Automatische verwijzing

[mel73]

In I.E. wordt ik regelmatig vanzelf doorverwezen naar een sex-site. Ook krijg ik af en toe pop-ups die ik gelukkig wel kan blocken maar niet verwijderen.

Ik gebruik ad-aware se, spybot, pc cillin en zonealarm!
Systeem: windows xp prof. sp 1

hijack this log:

Logfile of HijackThis v1.98.2
Scan saved at 9:58:13, on 13-12-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PccGuide.exe
C:\PROGRA~1\COMMON~1\THREES~1\Exe\TRAFFI~1.EXE
C:\PROGRA~1\COMMON~1\THREES~1\Exe\CCM.exe
C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Program Files\Common Files\Threeships Shared\Exe\NATStart.exe
C:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Documents and Settings\Marco\Desktop\Beveiliging en schoonmaak\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.home.nl/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system\Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {E9590744-812B-46C3-96EB-33212855927D} - C:\WINDOWS\System32\netcgf.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1102618910217
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9FFCDEC6-3906-11D2-8131-0060080BE220} (Three Ships FileIO Control) - file://C:\DOCUME~1\Marco\LOCALS~1\Temp\ThreeShipsFileIcx
O16 - DPF: {A792BC36-6B4E-11D3-97B1-00500460FA55} (NATGrid) - file://C:\DOCUME~1\Marco\LOCALS~1\Temp\NATGrid.ocx
O16 - DPF: {B08126A6-3BFF-11D2-8133-0060080BE220} (ThreeShips FileBrowser) - file://C:\DOCUME~1\Marco\LOCALS~1\Temp\ThreeShipsFileBrowser.ocx
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O18 - Protocol: IW - {F4CB1DC2-BF71-42F5-81AB-4606998A6B56} - C:\Program Files\Walker\ImageWalker220\ImageWalkerHtml.DLL


Ik hoop dat de experts wat kunnen vinden!

vr. gr. Marco

 

[mel73]

verwijzing

werd net naar deze site verwezen:

[Mod edit]link om problemen te voorkomen verwijderd[/Mod edit]

irritant!! :evil:

 

[mel73]

I.E.

Nu loopt ook al regelamtig internet explorer vast.....

The story continues....................

 

[mel73]

windows security center

Ik krijg ook regelmatig een bericht van windows security center. Zelfs wanneer ik niet aan het surfen ben.

Ik heb een kabelverbinding.

 

[mel73]

wsc

 

[buffy]

Nou, dit kon weleens lastig worden, maar hopelijk zit het mee. Twee foute bestanden bij de lopende processen, maar geen 04-items in het log die laten zien waardoor die opstarten. Hier zijn dus speciale maatregelen nodig.

Laten we eerst het volgende even proberen. Wees echt heel zorgvuldig:


1. Download rem.zip: http://users.pandora.be/bluepatchy/www/rem.zip

Dit zip-bestand bevat 2 bestanden: rem.bat en zip.exe.
Unzip de bestanden naar de volgende map: C:\Windows\System32

(NB: het is bijzonder belangrijk dat je rem.bat en zip.exe in System32 plaatst; anders gaat het niet werken)

2. Start de pc in veilige modus: http://www.virushelp.nl/veilige_modus.htm

Ga naar Start -> Uitvoeren -> en type in de balk:

C:\WINDOWS\System32\rem.bat

Klik "OK" of druk op "Enter".

(Dit MOET in veilige modus, anders werkt het niet.)

3. Herstart de pc in 'normale modus'.

4. Zoek via Windows Verkenner naar het bestand C:\log.txt.

Open dat bestand, kopieer de volledige inhoud ervan en plak dat hier in je volgende bericht.

