Help mij met deze puzzel

xyzjan · 9 dec 2004

Ik kom er niet uit. Ondanks Ad-aware (in veilige modus), ondanks AVG, ondanks Spy-bod, Norton en wat al niet meer, blijf ik last houden van ongevraagde windows naar e-bay en andere sites. Spybod krijgt o.a. common hijacker niet weg. Bij opstarten ook steeds RunDLL-foutmelding met steeds ander DLL-item. En sinds kort ook boodschap dat ik realdownload opnieuw moet installeren. Welke fout zit er in deze log ?
Wat moet ik aanvinken ? Heel graag advies !!

Logfile of HijackThis v1.98.2
Scan saved at 0:12:05, on 9-12-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Anvshell.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\Dit.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\DitExp.exe
D:\program files\Winamp\winampa.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE
D:\program files\Webroot\Spy Sweeper\SpySweeper.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\program files\Google\Google Desktop Search\GoogleDesktop.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\program files\Norton AntiVirus\navapsvc.exe
D:\program files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
D:\program files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\rundll32.exe
D:\program files\Google\Google Desktop Search\GoogleDesktopIndex.exe
D:\program files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\My Download Files\hijackthis1982.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\program files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O3 - Toolbar: xthcksfrdro - {52abfee8-6159-4fce-a1dc-efcffbb485e2} - C:\DOCUME~1\JANSCH~1\APPLIC~1\qubruszblm.dll (file missing)
O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [WinampAgent] D:\program files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [EPSON Stylus COLOR 480] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE /A "C:\WINDOWS\System32\E_S39.tmp"
O4 - HKCU\..\Run: [SpySweeper] "D:\program files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [Google Desktop Search] "D:\program files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\program files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: Onderzoekscentrum - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/09d6b4cdecbd155bc420/netzip/RdxIE601.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1096126192218
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/nl/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {9B4AA442-9EBF-11D5-8C11-0050DA4957F5} - http://www.fastmp3.nl/test/nl.exe
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://download.rfwnad.com/cab/dlaccell.CAB

buffy · 11 dec 2004

1. Scan met HijackThis en vink de volgende items aan:

R3 - Default URLSearchHook is missing

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

O3 - Toolbar: xthcksfrdro - {52abfee8-6159-4fce-a1dc-efcffbb485e2} - C:\DOCUME~1\JANSCH~1\APPLIC~1\qubruszblm.dll (file missing)

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/09d6b4cdecbd155bc420/netzip/RdxIE601.cab
O16 - DPF: {9B4AA442-9EBF-11D5-8C11-0050DA4957F5} - http://www.fastmp3.nl/test/nl.exe
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://download.rfwnad.com/cab/dlaccell.CAB

Sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

2. Start de pc opnieuw op.

3. Maak een nieuw log en plaats dat hier.

xyzjan · 11 dec 2004

vervolg op advies Buffy

Het advies van Buffy (waarvoor dank) opgevolgd, maar zonder succes (als reactie op vraag "wie helpt mij met deze puzzel"). De O1-items blijven komen, net als de ongevraagde vensters met reclame van o.a. antispyware, mediabuy, en ebay. Heel vervelend is ook dat de PC soms volstrekt onverwacht uitvalt en nieuw opstart.
Ik heb gescand met spybot maar igetnet en common hijacker blijft komen. Niet weg te krijgen.

Hieronder de nieuwe log. Ik kijk uit naar nieuwe reactie.

