Eigenwijze browser

[Petr@]

De pc van mijn dochter barst van de ellende. Internetpagina's zijn niet te openen, de pc loopt daarop telkens vast. Nu heeft "blonde" mamma van alles al geprobeerd en als ik op het icoon van IE klik, dan geeft 'ie de melding: is geen geldige 32 toepassing o.i.d.

Tis een oudje, die pc, een pentium 2 en draait op Win98. Nu dacht er goed aan te doen om ME erop te zetten, maar kan ook de harde schijf niet formatteren, raar maar waar!!

Het ding is nu inmiddels al een paar uur bezig met de oppervlaktecontrole......

Iemand nog raad en daad??

 

[Pieter Arntz]

Download HijackThis. Uitleg en link vind je hier: http://www.tomcoyote.org/hjt/
Unzip en run het. Klik op Scan > Save log en sla het log op als een .txt bestand.
Kopieer en plak de inhoud in je volgende post.

Groetjes,

Pieter

 

[Petr@]

Gedaan!

Logfile of HijackThis v1.94.0
Scan saved at 16:22:45, on 14-5-2003
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Unable to get Internet Explorer version!

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://search.msn.nl/spbasic.htm?cp=1252&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://search.rub.to
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=C:\WINDOWS\SYSTEM\ms7531.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar=http://search.rub.to
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page=http://search.rub.to
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://subscriber.chello.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://search.rub.to
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title=Microsoft Internet Explorer aangeboden door chello broadband n.v.
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer=proxy.ams.chello.nl:8080
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina=C:\WINDOWS\SYSTEM\ms7531.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=
F1 - win.ini: load=c:\oplimit\ocraware.exe
O2 - BHO: (no name) - {139D88E5-C372-469D-B4C5-1FE00852AB9B} - C:\WINDOWS\SYSTEM\OFRG.DLL (file missing)
O2 - BHO: BabeIE - {A6475E6B-3C2E-4B1F-82FD-8F1C0B1D8AD0} - C:\PROGRAM FILES\COMMONNAME\TOOLBAR\BABEIE.DLL (file missing)
O2 - BHO: Activater - {1E1B2879-88FF-11D2-8D96-D7ACAC95951F} - C:\PROGRAM FILES\COMMONNAME\TOOLBAR\CNBARIE.DLL (file missing)
O2 - BHO: ezSearchBar Helper - {760A9DDE-1433-4A7C-8189-D6735BB5D3DD} - (no file)
O2 - BHO: (no name) - {6085FB5B-C281-4B9C-8E5D-D2792EA30D2F} - C:\WINDOWS\SYSTEM\NETPAL.DLL (file missing)
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet4_50.dll (file missing)
O3 - Toolbar: CommonName - {A3E3F04C-F98C-4295-95EF-41C57425B077} - C:\PROGRAM FILES\COMMONNAME\TOOLBAR\CNBARIE.DLL (file missing)
O3 - Toolbar: ez Search Bar - {CCE83E45-30B2-4BAE-B1F5-25D128D27A43} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1043,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [Fix-It AV] C:\PROGRA~1\ONTRACK\FIX-IT\MEMCHECK.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [MS7531] "C:\WINDOWS\SYSTEM\MS7531.EXE"
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O8 - Extra context menu item: Bookmark This Page - C:\Program Files\CommonName\Toolbar\createbookmark.htm
O8 - Extra context menu item: Add A Page Note - C:\Program Files\CommonName\Toolbar\createnote.htm
O8 - Extra context menu item: Email This Link - C:\Program Files\CommonName\Toolbar\emaillink.htm
O8 - Extra context menu item: Search using CommonName - C:\Program Files\CommonName\Toolbar\navigate.htm
O8 - Extra context menu item: Download with Go!Zilla - file://C:\PROGRAM FILES\GO!ZILLA\download-with-gozilla.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger Addon (HKLM)
O9 - Extra 'Tools' menuitem: &Messenger Addon (HKLM)
O9 - Extra button: Erotic (HKLM)
O10 - Broken Internet access because of LSP provider 'c:\program files\newdotnet\newdotnet4_50.dll' missing
O11 - Options group: [CommonName] CommonName
O12 - Plugin for .ofb: C:\PROGRA~1\INTERN~1\PLUGINS\NPONFLOW.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.nl
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.nl
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://hjem.sol.no/windowsmooi/freedownloader.exe
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.communities.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {6986A6CF-9D58-11D6-91C2-00E02964E8E3} (IntPagomaster Class) - http://www.livecamx.com/muyzorras/pagomast.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://photos.latam.msn.com/r/neutral/controls/MsnPUpld.cab?5,0,1730,0
O16 - DPF: {9B4AA442-9EBF-11D5-8C11-0050DA4957F5} - http://www.tweedejeugd.nl/eros.exe
O16 - DPF: {7A32634B-029C-4836-A023-528983982A49} (MSN Chat Control 4.2) - http://fdl.msn.com/public/chat/msnchat42.cab
O16 - DPF: {1D2DCA0D-B30F-40AD-9690-087105F214EC} (IEDial Class) - http://usa-download.nocreditcard.com/download/Object/ieaccess2.cab
O16 - DPF: {214868A8-F71B-473E-8ECF-6EE1DE6B91D8} - http://pms.localscripts.nl/plugins/5/ms7531_nl.cab
O16 - DPF: {8522F9B3-38C5-4AA4-AE40-7401F1BBC851} - http://software.wrn.net/elegal/mp3_plugin.exe
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://www.fotovlucht.nl/promo1/plugin/ilsefoto.exe
O16 - DPF: {40289096-9F72-4A04-BCB3-E434ECDCEE33} (AppDLCtrl Class) - http://download.howudodat.com/chatterbox/download/appdl.cab

