O11 - Options group: [TOEGANKELIJKHEID] Toegankelijkheid
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi(...)bs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macrome(...)cabs/director/sw.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/do(...)ite/autocomplete.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX/kdx.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game11.zylom.lycos.nl/activex/zylomloader.cab
O16 - DPF: {D72A7651-8A16-476E-953C-347F0241FD32} (E.ZZA) - http://sexprovider.com/video/inst/install_pv.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} - http://www.oyunfabrikasi.com/nl/2/060187nl.exe

Cerby:
Als je nog eens een hijackthis log gaat posten, doe er dan aub ook het bovenste stuk bij (dus datgene waarin staat welk OS en welke IE je gebruikt)..

Trojan, dus scan je pc even met een online scanner, ding kan dus wel weg:

quote:

C:\WINDOWS\RunDLL.exe

Weg:

quote:

C:\WINDOWS\SYSTEM\SRV.EXE
C:\WINDOWS\SYSTEM\URQYTTAF.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=543
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=543
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bvjlqykagvnhoq(...)QU65s2Tzhfkn7VrM.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=543
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = mysearchnow.com
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\7FROTUEHJG.DLL
O4 - HKLM\..\Run: [gwofpfpkqihbr] C:\WINDOWS\SYSTEM\krjwbp.exe
O4 - HKLM\..\Run: [aimrect] C:\PROGRA~1\INTRAM~1\PileBurnBody.exe
O4 - HKLM\..\Run: [romahere] C:\WINDOWS\SYSTEM\MATRIXHERE.EXE
O4 - HKLM\..\Run: [jopa] C:\WINDOWS\SYSTEM\SYSSTARTUP.EXE
O4 - HKLM\..\Run: [Classes] C:\WINDOWS\SYSTEM\SRV.EXE
O4 - HKCU\..\Run: [\IEService.exe] C:\WINDOWS\ALLUSE~1\APPLIC~1\IESERV~1\IEService.exe
O4 - HKCU\..\Run: [Qvujmdcg] C:\WINDOWS\SYSTEM\urqyttaf.exe
O4 - HKCU\..\RunServices: [romahere] C:\WINDOWS\SYSTEM\MATRIXHERE.EXE
O4 - HKCU\..\RunServices: [jopa] C:\WINDOWS\SYSTEM\SYSSTARTUP.EXE
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/do(...)ite/autocomplete.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game11.zylom.lycos.nl/activex/zylomloader.cab
O16 - DPF: {D72A7651-8A16-476E-953C-347F0241FD32} (E.ZZA) - http://sexprovider.com/video/inst/install_pv.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} - http://www.oyunfabrikasi.com/nl/2/060187nl.exe

Onbekend voor mij, bepaal zelf maar:

quote:

D:\PROGRAM FILES\IM4U.EXE
C:\WINDOWS\PROFILES\BOY\APPLICATION DATA\AROI.EXE
D:\BOY\WASHER\WASHER.EXE
O4 - HKCU\..\Run: [IM4URun] D:\PROGRAM FILES\IM4U.exe minimize
O4 - HKCU\..\Run: [Uodt] C:\WINDOWS\Profiles\Boy\Application Data\aroi.exe
O4 - HKCU\..\Run: [Washer] D:\Boy\washer\washer.exe /0

En dan heb ik nog een vraagje: als ik normaal gesproken een site intikte die niet bestond kreeg ik msnzoeken in beeld. Nu krijg ik Internetoptimizer. Hoe krijg ik dat weg en me oude vertrouwde msn terug!?

quote:

Op donderdag 29 juli 2004 11:37 schreef eileenvs het volgende:
En dan heb ik nog een vraagje: als ik normaal gesproken een site intikte die niet bestond kreeg ik msnzoeken in beeld. Nu krijg ik Internetoptimizer. Hoe krijg ik dat weg en me oude vertrouwde msn terug!?

Dat komt ook door spyware, post je hijackthis log maar eens.

edit:
Dit komt uit de log van cerby, maar hier zit waarschijnlijk bij jou ook de oorzaak:

quote:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=543
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=543
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bvjlqykagvnhoq(...)QU65s2Tzhfkn7VrM.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=543
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = mysearchnow.com

Bij jou zal er wel een andere url staan, maar die dingen wat ik hier noem, kun je in ieder geval verwijderen zonder problemen. (En dan is het bij jou vooral die Search Page stukjes..)

quote:

Op donderdag 29 juli 2004 17:05 schreef Psycho_Flip het volgende:

[..]

Dat komt ook door spyware, post je hijackthis log maar eens.

edit:
Dit komt uit de log van cerby, maar hier zit waarschijnlijk bij jou ook de oorzaak:
[..]