Logfile of HijackThis v1.98.2
Scan saved at 22:31:23, on 11-12-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Anvshell.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\Dit.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
D:\program files\Winamp\winampa.exe
C:\WINDOWS\DitExp.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE
D:\program files\Webroot\Spy Sweeper\SpySweeper.exe
D:\program files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\program files\Norton AntiVirus\navapsvc.exe
D:\program files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wuauclt.exe
D:\program files\Norton Internet Security\ccPxySvc.exe
C:\My Download Files\hijackthis1982.exe
D:\program files\Google\Google Desktop Search\GoogleDesktopIndex.exe
D:\program files\Google\Google Desktop Search\GoogleDesktopCrawl.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\program files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [WinampAgent] D:\program files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [EPSON Stylus COLOR 480] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE /A "C:\WINDOWS\System32\E_S39.tmp"
O4 - HKCU\..\Run: [SpySweeper] "D:\program files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [Google Desktop Search] "D:\program files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\program files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: Onderzoekscentrum - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1096126192218
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/nl/big/1.1.62-big/GoogleNav.cab

buffy · 12 dec 2004

Re: vervolg op advies Buffy

Geplaatst door xyzjan
Het advies van Buffy (waarvoor dank) opgevolgd, maar zonder succes

Hoezo "zonder succes"? We zijn op de goede weg hoor. Voor dit soort infecties zijn nu eenmaal meerdere rondes nodig, daar kan ik ook niets aan doen.

Doe nu het volgende:

1. Start de pc in veilige modus. Uitleg: http://users.telenet.be/marcvn/spyware/1378056.htm

2. Scan met HijackThis (in veilige modus dus) en vink de volgende items aan:

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

Sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

3. Verwijder (nog steeds in veilige modus) alles wat in de volgende mappen zit:

C:\Windows\Temp
C:\Documents and Settings\gebruikersnaam\Local Settings\Temp
C:\Documents and Settings\gebruikersnaam\Local Settings\Temporary Internet Files

Dus alles wat in die mappen zit verwijderen (maar de mappen zelf niet verwijderen).

De laatste twee mappen komen bij alle gebruikers voor; leeg ze voor alle gebruikers.

Local Settings is een verborgen map, dus zorg ervoor dat verborgen mappen worden weergegeven: http://users.telenet.be/marcvn/spyware/1117602.htm

Het zou kunnen dat Windows een aantal bestandjes uit de Temporary Internet Files niet wil verwijderen. Dat is niet erg.

4. Herstart de pc in 'normale modus'.

5. Doe nog een volledige scan met AdAware SE (en dus niet met een oudere versie van AdAware), laat alles verwijderen wat wordt gevonden.
Start daarna de pc opnieuw op.

6. Maak een nieuw log en plaats dat hier.

xyzjan · 12 dec 2004

Weer een stapje verder

Ok Buffy. Alles uitgevoerd. Die O1-items blijven terugkomen. Het valt me overigens op dat Adaware SE al dagen geen nieuwe updates geeft. Terwijl er voorheen vrijwel dagelijks nieuwe waren. Ik hoop dat dit los staat van de besmetting.
En sorry voor mijn ongeduld. Daaruit blijkt dat ik dit gelukkig nog niet vaker heb meegemaakt.
Ik wacht je nieuwe instructies vol verwachting af....

Hieronder de nieuwe log.

Logfile of HijackThis v1.98.2
Scan saved at 12:03:43, on 12-12-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Anvshell.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\Dit.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
D:\program files\Winamp\winampa.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE
D:\program files\Webroot\Spy Sweeper\SpySweeper.exe
D:\program files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\program files\Norton AntiVirus\navapsvc.exe
D:\program files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wuauclt.exe
D:\program files\Norton Internet Security\ccPxySvc.exe
C:\My Download Files\hijackthis1982.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\program files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [WinampAgent] D:\program files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [EPSON Stylus COLOR 480] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE /A "C:\WINDOWS\System32\E_S39.tmp"
O4 - HKCU\..\Run: [SpySweeper] "D:\program files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [Google Desktop Search] "D:\program files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\program files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: Onderzoekscentrum - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1096126192218
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/nl/big/1.1.62-big/GoogleNav.cab

buffy · 12 dec 2004

De recentste updates van AdAware SE zijn van 3 december.

Je hebt een hardnekkige infectie te pakken. Doe nu dit:

Zorg ervoor dat AdAware afgesloten is.