 

[Pieter Arntz]

Barst inderdaad van de ellende.
Het verbaast me eigenlijk dat ie nog wat doet.

Vink de volgende items aan in HijackThis, sluit dan alle IE, OE en verkenner vensters en klik op Fix checked.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://search.msn.nl/spbasic.htm?cp=1252&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://search.rub.to
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=C:\WINDOWS\SYSTEM\ms7531.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar=http://search.rub.to
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page=http://search.rub.to
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina=C:\WINDOWS\SYSTEM\ms7531.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=
F1 - win.ini: load=c:\oplimit\ocraware.exe
O2 - BHO: (no name) - {139D88E5-C372-469D-B4C5-1FE00852AB9B} - C:\WINDOWS\SYSTEM\OFRG.DLL (file missing)
O2 - BHO: BabeIE - {A6475E6B-3C2E-4B1F-82FD-8F1C0B1D8AD0} - C:\PROGRAM FILES\COMMONNAME\TOOLBAR\BABEIE.DLL (file missing)
O2 - BHO: Activater - {1E1B2879-88FF-11D2-8D96-D7ACAC95951F} - C:\PROGRAM FILES\COMMONNAME\TOOLBAR\CNBARIE.DLL (file missing)
O2 - BHO: ezSearchBar Helper - {760A9DDE-1433-4A7C-8189-D6735BB5D3DD} - (no file)
O2 - BHO: (no name) - {6085FB5B-C281-4B9C-8E5D-D2792EA30D2F} - C:\WINDOWS\SYSTEM\NETPAL.DLL (file missing)
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet4_50.dll (file missing)
O3 - Toolbar: CommonName - {A3E3F04C-F98C-4295-95EF-41C57425B077} - C:\PROGRAM FILES\COMMONNAME\TOOLBAR\CNBARIE.DLL (file missing)
O3 - Toolbar: ez Search Bar - {CCE83E45-30B2-4BAE-B1F5-25D128D27A43} - (no file)
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [MS7531] "C:\WINDOWS\SYSTEM\MS7531.EXE"
O8 - Extra context menu item: Bookmark This Page - C:\Program Files\CommonName\Toolbar\createbookmark.htm
O8 - Extra context menu item: Add A Page Note - C:\Program Files\CommonName\Toolbar\createnote.htm
O8 - Extra context menu item: Email This Link - C:\Program Files\CommonName\Toolbar\emaillink.htm
O8 - Extra context menu item: Search using CommonName - C:\Program Files\CommonName\Toolbar\navigate.htm
O8 - Extra context menu item: Download with Go!Zilla - file://C:\PROGRAM FILES\GO!ZILLA\download-with-gozilla.html
O9 - Extra button: Erotic (HKLM)
O10 - Broken Internet access because of LSP provider 'c:\program files\newdotnet\newdotnet4_50.dll' missing
O11 - Options group: [CommonName] CommonName
O12 - Plugin for .ofb: C:\PROGRA~1\INTERN~1\PLUGINS\NPONFLOW.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.nl
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.nl
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://hjem.sol.no/windowsmooi/freedownloader.exe
O16 - DPF: {6986A6CF-9D58-11D6-91C2-00E02964E8E3} (IntPagomaster Class) - http://www.livecamx.com/muyzorras/pagomast.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://photos.latam.msn.com/r/neutr....cab?5,0,1730,0
O16 - DPF: {9B4AA442-9EBF-11D5-8C11-0050DA4957F5} - http://www.tweedejeugd.nl/eros.exe
O16 - DPF: {1D2DCA0D-B30F-40AD-9690-087105F214EC} (IEDial Class) - http://usa-download.nocreditcard.co...t/ieaccess2.cab
O16 - DPF: {214868A8-F71B-473E-8ECF-6EE1DE6B91D8} - http://pms.localscripts.nl/plugins/5/ms7531_nl.cab
O16 - DPF: {8522F9B3-38C5-4AA4-AE40-7401F1BBC851} - http://software.wrn.net/elegal/mp3_plugin.exe
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://www.fotovlucht.nl/promo1/plugin/ilsefoto.exe
O16 - DPF: {40289096-9F72-4A04-BCB3-E434ECDCEE33} (AppDLCtrl Class) - http://download.howudodat.com/chatt...nload/appdl.cab