Bij jou zal er wel een andere url staan, maar die dingen wat ik hier noem, kun je in ieder geval verwijderen zonder problemen. (En dan is het bij jou vooral die Search Page stukjes..)

kdan bedankt kerel!! die troep is tenminste nu me computer uit

iemand anders log
meestal volstaat een verwijzing naar een anti-vir ..pestpatrol en een paar tooltjes wel
maar bij deze zit nog iets. ik zie het niet zo snel
maar ik geef toe dat ik er eigenlijk niet zo in thuisben

Logfile of HijackThis v1.97.7
Scan saved at 2:54:08 PM, on 8/8/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Dell\Support\Alert\bin\DAMon.exe
C:\program files\quicktime\qttask.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\Program Files\PestPatrol\PPControl.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\ltmsg.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\DIGStream\digstream.exe
C:\WINDOWS\MMKeybd.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\PROGRA~1\PCMAGA~1\COOKIE~1\COOKIE~1.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\SYSTEM32\tbctray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\COMMON~1\AOL\ACS\acsd.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\The Twilight Zone Tower of Terror™ Game\The Twilight Zone Tower of Terror™ Game.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Netropa\Traymon.exe
C:\PROGRA~1\AIM95\aim.exe
C:\Program Files\Netropa\OSD.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Common Files\efax\HotTray.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Common Files\efax\Dllcmd32.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Microsoft Broadband Networking\MSBNTray.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Program Files\3M\PSNotes2\Psn2.exe
C:\Program Files\ACT\SideACT.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Desktop Weather\desktopweather_343864.exe
C:\WINDOWS\DownloadWizard\DownloadWizard.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\PROGRA~1\3M\PSNotes2\PSNGive.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Documents and Settings\Polly Taylor\My Documents\Downloads\HijackThis.exe
C:\WINDOWS\SYSTEM32\NOTEPAD.EXE
C:\Program Files\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comcast.net/comcast.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://education.dellnet.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://education.dellnet.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=CookieCop:8100
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar_en_2.0.111-big.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar_en_2.0.111-big.dll
O4 - HKLM\..\Run: [Dell|Alert] C:\Program Files\Dell\Support\Alert\bin\DAMon.exe
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG -off
O4 - HKLM\..\Run: [QuickTime Task] "C:\program files\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Program Files\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MoneyStartUp10.0] "C:\Program Files\Microsoft Money\System\Activation.exe"
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [DIGStream] C:\Program Files\DIGStream\digstream.exe
O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\MMKeybd.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [CookieCop] C:\PROGRA~1\PCMAGA~1\COOKIE~1\COOKIE~1.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [TraySantaCruz] C:\WINDOWS\SYSTEM32\tbctray.exe
O4 - HKCU\..\Run: [Felix II] C:\Program Files\ScreenMates\Felix II\Felix2.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [The Twilight Zone Tower of Terror™ Game] C:\Program Files\The Twilight Zone Tower of Terror™ Game\The Twilight Zone Tower of Terror™ Game.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [AIM] C:\PROGRA~1\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: desktop weather.lnk = C:\Program Files\Desktop Weather\desktopweather_343864.exe
O4 - Startup: eBot.lnk = C:\WINDOWS\DownloadWizard\DownloadWizard.exe
O4 - Global Startup: eFax.com Tray Menu.lnk = C:\Program Files\Common Files\efax\HotTray.exe
O4 - Global Startup: Live Menu.lnk = C:\Program Files\Common Files\efax\Dllcmd32.exe
O4 - Global Startup: Microsoft Broadband Networking.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Post-it® Software Notes.lnk = C:\Program Files\3M\PSNotes2\Psn2.exe
O4 - Global Startup: SideACT!.lnk = C:\Program Files\ACT\SideACT.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar_en_2.0.111-big.dll/cmsearch.html
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar_en_2.0.111-big.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar_en_2.0.111-big.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar_en_2.0.111-big.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar_en_2.0.111-big.dll/cmtrans.html
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: MoneySide (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0FF3E97F-433D-11D2-B31A-00A0C9B135DB} (CoDetectDigitalRiver Class) - http://ebot.digitalriver.com/v2.0-doc/dlwizard/wizard3.0.4.3.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn(...)AClient.cab28578.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macrome(...)cabs/director/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/ima(...)tialSetup1.0.0.8.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} - http://download.yahoo.com/dl/installs/yinst0401.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net(...)ickTimeInstaller.exe
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.com/computercheckup/qdiagcc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/215a3a49fbb738469421/netzip/RdxIE601.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net(...)ickTimeInstaller.exe
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://us.games2.yimg.com(...)exentctl_0_0_0_1.ocx
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/(...)ousecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://144.141.252.6/tsweb/msrdp.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://ftp.us.dell.com/fixes/PROFILER.CAB
O16 - DPF: {9522B3FB-7A2B-4646-8AF6-36E7F593073C} (cpbrkpie Control) - http://a19.g.akamai.net/7(...)m/v3123/cpbrkpie.cab
O16 - DPF: {9AA73F41-EC64-489E-9A73-9CD52E528BC4} (ZoneAxRcMgr Class) - http://zone.msn.com/binGame/ZAxRcMgr.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m(...)CAB?37863.4089583333
O16 - DPF: {A031D222-B496-11D2-9CC8-00105A10AAF6} (WONWebLauncher Class) - http://www.flipside.com/cab/WONWebLauncherControl.cab
O16 - DPF: {A7705DCF-C4FB-41EC-A980-932C6A986F35} (BFNController Class) - http://www.bluefalcon.com/software/live/bbn/cab/BFNStreamer.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {B817734E-046C-11D3-B674-00104BA25195} - http://pmb001.3m.com/pub/psnotes/psnudate.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab28578.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/do(...)ite/autocomplete.cab
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/(...)/RealArcadeRdxIE.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.(...)common/bin/cabsa.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/(...)all2.5/Installer.exe
O16 - DPF: {C6B086D2-146B-47A4-A218-B82DCAF2D872} (cpbrxpie Control) - http://a19.g.akamai.net/7(...)m/r3120/cpbrxpie.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {CD17FAAA-17B4-4736-AAEF-436EDC304C8C} (ContentAuditX Control) - http://www.contentwatch.c(...)tentAuditControl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi(...)bs/flash/swflash.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/default/popcaploader_v5.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O16 - DPF: {FF0C042C-98E9-4C36-B2EC-E21FDFDCEF75} - http://download.redswoosh.net/Installer/104/rsinstaller.cab