Download en installeer de VX2 Finder add-on voor AdAware: http://download.lavasoft.de.edgesuite.net/public/plvx2cleaner.exe

Start AdAware.

Klik op de knop "Add-ons".

Selecteer de VX2-Finder add-on en klik op "Run tool".

Vindt de VX2-Finder geen infectie, dan kun je AdAware afsluiten en de volgende stappen overslaan.

Vindt de VX2 Finder wél een infectie, klik dan op "Clean System".

Start de pc opnieuw op.

Doe een volledige scan met AdAware, verwijder alles wat wordt gevonden.

Start de pc opnieuw op.

Doe nog eens een volledige scan met AdAware om te controleren of alles is verwijderd.

Laat me weten of er iets gevonden is en of dat verwijderd kon worden.

xyzjan · 12 dec 2004

nog niet opgelost

Dank voor je steeds snelle reacties.

De pc was clean met die Add-on. Maar de volledige scan leverde toch nog wat vuil op. Zie plaatje 1 (bijlage).
Daarna gescand met Spybot. Die blijft ook steeds nog dezelfde scores geven. Zie plaatje 2.
Met CWSchredder haal ik steeds 1 cws-item weg (bootconfg), maar elke scan van Spybot blijft hetzelfde met ook diezelfde bootconf. Om gek van te worden.
En ook de reclame blijft ongevraagd komen. Het gaat om o.m. de volgende links:
//e.rn11.com/adbuys/a405-admed-ron

://www.spotresults.com/cgi-bin/search.cgi?keywords=googledesktop.exe

//mediabuy-nic.cjt1.net/HTM/406/1/JavaSiteRequest.asp?LV=6000&DC=619&NF=0&IW=720&IH=300&ORD=508124

//isg02.casalemedia.com/V2/40509/42412/

Dan ten slotte de nieuwste log.
Ik hoop dat je me verder kan helpen.

Logfile of HijackThis v1.98.2
Scan saved at 18:24:57, on 12-12-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Anvshell.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\Dit.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
D:\program files\Winamp\winampa.exe
C:\WINDOWS\DitExp.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE
D:\program files\Webroot\Spy Sweeper\SpySweeper.exe
D:\program files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\program files\Norton AntiVirus\navapsvc.exe
D:\program files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
D:\program files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\svchost.exe
D:\program files\Google\Google Desktop Search\GoogleDesktopIndex.exe
D:\program files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\My Download Files\hijackthis1982.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\program files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [WinampAgent] D:\program files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [EPSON Stylus COLOR 480] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE /A "C:\WINDOWS\System32\E_S39.tmp"
O4 - HKCU\..\Run: [SpySweeper] "D:\program files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [Google Desktop Search] "D:\program files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\program files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Onderzoekscentrum - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
O10 - Unknown file in Winsock LSP: d:\program files\google\google desktop search\googledesktopnetwork1.dll
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1096126192218

buffy · 12 dec 2004

Re: nog niet opgelost

Geplaatst door xyzjan
Ik hoop dat je me verder kan helpen.

Dat gaat wel lukken hoor.

Het kan alleen even duren. Sinds ongeveer een week zien we dit probleem vrij vaak. Het lijkt om een nieuwe variant van VX2 te gaan, maar het fijne weten we er nog niet van. Ik ga even rondvragen of er inmiddels een fix voor is ontwikkeld. Even geduld dus, ik ben voor je bezig.

xyzjan · 14 dec 2004

Nieuwe update beschikbaar Adaware

Beste Buffy,
Vandaag kwam nieuwe update Adaware SE beschikbaar. Nu wordt er inderdaad een vx2-infectie gesignaleerd. Maar die krijg ik niet weg met adaware. Adaware vraagt nieuw opstarten,, maar start zelf niet vanzelf op biij herstart. Dat schiet niet op. Gebruik van add-on VX2finder helpt ook niet.
Suggesties ? Nieuwe log kan ik plaatsen, maar die fijne 01-items staan er nog steeds op.

buffy · 14 dec 2004

Ik weet dat AdAware dit inmiddels herkent als VX2, maar daar schieten we vooralsnog weinig mee op.