5. Maak een nieuw HijackThis-log en plaats ook dat in je volgende bericht.

 

[mel73]

vervolg

log.txt:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Files]
"taskrun.exe"=""
"trayinfo.exe"=""
"subsys.exe"=""
"spoolsvc.exe"=""
"smlogvcc.exe"=""
"sessngr.exe"=""
"rsvxp.exe"=""
"rsn.exe"=""
"rexecs.exe"=""
"resrvc32.exe"=""
"rcip.exe"=""
"proxyconf.exe"=""
"powerconf.exe"=""
"pingnet.exe"=""
"dnsping.exe"=""
"odcfg.exe"=""
"netstart.exe"=""
"netdns.exe"=""
"getdns.exe"=""
"msswchxp.exe"=""
"msng.exe"=""
"msinfo.exe"=""
"netssl.exe"=""
"netdetect.exe"=""
"sfcver.exe"=""
"netcgf.dll"=""
"netcfg.dll"=""
"odbcfg32.dll"=""
"p2pserv.dll"=""
"clfmon.exe"=""
"netssh.exe"=""
"syspack.dll"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes]
"taskrun.exe"=""
"trayinfo.exe"=""
"subsys.exe"=""
"spoolsvc.exe"=""
"smlogvcc.exe"=""
"sessngr.exe"=""
"rsvxp.exe"=""
"rsn.exe"=""
"rexecs.exe"=""
"resrvc32.exe"=""
"rcip.exe"=""
"proxyconf.exe"=""
"powerconf.exe"=""
"pingnet.exe"=""
"dnsping.exe"=""
"odcfg.exe"=""
"netstart.exe"=""
"netdns.exe"=""
"getdns.exe"=""
"msswchxp.exe"=""
"msng.exe"=""
"msinfo.exe"=""
"netssl.exe"=""
"netdetect.exe"=""
"sfcver.exe"=""
"clfmon.exe"=""
"netssh.exe"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys]
"{98DBBF16-CA43-4c33-BE80-99E6694468A4}"=""
"{E9590744-812B-46C3-96EB-33212855927D}"=""
"Files"=""
"Ms4Hd"=""
"Processes"=""
"RegKeys"=""
"RegValues"=""
"Vendor"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues]
"clfmon.exe"=""
"netssh.exe"=""
"sessngr.exe"=""
"spoolsvc.exe"=""

-----------------------------------------------------------------

Hijack this log:

Logfile of HijackThis v1.98.2
Scan saved at 20:38:49, on 14-12-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PCCGUIDE.EXE
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PCCMAIN.EXE
C:\PROGRA~1\TRENDM~1\INTERN~1\PccVScan.exe
C:\Documents and Settings\Marco\Desktop\Beveiliging en schoonmaak\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rcpie.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.home.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rcpie.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system\Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4E05044C-48F4-43F2-8B64-B4BC282BF11F} - C:\WINDOWS\System32\rcpie.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [Ad-Aware] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe" +c
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} -
O16 - DPF: {9FFCDEC6-3906-11D2-8131-0060080BE220} (Three Ships FileIO Control) - file://C:\DOCUME~1\Marco\LOCALS~1\Temp\ThreeShipsFileIcx
O16 - DPF: {A792BC36-6B4E-11D3-97B1-00500460FA55} (NATGrid) - file://C:\DOCUME~1\Marco\LOCALS~1\Temp\NATGrid.ocx
O16 - DPF: {B08126A6-3BFF-11D2-8133-0060080BE220} (ThreeShips FileBrowser) - file://C:\DOCUME~1\Marco\LOCALS~1\Temp\ThreeShipsFileBrowser.ocx
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O18 - Protocol: IW - {F4CB1DC2-BF71-42F5-81AB-4606998A6B56} - C:\Program Files\Walker\ImageWalker220\ImageWalkerHtml.DLL
O18 - Filter: text/html - {1B6C84F2-0325-4E27-B460-CAB6AF5C0828} - C:\WINDOWS\System32\rcpie.dll
O18 - Filter: text/plain - {1B6C84F2-0325-4E27-B460-CAB6AF5C0828} - C:\WINDOWS\System32\rcpie.dll

Bedankt voor de hulp!