Kan iemand mij zeggen wat hier addware/spyware is? Alvast bedankt
Logfile of HijackThis v1.97.7
Scan saved at 10:18:54, on 9-8-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
D:\Programma's\MP3 converter\ezcddax.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Owner\Local Settings\Temporary Internet Files\Content.IE5\WPI74DUN\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programma's\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\Programma's\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\programma's\Quicktime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = D:\Programma's\Microsoft frontpage\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m(...)CAB?38203.2249537037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi(...)bs/flash/swflash.cab

coz:
Het is een erg lange lijst, maar veel rommel staat er niet in.

Ken ik niet, bepaal zelf maar:

quote:

C:\Program Files\The Twilight Zone Tower of Terror™ Game\The Twilight Zone Tower of Terror™ Game.exe
C:\Program Files\Desktop Weather\desktopweather_343864.exe
O4 - HKLM\..\Run: [DIGStream] C:\Program Files\DIGStream\digstream.exe
O4 - HKCU\..\Run: [The Twilight Zone Tower of Terror™ Game] C:\Program Files\The Twilight Zone Tower of Terror™ Game\The Twilight Zone Tower of Terror™ Game.exe
O4 - Startup: desktop weather.lnk = C:\Program Files\Desktop Weather\desktopweather_343864.exe

Weg:

quote:

C:\Program Files\DIGStream\digstream.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comcast.net/comcast.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://education.dellnet.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://education.dellnet.com/

Sonof:
Staat geen rommel in (ik zie tenminste niks staan)..

Wanneer ik thuis ben ga ik ff meteen een log posten. Want mijn systeem flipt de laatste tijd ook en zelf weet ik niet wat er precies weg kan.

quote:

Op dinsdag 10 augustus 2004 10:08 schreef -Nielz- het volgende:
Wanneer ik thuis ben ga ik ff meteen een log posten. Want mijn systeem flipt de laatste tijd ook en zelf weet ik niet wat er precies weg kan.

Zorg er dan wel ff voor dat je eerst de volgende programma's hebt laten scannen (eerst updaten natuurlijk) in veilige modus:
- ad-aware
- spybot S&D
- spysweeper

Als je dan hijackthis laat scannen, doe dit ook in veilige modus en zorg ervoor dat geen enkel internet explorer en verkenner scherm open staat.

tvp

in SP2 zit een zgn. 'Security Center', die controleert alleen of de virusscanner die jij erop heb ,up-to-date is of niet. Security Center zelf is dus geen virusscanner.

Check www.lavasoft.nu voor de nieuwste Ad-aware versie, 'Ad-aware SE' genaamd. Op de site staan alle vernieuwingen etc. wel Spysweeper is er nu ook in versie 3, met o.a. nog meer 'shields', so be sure to get it..

Hieronder mijn log van Hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 19:57:41, on 11-8-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Niels\Desktop\Hijackthis_backup\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fok.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fok.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.monkuevweprigg(...)sAsL469exCG4Cqo.html
F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1AFEE373-3C53-7C7B-A466-A20575E124E6} - C:\PROGRA~1\Cool32\DvdDent.exe
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {B9D6B3C2-09AD-464A-8162-8C55114C808A} - C:\Program Files\AV VCS 3.0 DIAMOND\Vcs3RT.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1629.0\nl\msntb.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [hpppta] C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hpppta.exe /ICON
O4 - HKLM\..\Run: [Axisbleh] C:\PROGRA~1\ANTELI~1\Surf Grid Tons.exe
O4 - HKLM\..\Run: [dupe stupid comp slow] C:\Documents and Settings\All Users\Application Data\Clock Proc Dupe Stupid\Idolarmy.exe
O4 - HKLM\..\Run: [skynetave.exe] C:\WINDOWS\skynetave.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UStorage] c:\program files\u-storage tools2.1\ustorage.exe sys_auto_run C:\Program Files\U-Storage Tools2.1
O4 - HKLM\..\Run: [tqx] C:\WINDOWS\tqx.exe
O4 - HKLM\..\Run: [sbxivxbhrz] C:\WINDOWS\System32\kyqcuysh.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [kpxnbjtpdvq] C:\WINDOWS\System32\kyqcuysh.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKLM\..\RunOnce: [AAW] "C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe" "+b1"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\googletoolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Onderzoek (HKLM)
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpo(...)Stream3.cab?url=http://www.viewpoint.com/cgi-bin/installer.v3/vet_install_popup.pl?0&4&unknown&unknown&unknown&unknown&unknown&unknown&unknown&unknown&unknown&unknown&unknown&unknown&unknown
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m(...)CAB?38013.6717361111
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi(...)bs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A6CDEEF-FADC-4D72-B381-D1474420F3CA}: NameServer = 213.204.195.4 213.204.195.5