Start daarna opnieuw op en surf naar www.housecall.nl en laat daar je computer scannen op virussen.
Daarna download svp
Spybot S&D Update het en scan je computer op de resten van spyware.
Maak daarna nog een keer zo'n log en plaats het.
Het is niet geheel onmogelijk dat ik iets over het hoofd gezien heb.

Groetjes,

Pieter

 

[Bennie]

Misschien is enige uitleg wel handig. Er zitten nog wat dialers tussen die je torenhoge telfoonrekeningen kunnen bezorgen (bewust of onbewust laat ik maar in het midden). Bijv.:

http://www.fotovlucht.nl/promo1/plugin/ilsefoto.exe
http://www.tweedejeugd.nl/eros.exe
http://www.livecamx.com/muyzorras/pagomast.cab
http://usa-download.nocreditcard.co...t/ieaccess2.cab

De laatste drie zijn zeker porno. Hoe oud dochterlief is, weet ik niet, maar het is maar dat je het weet...

Groetjes,
Bennie

 

[Petr@]

Thanks so far

Pieter: ik heb gedaan wat je zei, ik zal hieronder de lijst posten. Ik heb nu IE 6 erop gezet en kan weer internetten.
De virusscanner gaf 449 geinfecteerde bestanden aan. Helaas kon het de geinfecteerde system-bestanden niet schonen. Nog tips hoe ik dat het beste kan aanpakken?


En Bennie, de dochter in kwestie is 12, maar mijn zoon van 18 zit er ook graag achter, dat verklaart waarschijnlijk de pornosites. Vwb de dialers heb ik niet zoveel te vrezen, internet via de kabel, maar idd een waarschuwing kan geen kwaad.

Beiden bedankt voor de hulp en tips!

Logfile of HijackThis v1.94.0
Scan saved at 18:34:03, on 14-5-2003
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://subscriber.chello.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title=Microsoft Internet Explorer aangeboden door chello broadband n.v.
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL=http://www.chello.nl/autoconfig/nlsoh.ins
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride=;<local>
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [Fix-It AV] C:\PROGRA~1\ONTRACK\FIX-IT\MEMCHECK.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Program Files\Messenger\msmsgs.exe /background
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.communities.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {7A32634B-029C-4836-A023-528983982A49} (MSN Chat Control 4.2) - http://fdl.msn.com/public/chat/msnchat42.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab

 

[André Klaver]

Dialers kunnen wel via de kabel.

 

[Petr@]

Geplaatst door André Klaver
Dialers kunnen wel via de kabel.

Dat zal best, maar om af te rekenen zul je dan toch een credit card nr. o.i.d. moeten geven. Het ging er mij erom dat ik niet geconfronteerd kan worden met hoge telefoonrekeningen. Toch? Of zit ik er nu helemaal naast?

 

[Pieter Arntz]

Dialers kunnen wel lastig zijn, ook als je kabel hebt, maar dat je er hoge telefoonrekeningen van krijgt als je geen telefoonmodem hebt, lijkt me heel erg sterk.

Welk(e) virus(sen) werden er door housecall gevonden?
Misschien een idee om zoon/dochterlief voor een virusscanner te laten schokken gezien de opgelopen ellende.

Verder kan deze nog weg, geen narigheid, maar wel overbodig:
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A

Groetjes,

Pieter

 

[Bennie]

Met die dialers moet je een speciaal telefoonnummer bellen. Je krijgt dan een code die je in het programma voert. Zolang de hoorn van de haak is, gaat de rekening lopen.

Wat die virussen betreft: download F-Prot Antivirus for DOS en draai het van een flop. Als de naam van het virus je bekend is, kan je ook speciale tooltjes downloaden die het virus verwijdert. Heeft Housecall dat nog aangegeven?

F-Prot Antivirus for DOS:
http://www.f-prot.com/download/download_fpdos.html

Groetjes,
Bennie