Helpmij tegen spyware offensief (deel 5)

[m@rio]

Dames en Heren,

Met gepaste trots is zojuist deel 6 geopend

Happy spywarehunting

 

[arjan480]

spyware

ok hans

want ik heb en week geleden hetzelfde probleem gehad en toen heeft pieter het helemaal opgelost alleen het is nu weer terug gekomen .

 

[H@ns]

Re: spyware verwijderen

Geplaatst door Robin Hood

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll (file missing)
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\mxTarget.dll

O4 - HKLM\..\Run: [rptzgnzyzxcvl] C:\WINDOWS\System32\jtqtyl.exe

O16 - DPF: {018A066F-584A-422F-AC4C-0B1F5FE5C040} (VacPro.olanda_ver3) - http://www.advnt01.com/dialer/olanda_ver3.CAB >> dialer > weggooien dus

Hoi Robin hood,

Vink bovenstaande aan in HijackThis, sluit alle vensters behalve HijackThis en klik op Fix Checked.

Start hierna opnieuw op in veilige modus, en verwijder, mochten ze nog aanwezig zijn, het volgende:
C:\WINDOWS\nem219.dll << dit bestand
C:\WINDOWS\mxTarget.dll << dit bestand

Lees hierna de volgende pagina door:
http://www.pestpatrol.com/PestInfo/t/twain-tech.asp

 

[H@ns]

Re: traag laden internetpagina's (uit een andere threat)

Geplaatst door demeij


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://minisearch.startnow.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://minisearch.startnow.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://minisearch.startnow.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startnow.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://minisearch.startnow.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com

R3 - URLSearchHook: HyperSearchHook - {E097DE32-CFE6-4CBE-9EC9-1DCF346F86F0} - C:\Program Files\Common Files\Hyperbar\HyperbarSS3.dll

O2 - BHO: HyperBHO - {4B2F5308-2CB0-40E2-8030-59936ED5D22C} - C:\Program Files\Common Files\Hyperbar\Hyperbar.dll

O2 - BHO: ICOOExternalHandler Class - {ED657BAF-1EE5-4A07-9D2E-6D0525EFC69B} - C:\Program Files\ICOO Loader\addons\icoourlext.dll
O3 - Toolbar: Startnow - {1BC1FC4B-B0D2-4D8D-9307-2E40E2A8C257} - C:\Program Files\Common Files\Hyperbar\Hyperbar.dll

O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\cnflsppu.exe
O18 - Protocol: icoo - {2CC63CCE-A945-4D6A-9FA0-3669D7C3C22C} - C:\Program Files\ICOO Loader\addons\icoourl.dll

Hoi Simon,

Allereerst wil ik je aanraden HijackTHis uit te pakken naar een eigen map. Dit in verband met backups die dit programma maakt. Dit is in de rarmap (jouw situatie) niet mogelijk

Vink bovenstaande aan in HijackThis, sluit alle vensters behalve HijackThis en klik op Fix Checked.

Start hierna opnieuw op in veilige modus, en verwijder:
C:\Program Files\Common Files\Hyperbar << de hele map
C:\Program Files\ICOO Loader << de hele map


Dit was het dan, dames en heren.

Reacties op nagekeken logs kunnen (inclusief quote met instructies van het bericht wat ik, Pieter of Olav hebben gepost) in het nieuwe topic geplaatst worden:

http://www.helpmij.nl/forum/showthread.php?s=&threadid=169370

 

[m@rio]

Dan wordt dit topic ook weer voorzien van een hangslotje