Om te beginnen, doe eens een online virusscan, het volgende ding is namelijk onderdeel (geweest) van W32.Sasser, zie hier.

quote:

O4 - HKLM\..\Run: [skynetave.exe] C:\WINDOWS\skynetave.exe

Weg:

quote:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.monkuevweprigg(...)sAsL469exCG4Cqo.html
O4 - HKLM\..\Run: [sbxivxbhrz] C:\WINDOWS\System32\kyqcuysh.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [kpxnbjtpdvq] C:\WINDOWS\System32\kyqcuysh.exe
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpo(...)Stream3.cab?url=http://www.viewpoint.com/cgi-bin/installer.v3/vet_install_popup.pl?0&4&unknown&unknown&unknown&unknown&unknown&unknown&unknown&unknown&unknown&unknown&unknown&unknown&unknown

Wordt niet door google gevonden, als je weet wat het is en je gebruikt het kun je het laten staan, anders weg:

quote:

O2 - BHO: (no name) - {1AFEE373-3C53-7C7B-A466-A20575E124E6} - C:\PROGRA~1\Cool32\DvdDent.exe
O4 - HKLM\..\Run: [Axisbleh] C:\PROGRA~1\ANTELI~1\Surf Grid Tons.exe
O4 - HKLM\..\Run: [dupe stupid comp slow] C:\Documents and Settings\All Users\Application Data\Clock Proc Dupe Stupid\Idolarmy.exe

Deze zegt me niks en met google is ook geen nuttige info te vinden, dus mag van mij weg of je moet weten wat het is:

quote:

O4 - HKLM\..\Run: [tqx] C:\WINDOWS\tqx.exe

Kijk voordat je het volgende ding verwijdert eerst even hier.

quote:

F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,

Bedankt alvast.

In je vorige post zei je dat ik een Hijackthis log moest maken in veilige modus, waarom eigenlijk?
Als je normaal opstart heb je meer processen en is het dan niet zo dat er dan meer "zooi" te zien is in de log?

quote:

Op donderdag 12 augustus 2004 12:21 schreef -Nielz- het volgende:
Bedankt alvast.

In je vorige post zei je dat ik een Hijackthis log moest maken in veilige modus, waarom eigenlijk?
Als je normaal opstart heb je meer processen en is het dan niet zo dat er dan meer "zooi" te zien is in de log?

Klopt wel dat je dan meer processen hebt draaien, maar die dingen moeten toch op een of andere manier opgestart worden en dat staat dus in het register in "HKLM\software\microsoft\windows\current version\run" en die dingen staan ook in de log file.
Als je in normale modus de zooi gaat verwijderen kan het wel eens voorkomen dat je de melding krijgt dat er iets niet verwijderd kan worden omdat het proces nog draait. Dit probleem heb je in veilige modus dus niet..

Oke, ga vanavond meteen aan de slag. Ik heb nog een vraagje, hoe werkt zo'n online scan precies? Moet je dan ook echt de hele tijd online zijn? Ik namelijk geen breenbandverbinding.

Hmm.. dacht wel dat je dan verbinding moet houden ja.. Je kunt natuurlijk ook even stinger downloaden.. Is een programmaatje van McAfee van 815KB, deze scant op een stuk of 40 bekende virussen en verwijderd deze ook. Je kunt het programmaatje hier downloaden.

Ga het eens proberen

O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll

Iemand enig idee of ik die "dingen" weg kan gooien?

quote:

Op zaterdag 16 oktober 2004 15:47 schreef marc16 het volgende:
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll

Iemand enig idee of ik die "dingen" weg kan gooien?

Hier staat uitleg over inetadpt.dll

Hieronder staat mijn startup list van hijachthis..
Ziet iemand nog rotzooi? msn+ heb ik er al afgegooit..

quote:

StartupList report, 21-1-2005, 16:46:28
StartupList version: 1.52
Started from : C:\DOCUME~1\HANZEX~1\LOCALS~1\Temp\Rar$EX00.922\StartupList.EXE
Detected: Windows 2000 SP4 (WinNT 5.00.2195)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\NTS\WANADO~1\app\pppoeservice.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SYSTEM32\starter.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Program Files\Bcpc\bcpc.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\System32\cidaemon.exe
C:\Program Files\Norton AntiVirus\NAVAPSVC.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\HANZEX~1\LOCALS~1\Temp\Rar$EX00.922\StartupList.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,

--------------------------------------------------

Shell & screensaver key from C:\WINNT\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - c:\Program Files\XML\XML.dll - {7CD20E91-1F31-41da-8379-479EA31DF969}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Symantec NetDetect.job
WebReg 20040503214637.job

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave ActiveX Control]
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

[Update Class]
InProcServer32 = C:\WINNT\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.m(...)CAB?37877.4000694444

[Shockwave Flash Object]
InProcServer32 = C:\WINNT\system32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedi(...)bs/flash/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
WebCheck: C:\WINNT\System32\webcheck.dll
SysTray: stobject.dll

--------------------------------------------------
End of report, 4.162 bytes
Report generated in 0,240 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