Je zult echt even geduld moeten hebben. We zijn er hard mee aan het werk, maar deze variant zit nogal ingewikkeld in elkaar en we hebben helaas nog geen reparatiemethode kunnen ontwikkelen. Ga vooral niet zelf dingen proberen, dat heeft toch geen zin en zou de problemen kunnen verergeren. Gewoon even geduld hebben dus, ik meld me hier weer zodra we wat meer duidelijkheid hierover hebben.

buffy · 14 dec 2004

Deze variant schijnt te werken met een aantal willekeurig gegenereerde dll-bestanden in de System32 map. Deze kunnen niet op de normale manier worden verwijderd (ook niet in veilige modus). Na elke reboot hebben de bestanden weer een andere naam.

Hier wordt een mogelijke oplossing gegeven in het eerste bericht van ViperGTS619: http://www.d-a-l.com/help/showthread.php?t=12635&page=1&pp=10
Dat zou je dus kunnen proberen. Ik heb het niet kunnen testen, dus kan niet garanderen dat het werkt. Het is ook niet zonder risico, want je zult zelf moeten uitzoeken wat de foute bestanden zijn.

Durf je het niet aan, wacht dan gewoon even tot ik me weer meld. Binnenkort komt één van de deskundigen vast wel met een eenvoudiger oplossing.

xyzjan · 15 dec 2004

Het probleem

In de link die je gaf staat precies het zelfde probleem aangegeven. Ik durf de oplossing echter inderdaad niet aan (mijn kennis acht ik niet toereikend) en wacht dus liever op iets specifiekere instructies. Ik heb geduld.
Ik zou ook wel willen weten waar het probleem vandaan komt ? Welke sites moet ik ontwijken ? Is daar iets verstandigs over te zeggen ?

xyzjan · 19 dec 2004

Benieuwd

Ik ben zeer benieuwd of er reeds een meer uitgeschreven oplossing voorhanden is.
Vervelend is dat de PC (al snel enkele keren per dag) totaal onverwachts uitvalt en opnieuw opstart. Erg vervelend als je met diverse documenten aan het werk bent.
Spysweeper signaleert iets en op hetzelfde moment valt de PC uit. In het logboek van Spysweeper is geen duidelijke info te zien. En Norton geeft dan na opstarten aan dat de firewallregel is toegepast. Het zou dan gaan om een trojan horse maar mijn antivirussoftware vindt niets. Het schiet niet erg op zo. Ik denk dat de oorzaak toch zit in die lastige vx2-infectie en hoop daarom dat zich snel een duidelijke oplossing aandient. ...

H@ns · 22 dec 2004

Hoi,

Zie deze mededeling, bovenaan de HijackThis log sectie: http://www.helpmij.nl/forum/announcement.php?s=&forumid=272

Dit houdt in dat de support op Helpmij voor HijackThis logjes gestopt is en verder gaat op het AntiSpywareOffensief-forum.

Maak een nieuw logje aan met HijackThis, en post dit volgens de instructies die in de mededeling staan op ASO. Vermeldt aub een link naar dit topic in je nieuwe topic op het ASO forum, zodat degene die je op ASO helpt kan zien wat er vooraf gebeurd is.

Met vriendelijke groet,

Hans.

Help mij met deze puzzel

xyzjan

Gebruiker

buffy

Meubilair

xyzjan

Gebruiker

buffy

Meubilair

xyzjan

Gebruiker

buffy

Meubilair

xyzjan

Gebruiker

Bijlagen

buffy

Meubilair

xyzjan

Gebruiker

buffy

Meubilair

buffy

Meubilair

xyzjan

Gebruiker

xyzjan

Gebruiker

H@ns

Terugkerende gebruiker

Nieuwste berichten

Wij waarderen jouw privacy