Momenteel gebruik ik al Ad Aware SE, PC Cillin, Spybot en Zonealarm. Ik weet niet meer wat ik nog meer kan doen. Wat is het beste produkt op de markt momenteel? Ik word een beetje moedeloos van al die spyware en trojan-troep tegenwoordig op internet.

Vr. gr. Marco

p.s.(mod) mijn vorige handtekening was te groot. Is deze wel goed?

 

[buffy]

Re: vervolg

Hoi,

Volgens mij heb je maar een deel van log.txt geplaatst. Het bovenste deel ontbreekt. Plaats in je volgende bericht alsjeblieft het volledige log.txt, ik heb die informatie echt nodig. (Geen nieuwe log.txt maken hoor! Gewoon de oude nog eens openen, het geheel selecteren via Bewerken -> Alles selecteren, dan Bewerken -> Kopiëren doen en vervolgens het geheel hier plakken.)

Probeer alsjeblieft een beetje spoedig uit te voeren wat ik adviseer, om het risico van tussentijdse herinfectie te voorkomen.

Zo te zien zijn we op de goede weg, maar we zijn zeker nog niet klaar. Je vraag over het voorkomen hiervan beantwoord ik wel als we klaar zijn.


1. Scan met HijackThis en vink de volgende items aan:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rcpie.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rcpie.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system\Userinit.exe,

O2 - BHO: (no name) - {4E05044C-48F4-43F2-8B64-B4BC282BF11F} - C:\WINDOWS\System32\rcpie.dll

O18 - Filter: text/html - {1B6C84F2-0325-4E27-B460-CAB6AF5C0828} - C:\WINDOWS\System32\rcpie.dll
O18 - Filter: text/plain - {1B6C84F2-0325-4E27-B460-CAB6AF5C0828} - C:\WINDOWS\System32\rcpie.dll

Sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

2. Herstart de pc in veilige modus.
Mocht je niet weten hoe dat moet, kijk dan hier even: http://www.virushelp.nl/veilige_modus.htm

Zorg ervoor dat verborgen bestanden en mappen worden weergegeven.
Hier kun je lezen hoe dat moet: http://users.telenet.be/marcvn/spyware/1117602.htm

Verwijder nu, in veilige modus dus, het volgende bestand:

C:\WINDOWS\System32\rcpie.dll <- dat bestand (indien nog aanwezig)

En leeg de mappen:

C:\Windows\Temp
C:\Documents and Settings\Gebruikersnaam\Local Settings\Temp
C:\Documents and Settings\Gebruikersnaam\Local Settings\Temporary Internet Files

Dus alles wat in die mappen zit verwijderen (maar de mappen zelf niet verwijderen).

De laatste twee mappen komen bij alle gebruikers van de pc voor; leeg ze allemaal.

Misschien wil Windows een paar bestandjes uit Temporary Internet Files niet verwijderen; dat is niet erg.

3. Herstart de pc in 'normale modus'.

4. Maak een nieuw log en plaats dat hier. Plaats dan ook het log.txt dat je eerder al gemaakt hebt, maar dan volledig.

 

[mel73]

Hijack this log:

Logfile of HijackThis v1.98.2
Scan saved at 22:43:14, on 14-12-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PccGuide.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Marco\Desktop\Beveiliging en schoonmaak\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.home.nl/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [Ad-Aware] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe" +c
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} -
O16 - DPF: {9FFCDEC6-3906-11D2-8131-0060080BE220} (Three Ships FileIO Control) - file://C:\DOCUME~1\Marco\LOCALS~1\Temp\ThreeShipsFileIcx
O16 - DPF: {A792BC36-6B4E-11D3-97B1-00500460FA55} (NATGrid) - file://C:\DOCUME~1\Marco\LOCALS~1\Temp\NATGrid.ocx
O16 - DPF: {B08126A6-3BFF-11D2-8133-0060080BE220} (ThreeShips FileBrowser) - file://C:\DOCUME~1\Marco\LOCALS~1\Temp\ThreeShipsFileBrowser.ocx
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O18 - Protocol: IW - {F4CB1DC2-BF71-42F5-81AB-4606998A6B56} - C:\Program Files\Walker\ImageWalker220\ImageWalkerHtml.DLL

log.txt:


Microsoft Windows XP [Version 5.1.2600]
C:\windows\system32
"Files found"
---------------------------------------------------------------------
clfmon.exe

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

"Files Not Deleted"
---------------------------------------------------------------------

Checking for version 2 files..........
Files Found
------------------------------------------------------------
subsys.exe
pingnet.exe
odcfg.exe
getdns.exe
msinfo.exe
netssh.exe
odbcfg32.dll
p2pserv.dll
netcgf.dll

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

Files Not deleted
------------------------------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Files]
"taskrun.exe"=""
"trayinfo.exe"=""
"subsys.exe"=""
"spoolsvc.exe"=""
"smlogvcc.exe"=""
"sessngr.exe"=""
"rsvxp.exe"=""
"rsn.exe"=""
"rexecs.exe"=""
"resrvc32.exe"=""
"rcip.exe"=""
"proxyconf.exe"=""
"powerconf.exe"=""
"pingnet.exe"=""
"dnsping.exe"=""
"odcfg.exe"=""
"netstart.exe"=""
"netdns.exe"=""
"getdns.exe"=""
"msswchxp.exe"=""
"msng.exe"=""
"msinfo.exe"=""
"netssl.exe"=""
"netdetect.exe"=""
"sfcver.exe"=""
"netcgf.dll"=""
"netcfg.dll"=""
"odbcfg32.dll"=""
"p2pserv.dll"=""
"clfmon.exe"=""
"netssh.exe"=""
"syspack.dll"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes]
"taskrun.exe"=""
"trayinfo.exe"=""
"subsys.exe"=""
"spoolsvc.exe"=""
"smlogvcc.exe"=""
"sessngr.exe"=""
"rsvxp.exe"=""
"rsn.exe"=""
"rexecs.exe"=""
"resrvc32.exe"=""
"rcip.exe"=""
"proxyconf.exe"=""
"powerconf.exe"=""
"pingnet.exe"=""
"dnsping.exe"=""
"odcfg.exe"=""
"netstart.exe"=""
"netdns.exe"=""
"getdns.exe"=""
"msswchxp.exe"=""
"msng.exe"=""
"msinfo.exe"=""
"netssl.exe"=""
"netdetect.exe"=""
"sfcver.exe"=""
"clfmon.exe"=""
"netssh.exe"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys]
"{98DBBF16-CA43-4c33-BE80-99E6694468A4}"=""
"{E9590744-812B-46C3-96EB-33212855927D}"=""
"Files"=""
"Ms4Hd"=""
"Processes"=""
"RegKeys"=""
"RegValues"=""
"Vendor"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues]
"clfmon.exe"=""
"netssh.exe"=""
"sessngr.exe"=""
"spoolsvc.exe"=""

-----------------------------------------------------------------

Done

 

[buffy]

Prachtig. Rem.bat lijkt de boosdoeners te hebben verwijderd en in je nieuwe HijackThis-log zijn geen problemen meer te zien.

Hoe staat het er nu voor? Zijn die redirects naar vervelende sites er nu nog?

 

[mel73]

Bedankt!

Op dit moment nog niet. Morgen weet ik het zeker.

Erg bedankt voor de goede hulp!

Als het probleem wegblijft zal ik de topic afsluiten.

Heb je nog tips om dit soort problemen te voorkomen. Nog betere software dan ik al heb misschien....?

:thumb:

 

[crash]

Re: vervolg

Geplaatst door mel73
p.s.(mod) mijn vorige handtekening was te groot. Is deze wel goed?