C:\WINNT\SYSTEM32\starter.exe

dat is een virus of een programma voor je geluidskaart

C:\Program Files\Bcpc\bcpc.exe
http://computercops.biz/startuplist-4679.html

http://sarc.com/avcenter/venc/data/adware.broadcastpc.b.html

http://www.hitmanpro.nl erg goed programma dat alle progs langs gaat om te controleren op spyware en adaware. en verwijdert als aanwezig

ik heb dan ook nog wel 2 goede aanvulligen voor dit topic! veel mensen zullen het al wel kennen:

Hitman Pro
Hitman Pro is een alles-in-éénoplossing tegen spyware. Het is een schil voor een aantal gevestigde spyware en adware schoonmaak- en beschermingsprogramma's. De gebruiker hoeft slechts het bedieningsoppervlak van Hitman Pro te bedienen waarna de externe programma's automatisch door Hitman Pro worden aangestuurd. Hitman Pro bevat ook een aantal eenvoudige passieve beschermingsopties waarmee het lastiger wordt om wederom door spyware besmet te raken.
Hitman Pro is daarom een ideale tool voor iedere computergebruiker.

Linkje: Klik hier

En natuurlijk ...

De Anti Spyware van Microsoft zelf!

Ik heb zelf deze software inmiddels getest op zo'n 10+ verschillende systemen en het is wel degelijk een fantastische bijdrage in het bestrijden van spy- ad- en malware!

Wat we voorheen eerst helemaal uit het register moesten vissen, dat doet M$ Antispyware nu voor ons!
Het is redelijk makkelijk te configureren, maar je moet er wel even de tijd voor nemen anders ga je het ervaren als negatief en dat is het ECHT niet!

Net als Anti-Virus software krijg je netjes een melding als er iets vreemds gebeurt op je pc (als je startpagina veranderd wordt) met een keuze om dit toe te staan of te blokkeren. Het lijkt misschien lastig, maar bedenk je wel, als je dat programma niet had gehad, had je nu weer zo'n klote startpagina gehad!!

ik heb tot nu toe maar 1 nadeel kunnen vinden (wel gelijk een grote); het werkt alleen met Windows 2000 en Windows XP...

Linkje: Klik hier!

Ff een kortelange toevoeging, misschien ook leuk voor in de startpost:

Je hoeft geen nerd of ICT-er te zijn om een groot deel van de spyware er zelf uit te halen.

Als je wil kijken of er spyware op je pc staat kun je bijvoorbeeld al ff naar C:\Program Files\ gaan en daar zoeken naar verdachte mappen, zoals bijv. Mysearch of GAIN. Controleer of dat wat in de map staat echt spyware is en start je computer opnieuw op. Tijdens het opstarten ram je een paar keer op F8 waarna je ervoor kan kiezen om de pc opnieuw op te starten in veilige modus.
Het mooie van veilige modus is dat spyware etc dan niet kan draaien dus je kan het op die manier beter weggooien.
Als je in veilige modus bent ga je naar de Program Files-map en verwijder je alle mappen die niets anders dan spyware kunnen zijn. Als je slim bent laat je, nu de pc dus in veilige modus is, ook even je virusscanner en anti-spyware-programma's draaien en je hele computer scannen.
Geloof me, hij vindt meer dan dat de computer normaal wordt opgestart, vooral virussen.

Mijn tip is om zo eens in de maand of 2 maanden je computer in veilige modus op te starten en je anti-spyware/virusscanner etc programma's je hele pc te laten scannen.

Wat trouwens ook een goede is: vervang je HOSTS-file. Op elke pc staat een HOSTS-file, hiermee kun je, simpel gezegd, bepaalde (internet)adressen naar een andere plek laten verwijzen. Klinkt ingewikkeld maar in de praktijk werkt het zo dat je 'slechte' adressen (dus van grote reclame-bedrijven, adware-sites etc) naar de LOCALHOST verwijst. Jezelf, je eigen computer, dus. Dit betekent dat als een internet-site dan een banner probeert te laden terwijl die in je HOSTS-file naar jezelf verwijst, dat je een leeg stuk krijgt. No more banners en ook verminderde kans op troep. Zoeken op Google levert genoeg HOSTS-files op.


Ik gebruik zelf:
Ad-Aware. Staat ook in de openingspost enzo maar dat komt omdat dit gewoon een supergoed programma is wat zelfs voor de absolute leek makkelijk te hanteren is. Absolute topper!

Hijackthis. Voor de leek --> NIET aan beginnen. Je kunt er een hoop mee opfucken. Voor de 'gevorderde gebruiker' --> handige tool. Kun je vervelende shit mee opsporen en verwijderen.

SpyBot. Niet echt een handig programma'tje, gebruik het heel soms. Wat wel heel handig is is dat hij op een bepaalde manier bepaalde ads blockt die iets willen downloaden naar je pc, bijvoorbeeld op de Hotmail-site enzo.

Sinds een week staat er ineens klap een gigaberg spyware en adware op onze
pc. Inmiddels gedraaid: Ad-Aware, CWshredder, Spybot, SpywareBlaster en die
vonden iedere keer opnieuw weer spyware die ze verwijderden en daarna je zag
het gewoon gebeuren dat die zooi opnieuw geinstalleerd werd allemaal. Ook
vreemd is dat het gedeeltelijk steeds andere spyware betreft.


