Spyware

Hallo Helpmij

Ik heb volgens best veel spyware op mijn harddisk staan. Kan iemand mij helpen deze rommel te verwijderen.

Dank u.

Download eens adaware, hier te downloaden

Ik zou zeggen scan eens met spybot en ad-aware

Ik weet niet of die al deze dialers al kennen.

Schakel de volgende programma's uit in :
Start > Uitvoeren > msconfig > OK > tabblad opstarten:

"LoadQM"="loadqm.exe"
"TrustInstaller"="D:\\SETUP.EXE"
"OEMCleanup"="C:\\WINDOWS\\OPTIONS\\OEMRESET.EXE /O"
"LoadPowerProfile"="Rundll32.exe powrprof.dll,LoadCurrentPwrScheme"
"MSNII"="C:\\WINDOWS\\ELLEN!!(1).exe"
"!05032iv"="c:\\windows\\12-MES~1.exe r"
"!!!005044"="c:\\windows\\WEBCAM~1.exe r"
"MS-Connect"="C:\\WINDOWS\\SYSTEM\\GAME.EXE"
"XupiterCfgLoader"="C:\\Program Files\\Xupiter\\BWCfgLoader.exe"

"5-1-16-3"="c:\\windows\\5-1-16-3.exe -m"
"BROWSER"="BIZZ[1].EXE /menu"

Start dan opnieuw op en verwijder de volgende bestanden:

"MSNII"="C:\\WINDOWS\\ELLEN!!(1).exe"
"!05032iv"="c:\\windows\\12-MES~1.exe r"
"!!!005044"="c:\\windows\\WEBCAM~1.exe r"
"MS-Connect"="C:\\WINDOWS\\SYSTEM\\GAME.EXE"
"XupiterCfgLoader"="C:\\Program Files\\Xupiter\\BWCfgLoader.exe"
"5-1-16-3"="c:\\windows\\5-1-16-3.exe -m"

Deze: "BROWSER"="BIZZ[1].EXE /menu"
hernoem je best even naar bizz[1].bak en mailt hem naar me. Mijn e-mailadres krijg je zo in PB.

Doe me een plezier en als je klaar bent download dan even de nieuwste versie van HijackThis van http://www.lurkhere.com/~nicefiles/

Unzip en run het. Klik Scan > Save log. Sla het log op als een .txt bestand en kopieer de inhoud daarvan naar je volgende bericht.

Groetjes,

Pieter

/

Beste Pieter,

bedankt voor je hulp, maar als ik dat allemaal uitvink, start internet niet meer op.

Misschien ligt het aan die ms-connect (ook spyware volgens mij) die nu mijn startpagina is.

Wat kan ik nu het beste doen?

Euh,

Dit nodig?

Oeps. In mijn ijver iets teveel gekopieerd.

"LoadPowerProfile"="Rundll32.exe powrprof.dll,LoadCurrentPwrScheme"
"TrustInstaller"="D:\\SETUP.EXE"
Die mogen sowieso blijven.

Spybot S&D zou in ieder geval een gedeelte van die MSconnect moeten kunnen verwijderen en Xupiter.

Post anders eerst even het HijackThis log, dat werkt wat gemakkelijker en download voor de zekerheid: http://www.cexx.org/LSPFix.exe. Als je internet weer weigert moet je die even je Winsock laten repareren.

Groetjes,

Pieter

Euh,

.

Re: Euh,

Geplaatst door pcraket
.

Klik om te vergroten...

Sorry

Lukte niet als bijlage:


Logfile of HijackThis v1.93.0
Scan saved at 16:01:53, on 9-4-2003
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://www.browserwise.com/search1.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.nu.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://www.browserwise.com/search1.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title=Microsoft Internet Explorer aangeboden door @Home
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL=http://proxy:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina=file:///C:/Program%20Files/MS-Connect/Portal/portal.html
R3 - URLSearchHook: XTSearchHook Class - {6E6DD93E-1FC3-4F43-8AFB-1B7B90C9D3EB} - C:\PROGRAM FILES\XUPITER\UPDATES\BWSEARCH.DLL
O2 - BHO: (no name) - {FFCBEECE-FB0C-11D2-AB16-00104B9BBBD2} - C:\WINDOWS\SYSTEM\AHIEHELP.DLL
O2 - BHO: Activater - {1E1B2879-88FF-11D2-8D96-D7ACAC95951F} - C:\PROGRAM FILES\COMMONNAME\TOOLBAR\CNBARIE.DLL (file missing)
O2 - BHO: (no name) - {2662BDD7-05D6-408F-B241-FF98FACE6054} - C:\PROGRAM FILES\XUPITER\UPDATES\BWUPDATE.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1043,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAM FILES\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [TrustInstaller] D:\SETUP.EXE
O4 - HKLM\..\Run: [MSNII] C:\WINDOWS\ELLEN!!(1).exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [OEMCleanup] C:\WINDOWS\OPTIONS\OEMRESET.EXE /O
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [MS-Connect] C:\WINDOWS\SYSTEM\GAME.EXE
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Sweep95] C:\Program Files\Sophos SWEEP\ICLOAD95.EXE
O4 - HKLM\..\RunServices: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: Office Opstarten.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Office Snelzoeken.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Date Manager.lnk = C:\Program Files\Date Manager\DateManager.exe
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www/
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://photos.msn.nl/r/neutral/controls/MsnPUpld.cab?4,0,1323,0
O16 - DPF: Yahoo! Pool 2 (MSN Photo Upload Tool) - http://download.games.yahoo.com/games/clients/y/pos3_x.cab
O16 - DPF: Yahoo! Blackjack (MSN Photo Upload Tool) - http://download.games.yahoo.com/games/clients/y/js1_x.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/SharedContent/sc/bin/cabsa.cab
O16 - DPF: {8EC79FEF-A1CA-11D4-940D-000021CA5F4D} (ImageUploaderCtrl Class) - http://gofoto.shareaphoto.com/ImageUploader37.cab
O16 - DPF: {28F00B0F-DC4E-11D3-ABEC-005004A44EEB} (Register Class) - http://content.hiwirenetworks.net/inbrowser/cabfiles/2.5.26/Hiwire.cab
O16 - DPF: {11BF0E2B-4229-4ADC-9C11-1C6968731018} (Download Class) - http://www.0190-dialer.com/VLoading.cab
O16 - DPF: {6D53CD8D-A3DE-41AF-806E-CAA00336AE1B} (acceler8or) - http://www.clubhot.de/praline/acceler8or.cab
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://sexxxy.x0.nl/exe/love16be379.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {7A32634B-029C-4836-A023-528983982A49} (MSN Chat Control 4.2) - http://fdl.msn.com/public/chat/msnchat42.cab
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/terraexplorer/install/TEInstallPlugIn.cab
O16 - DPF: {E66A481E-3838-4248-A0EA-D158DB2BCD50} - http://130.94.70.13/player/allcast091802_18.cab
O16 - DPF: {C9B08199-657A-468D-A26B-692137572131} (FFHostContainer Class) - http://www.focusfocus.com/download/windows/ffhost.cab
O16 - DPF: {A27CFCAE-9351-4D74-BFFC-21EB19693D8C} - http://www.browserwise.com/search1/install/XupiterToolbarLoader.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37582.0393634259
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {EE5CA45C-BFAC-48E6-BE6C-3C607620FF43} (IMViewerControl Class) - http://companion.logitech.com/companion/logitech/ver1.3.0.2041/bin/imvid.cab
O16 - DPF: {856F53B5-0401-11D6-A4CE-000021033F40} (FsrClient Class) - http://focusfocus.com/download/windows/fffsr.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst.cab
O16 - DPF: {D59931FE-DC91-11D2-88D5-000000000000} (FocusFocusChat Class) - http://www.grclive.com/download/windows/ffcall.cab

Download eerst even spybot, haal alle updates binnen en scan je pc ermee. Hij is hier te krijgen:

http://security.kolla.de/index.php?lang=en&page=download

Sluit alle IE, OE en verkenner vensters, vink de volgende aan en klik op Fix checked:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://www.browserwise.com/search1.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://www.browserwise.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina=file:///C:/Program%20Files/MS-Connect/Portal/portal.html
R3 - URLSearchHook: XTSearchHook Class - {6E6DD93E-1FC3-4F43-8AFB-1B7B90C9D3EB} - C:\PROGRAM FILES\XUPITER\UPDATES\BWSEARCH.DLL
O2 - BHO: Activater - {1E1B2879-88FF-11D2-8D96-D7ACAC95951F} - C:\PROGRAM FILES\COMMONNAME\TOOLBAR\CNBARIE.DLL (file missing)
O2 - BHO: (no name) - {2662BDD7-05D6-408F-B241-FF98FACE6054} - C:\PROGRAM FILES\XUPITER\UPDATES\BWUPDATE.DLL
O4 - HKLM\..\Run: [MSNII] C:\WINDOWS\ELLEN!!(1).exe
O4 - HKLM\..\Run: [MS-Connect] C:\WINDOWS\SYSTEM\GAME.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www/
O16 - DPF: {28F00B0F-DC4E-11D3-ABEC-005004A44EEB} (Register Class) - http://content.hiwirenetworks.net/i...5.26/Hiwire.cab
O16 - DPF: {11BF0E2B-4229-4ADC-9C11-1C6968731018} (Download Class) - http://www.0190-dialer.com/VLoading.cab
O16 - DPF: {6D53CD8D-A3DE-41AF-806E-CAA00336AE1B} (acceler8or) - http://www.clubhot.de/praline/acceler8or.cab
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://sexxxy.x0.nl/exe/love16be379.exe
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interact...stallPlugIn.cab
O16 - DPF: {E66A481E-3838-4248-A0EA-D158DB2BCD50} - http://130.94.70.13/player/allcast091802_18.cab
O16 - DPF: {C9B08199-657A-468D-A26B-692137572131} (FFHostContainer Class) - http://www.focusfocus.com/download/windows/ffhost.cab
O16 - DPF: {A27CFCAE-9351-4D74-BFFC-21EB19693D8C} - http://www.browserwise.com/search1/...olbarLoader.cab
O16 - DPF: {856F53B5-0401-11D6-A4CE-000021033F40} (FsrClient Class) - http://focusfocus.com/download/windows/fffsr.cab

Dan moet je de volgende bestanden nog even voor me opzoeken en nakijken
C:\WINDOWS\SYSTEM\msconfig.exe /reminder (rechtsklikken, eigenschappen en zien of dat wel een echt Windows bestand is)
O4 - HKLM\..\Run: [OEMCleanup] C:\WINDOWS\OPTIONS\OEMRESET.EXE /O (of dat een P&B bestand is)

Groetjes,

Pieter

[bijna]

Toch nog een paar vraagjes


1. Hoe krijg ik deze bestanden verwijdert (na ze hebben uitgevinkt bij msconfig)??? :

"MSNII"="C:\\WINDOWS\\ELLEN!!(1).exe"
"!05032iv"="c:\\windows\\12-MES~1.exe r"
"!!!005044"="c:\\windows\\WEBCAM~1.exe r"
"MS-Connect"="C:\\WINDOWS\\SYSTEM\\GAME.EXE"
"XupiterCfgLoader"="C:\\Program Files\\Xupiter\\BWCfgLoader.exe"
"5-1-16-3"="c:\\windows\\5-1-16-3.exe -m"

Deze: "BROWSER"="BIZZ[1].EXE /menu"
hernoem je best even naar bizz[1].bak en mailt hem naar me. Mijn e-mailadres krijg je zo in PB.

2. waar moet ik die bestanden aanvinken (en fix checken)? Bij welk progje en hoe? (zie laatste topic Pieter).

3. Ik krijg nu de hele tijd bij het herstarten een waarschuwing dat ik iets aan het herstellen ben (waarschijnlijk vanwege de weggevinkte dingen bij msconfig)? hoe gaat deze weg?

Bedankt!

2 Na het scannen in HijackThis kun je de dingen die ik opnoemde aanvinken en op Fix checked klikken.

3 Latere zorg, maar je hebt gelijk.

1 De map waarin de bestanden staan staat ervoor geschreven.
Dus bv ELLEN!!(1).exe kun je vinden in de C:\Windows map en game.exe kun je vinden in C:\Windows\System

Eén vraagje: heb je ooit een mail gehad die er zo uitzag als de bijlage maar dan (waarschijnlijk) met Ellen!!.exe i.p.v. Isabelle.exe ?

Groetjes,

Pieter

Finish

BEDANKT PIETER en de rest!


al die bestanden bestonden al niet meer, dus verwijderen was niet mogelijk. vandaar ook die vraag.
Volgens mij is alles nu opgelost.

Alleen nog die waarschuwing. Ik kan natuurlijk ook gewoon kiezen voor: "dit bericht niet meer weergeven".

Zal ik dat maar doen of moeten ze per se weer aangevinkt worden.

Bedankt en tot ziens

ps: dat mailtje zal een van de andere gebruikers wellicht hebben gehad.. ik niet in elk geval.

Hoi pcraket,

Heb je BIZZ[1].exe nog wel kunnen vinden?

Je kunt die waarschuwing ook op de volgende manier laten verdwijnen:

Vink ze weer aan in msconfig (NIET opnieuw opstarten)
Scan dan nog een keer met HijackTHis en vink daar precies dezelfden wéér aan en klik op Fix checked.
Dan verdwijnen ze voorgoed uit het rijtje en krijg je die waarschuwing niet meer.

Groetjes,

Pieter