Nee deze is ook te groot.
Ik heb je in de Privé bericht een link gegeven naar de huisregels.
Daarin staat het onder andere het volgende:

*Het plaatje of de banner mag maximaal 60 pixels hoog zijn + 3 regels tekst of 100 pixels hoog zonder tekst.
*De maximale breedte van het plaatje/bannertje is 475 pixels.
*De maximale omvang van het bestand mag 100 Kb zijn.
*Gebruik je geen banner/plaatje, dan mogen er maximaal vijf regels tekst of “witregels” in de handtekening opgenomen worden.

De rest kun je in de volgende link vinden:
http://www.helpmij.nl/forum/rules.php?s=

Gezien je vraag en plaatje heb je de Huisregels nog niet gelezen.

 

[buffy]

Je mag nu de volgende bestanden verwijderen, want die zijn niet meer nodig:

C:\bad.zip
C:\bad.reg
C:\log.txt
C:\windows\system32\runme.bat
C:\windows\system32\zip.exe


Installeer CCleaner even: http://www.ccleaner.com/
Start dit programma en klik op "Run Cleaner".


Eerder vroeg je:

Momenteel gebruik ik al Ad Aware SE, PC Cillin, Spybot en Zonealarm. Ik weet niet meer wat ik nog meer kan doen. Wat is het beste produkt op de markt momenteel? Ik word een beetje moedeloos van al die spyware en trojan-troep tegenwoordig op internet.

Met AdAware SE en Spybot heb je prima programma's om spyware te verwijderen. Die programma's kunnen sommige gevallen van spyware (zoals dit geval waar jij nu last van had) niet verwijderen, maar dat kunnen dure producten als SpySweeper en Giant AntiSpyware ook niet. Blijf dus gewoon AdAware SE en Spybot gebruiken voor het verwijderen van spyware.

PC Cillin is een uitstekend antivirusprogramma, maar omdat zelfs de beste antivirusprogramma's weleens een steekje laten vallen is het verstandig ook af en toe een online virusscan te doen. Panda bijvoorbeeld: http://www.pandasoftware.com/activescan/com/activescan_principal.htm

ZoneAlarm is een goede firewall, mits goed geconfigureerd.

Maar het belangrijkste is natuurlijk de preventie. Volg de adviezen uit dit bericht op: http://www.helpmij.nl/forum/showthread.php?threadid=184512
Aangezien je AdWatch al gebruikt (als onderdeel van Adaware Pro) hoef je SpywareGuard niet te installeren. Maar volg de overige adviezen wel op. Installeer dus SpywareBlaster (dat programma hoeft niet eens te draaien en gebruikt dus géén systeembronnen), vervang je standaard hosts file door het mvps hosts bestand en gebruik IE-Spyad om in één klap allerlei sites die de problemen waar jij nu last van had veroorzaken onschadelijk te maken.

Dat lijkt misschien een heel gedoe, maar zolang je met Internet Explorer het internet op gaat is dat helaas bittere noodzaak. Wil je echt een beetje veilig internetten, ga dan Opera of Firefox of browser gebruiken.

http://www.opera.com/
http://www.mozilla.org/products/firefox/

 

[buffy]

Breng trouwens ook eens een bezoekje aan WindowsUpdate, want jouw nogal verouderde versies van XP en IE bevatten veel lekken die het deze hijackers bijzonder gemakkelijk maken jouw pc te infecteren. Installeer de essentiële updates en servicepacks dus!

 

[mel73]

Fantastisch!

Bedankt voor de duidelijke uitleg en goed hulp! :thumb:

Kan ik ook ergens lid worden van helpmij.nl? Jullie hebben me nu al zo vaak uit de brand geholpen.

 

[buffy]

Re: Fantastisch!

Geplaatst door mel73
Kan ik ook ergens lid worden van helpmij.nl?

Dat kan: http://vereniging.helpmij.nl/aanmelden.php