Microsoft AntiSpyware gedownload en dat lijkt voor het eerst wat te
helpen. Toch blijft ook die spyware vinden en moet je o.a. steeds ist.istbar opnieuw verwijderen.
Graag jullie hulp bij het laatste restje.

Logfile of HijackThis v1.99.1
Scan saved at 1:42:59, on 25-2-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\System32\fhwx.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\aorbs.exe
C:\WINDOWS\BCMSMMSG.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\WINDOWS\System32\wscript.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\ISTsvc\istsvc.exe <= krijgen we NIET gedelete
C:\WINDOWS\System32\wscript.exe
C:\Documents and Settings\Jacob\Local Settings\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.startpagina.nl/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {B7EBA676-570B-E6B2-C70C-85DB2CD81BD8} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec
Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [JVM0.12] C:\WINDOWS\System32\fhwx.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [1D0.tmp.exe] C:\DOCUME~1\Jacob\LOCALS~1\Temp\1D0.tmp.exe
5 10001
O4 - HKLM\..\Run: [26.tmp] C:\DOCUME~1\Jacob\LOCALS~1\Temp\26.tmp.exe 1
10001
O4 - HKLM\..\Run: [OZ0ßÈÉé*'Õì«a<zg³C:\Program Files\ISTsvc\istsvc.exe]
C:\WINDOWS\aorbs.exe
O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\msexploren.exe /i
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [1D0.tmp] C:\DOCUME~1\Jacob\LOCALS~1\Temp\1D0.tmp.exe 4
10001
O4 - HKLM\..\Run: [epl2] C:\WINDOWS\System32\epl2.exe
O4 - HKLM\..\Run: [clfmon] C:\WINDOWS\clfmon.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [19.tmp] C:\DOCUME~1\Jacob\LOCALS~1\Temp\19.tmp.exe 5
10001
O4 - HKLM\..\Run: [ltdyue] c:\windows\system32\ltdyue.exe
O4 - HKLM\..\Run: [19.tmp.exe] C:\DOCUME~1\Jacob\LOCALS~1\Temp\19.tmp.exe 5
10001
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [atlup.exe] C:\WINDOWS\atlup.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft
AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitepej32.exe
O4 - HKLM\..\Run: [OZ0ßÈ80+¿pÇL]ùÿ«a<C:\Program Files\ISTsvc\istsvc.exe]
C:\WINDOWS\aorbs.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Program
Files\Microsoft AntiSpyware\gcASCleaner.exe
O4 - HKLM\..\RunOnce: [GIANTAntiSpywareCleaner] C:\Program Files\Microsoft
AntiSpyware\gcASCleaner.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program
files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program
files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program
files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program
Files\Google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://C:\Program
Files\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Opgeslagen momentopname van de pagina -
res://C:\Program Files\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program
files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program
files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program
Files\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'c:\program
files\newdotnet\newdotnet6_38.dll' missing
O15 - Trusted Zone: *.05p.com <= hoe krijg je deze weg? staat in IE niet in trusted zone!
O15 - Trusted Zone: *.admin2cash.biz
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.bettersearch.biz
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.finefind.nettraffic2cash.biz
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.private-dialer.biz
O15 - Trusted Zone: *.private-iframe.biz
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be
Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be
Internet Zone (HKLM)
O16 - DPF: Yahoo! Chat -
http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) -
https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) -
https://components.viewpo(...)Stream3.cab?url=http://www.viewpoint.com/cgi-bin/installer.v3/vet_install_popup.pl?1&4&04.00.05.04&unknown&unknown&http://62.3.133.38/NL/24_3d_view_my_car_pop.jsp
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio
Conferencing) -
http://us.chat1.yimg.com/(...)plet/v45/yacscom.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus
scanner) -
http://security.symantec.(...)t/vc/bin/AvSniff.cab
O16 - DPF: {3B623D23-2757-4881-A01E-D560EBCA5307} (VacPro.olanda_ver10) -
http://advnt01.com/dialer/olanda_ver10.CAB
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
http://a1540.g.akamai.net(...)imeFullInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility
Class) -
http://security.symantec.(...)common/bin/cabsa.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) -
https://gto.postbank.nl/GTO/PBGNX.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) -
http://chat.msn.com/bin/msnchat45.cab
O17 -
HKLM\System\CCS\Services\Tcpip\..\{2F237C91-FF58-42F4-8576-C4649A71821C}:
NameServer = 194.134.5.5 194.134.5.55
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec
Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation -
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: TrueVector Basic Logging Client (minilog) - Unknown owner -
C:\WINDOWS\SYSTEM32\ZoneLabs\minilog.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec
Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) -
Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton
AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation -
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program
Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner -
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe (file missing)

Staat idd wel wat rotzooi op. Heb je al geprobeerd om in de veilige modus dingen te verwijderen?
Geheid dat er stiekem een proces draait dat telkens de boel weer terug zet. In de veilige modus heb je daar geen last van.

Vage processen:
C:\WINDOWS\System32\fhwx.exe
C:\WINDOWS\aorbs.exe
C:\Program Files\ISTsvc\istsvc.exe

Dit kan weg:
O4 - HKLM\..\Run: [JVM0.12] C:\WINDOWS\System32\fhwx.exe
O4 - HKLM\..\Run: [1D0.tmp.exe] C:\DOCUME~1\Jacob\LOCALS~1\Temp\1D0.tmp.exe
5 10001
O4 - HKLM\..\Run: [26.tmp] C:\DOCUME~1\Jacob\LOCALS~1\Temp\26.tmp.exe 1
10001
O4 - HKLM\..\Run: [OZ0ßÈÉé*'Õì«a<zg³C:\Program Files\ISTsvc\istsvc.exe]
C:\WINDOWS\aorbs.exe
O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\msexploren.exe /i
O4 - HKLM\..\Run: [1D0.tmp] C:\DOCUME~1\Jacob\LOCALS~1\Temp\1D0.tmp.exe 4
10001
O4 - HKLM\..\Run: [epl2] C:\WINDOWS\System32\epl2.exe
O4 - HKLM\..\Run: [clfmon] C:\WINDOWS\clfmon.exe
O4 - HKLM\..\Run: [19.tmp] C:\DOCUME~1\Jacob\LOCALS~1\Temp\19.tmp.exe 5
10001
O4 - HKLM\..\Run: [ltdyue] c:\windows\system32\ltdyue.exe
O4 - HKLM\..\Run: [19.tmp.exe] C:\DOCUME~1\Jacob\LOCALS~1\Temp\19.tmp.exe 5
10001
O4 - HKLM\..\Run: [atlup.exe] C:\WINDOWS\atlup.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitepej32.exe
O4 - HKLM\..\Run: [OZ0ßÈ80+¿pÇL]ùÿ«a<C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\aorbs.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.admin2cash.biz
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.bettersearch.biz
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.finefind.nettraffic2cash.biz
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.private-dialer.biz
O15 - Trusted Zone: *.private-iframe.biz
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpo(...)Stream3.cab?url=http://www.viewpoint.com/cgi-bin/installer.v3/vet_install_popup.pl?&4&04.00.05.04&unknown&unknown&http://62.3.133.38/NL/24_3d_view_my_car_pop.jsp
O16 - DPF: {3B623D23-2757-4881-A01E-D560EBCA5307} (VacPro.olanda_ver10) -
http://advnt01.com/dialer/olanda_ver10.CAB


Dit kan ook wel weg (lege of nutteloze entries):
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {B7EBA676-570B-E6B2-C70C-85DB2CD81BD8} - (no file)
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?

En deze moet je zien te fixen met Spybot S&D of LSpfix (cexx.org)
O10 - Broken Internet access because of LSP provider 'c:\program
files\newdotnet\newdotnet6_38.dll' missing

Ik vind de stappen die hier beschreven staan ook wel erg handig:
http://www.virushelp.nl/hijackthislog.htm
Enige toevoeging wmb is het scannen met hitmanpro en met de antispywaretool van microsoft.

Hey Sassie, hartstikke bedankt voor het kijken.
Ik heb geprobeerd de bestanden die je noemt te verwijderen maar tot mijn verbazing kon ik het merendeel daarvan niet vinden. Wat bleek, ze staan bij opstarten onder msconfig! Gewoon een kwestie van uitvinken dus. Nog makkelijker.
Daarna nog een scan gedraaid met microsoft antispyware in veilige modus (had ik wel al eerder met ad-aware gedaan maar dat hielp toen weinig) en nog het eea verwijders en het ziet er tot nu toe allemaal erg goed uit.
Weet iemand waar je die sites uit de trusted zone kan halen? In IE staan ze niet onder extra, internetopties, beveiliging, trusted zones namelijk.

quote:

Op vrijdag 25 februari 2005 22:21 schreef Sassie het volgende:
En deze moet je zien te fixen met Spybot S&D of LSpfix (cexx.org)
O10 - Broken Internet access because of LSP provider 'c:\program
files\newdotnet\newdotnet6_38.dll' missing

Is ook zooi dat newdotnet dus dat doe ik maar even niet.

Je kunt de dingen ook in/door hijackthis laten verwijderen (da's ook het handige ervan).
Dan moet je gewoon de desbetreffende vakjes aanvinken en op fix drukken.
Zie bijv http://home.planet.nl/~kleyn080/hijackthisuitleg.html

Enige waar je op moet letten is dat hijackthis zelf geen onderscheid maakt tussen slechte en goede dingen, dat moet jij zelf doen. Hijackthis verwijdert alles wat jij aanvinkt zonder onderscheid en het is vervelend als je per ongeluk een nuttig iets verwijdert. Het is sowieso handig om een back-up te latne maken van hetgeen je 'fixt', dan kun je nog iets terugzetten als het toch niet goed uitpakt.
Overigens verwijdert hijackthis alleen zaken uit je registry, bijbehorende bestanden moet je zelf nog weggooien (of handmatig of gewoon nog eens met een anti-spyware programma scannen).
Zie hier voor wat achtergrond uitleg: http://users.telenet.be/marcvn/spyware/1666868.htm

http://home.planet.nl/~kleyn080/hijackthisuitleg.html
http://www.sitesled.com/members/frankws/

Ik denk niet dat ik spyware binnen heb,maar het wordt soms wel traag hier.
hier mijn log, zitten er dingen in die echt niet kunnen (en dan bedoel ik niet een updatezoeker).
Ik heb het idee dat het wel meevalt, wat denken jullie?
Logfile of HijackThis v1.97.7
Scan saved at 13:20:38, on 15-5-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\hphmon05.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\PestPatrol\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Copernic Desktop Search\CopernicDesktopSearch.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Kazaa Lite K++\KazaaLite.kpp
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nescapades.com/gameroom.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Program Files\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Copernic Desktop Search] "C:\Program Files\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.m(...)te.cab?1104266526376
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn(...)sClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi(...)bs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn(...)howdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D734E04-3F5E-4F27-B1BA-88DB1BCEC089}: NameServer = 192.168.123.254

quote:

Op maandag 28 juni 2004 09:00 schreef indahnesia.com het volgende:

[..]

ik heb geen spyware op mijn computer volgens bovenstaande programma's en toch gebruik ik IE en kom ik soms ook wel eens op een vage site. Niet zeuren over een andere browser.

i second that

quote:

Op zondag 15 mei 2005 13:48 schreef mschol het volgende:

[..]

i second that

Ik ook!
IE geen problemen mee gehad, never.
Ook niet voor sp2

Maar ja voor noobs is FF misschien handiger.

@PM-girl:
geen spyware te zien

norton maakt de boel waarschijnlijk rete traag

quote:

Op zondag 15 mei 2005 13:49 schreef Godlike02 het volgende:

[..]

Ik ook!
IE geen problemen mee gehad, never.
Ook niet voor sp2

Maar ja voor noobs is FF misschien handiger.

ik heb we eens een probleem maar dat weet ik (ik start sommige proggies op met in het achterhoofd zo van dit zal vast spyware zijn.. )

quote:

Op zondag 15 mei 2005 13:49 schreef mschol het volgende:
@PM-girl:
geen spyware te zien

norton maakt de boel waarschijnlijk rete traag

OK, thnx!!

huh... mijn virusscanner slaat op hol als ik de 2de serie van 50 berichten wil zien

ik gebruik avast en dit is de melding;

bestandsnaam: forum.fok.nl/topic/567225/2/50\PxB141D
Malware-naam: Win32:Mhtplo-27 [Trj]
Malware-type: Trojaans Paard
VPS versie: 0519-2, 12-05-2005

quote:

Op zondag 15 mei 2005 14:30 schreef Freeflyer het volgende:
huh... mijn virusscanner slaat op hol als ik de 2de serie van 50 berichten wil zien

ik gebruik avast en dit is de melding;

bestandsnaam: forum.fok.nl/topic/567225/2/50\PxB141D
Malware-naam: Win32:Mhtplo-27 [Trj]
Malware-type: Trojaans Paard
VPS versie: 0519-2, 12-05-2005

heeft misschien iets met banner te maken????
ik kan niks veriferen, heb geen virusscanner

Weet iemand of er misschien een anti-spyware programma is voor de Mac? Ik wil zeker weten dat m'n Mac geen spyware en/of virussen bevat.

Help! Ik zit gewoon op msn, en ineens stuur ik iedereen deze link: http://freepics.verdun.be/views.php?dir=pics§ion=hot&clip=14 (< probeer deze link zelf niet, is echt niet fijn)
Iedereen natuurlijk boos, blabla, en ik moet al die venstertjes gaan sluiten (vensters waar je de link hebt 'ingezet'). Ik heb van alles geprobeerd om het weg te krijgen: AdAware, Spybot, AVG virus scanner, e-Trust Antivirus, HijackThis. Ik heb zelfs alle opgeslagen logs van msn waarin de link stond verwijdert. En uiteraard de prullepak.

p.s ik heb net als laatste HijackThis gedaan.. en gewoon alles verwijderd wat hij aangaf. Hier moet je volgens mij mee oppassen (daarom vind ik het niet zo een fijn programma... had ik het er al een tijdje geleden vanaf gehaald). Maar wat ik wil zeggen: Het is nog niet gebeurt. Die link. De laatste 5 minuten niet.

Mocht het toch al opgelost zijn: door HijackThis is dat dan gebeurt, dan wil ik jullie waarschuwen voor die link. Niet op klikken.

quote:

Op woensdag 18 mei 2005 15:49 schreef Kiwitje het volgende:
Help! Ik zit gewoon op msn, en ineens stuur ik iedereen deze link: http://freepics.verdun.be/views.php?dir=pics§ion=hot&clip=14 (< probeer deze link zelf niet, is echt niet fijn)
Iedereen natuurlijk boos, blabla, en ik moet al die venstertjes gaan sluiten (vensters waar je de link hebt 'ingezet'). Ik heb van alles geprobeerd om het weg te krijgen: AdAware, Spybot, AVG virus scanner, e-Trust Antivirus, HijackThis. Ik heb zelfs alle opgeslagen logs van msn waarin de link stond verwijdert. En uiteraard de prullepak.

p.s ik heb net als laatste HijackThis gedaan.. en gewoon alles verwijderd wat hij aangaf. Hier moet je volgens mij mee oppassen (daarom vind ik het niet zo een fijn programma... had ik het er al een tijdje geleden vanaf gehaald). Maar wat ik wil zeggen: Het is nog niet gebeurt. Die link. De laatste 5 minuten niet.

Mocht het toch al opgelost zijn: door HijackThis is dat dan gebeurt, dan wil ik jullie waarschuwen voor die link. Niet op klikken.

krijg downlload venster
en post je HijackThis log hier eens als je je probleem nog steeds hebt