help virus? Spyware??

[tinus57]

Hallo

Met opstarten van i.e krijgen we rare mededelingen. Compie gescand met housecall, norton. AdAware erover, wel en en ander gevonden en verwijdert, maar probleem niet opgelost.
Bijgaand hijacklog, wie kan ons helpen???

Logfile of HijackThis v1.94.0
Scan saved at 21:34:55, on 6-6-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.spellenweb.nl/games.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\System32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=%SystemRoot%\system32\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [TrustInstaller] G:\Setup.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {8522F9B3-38C5-4AA4-AE40-7401F1BBC851} - http://www.bigtimewarez.com/Free_Mp3search.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37755.3498148148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://www.p3.postbank.nl/GTO/PBGNX.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = d7625.tfil.com
O17 - HKLM\Software\..\Telephony: DomainName = d7625.tfil.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F9F196A-57C0-4D40-B103-65D9975CA888}: Domain = d7625.tfil.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = d7625.tfil.com

Wie kan ons vertellen wat er niet goed is, alvast bedankt.

Groetjes Marr

 

[m@rio]

Wellicht ook handig om de rare meldingen ook even te melden

 

[Pieter Arntz]

Hallo tinus57,

Het meeste is al weg, maar er is nog wat blijven hangen.

Vink de volgende aan in HijackThis, sluit alle IE, OE en verkenner vensters af en klik op Fix checked:

O16 - DPF: {8522F9B3-38C5-4AA4-AE40-7401F1BBC851} - http://www.bigtimewarez.com/Free_Mp3search.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = d7625.tfil.com
O17 - HKLM\Software\..\Telephony: DomainName = d7625.tfil.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F9F196A-57C0-4D40-B103-65D9975CA888}: Domain = d7625.tfil.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = d7625.tfil.com

Start dan opnieuw op. Als je dan nog "rare meldingen" krijgt moet je ze iets nauwkeuriger proberen te omschrijven.

Groetjes,

Pieter

 

[tinus57]

excuus, zie bijlage, en het gaat om het icoontje aan het begin van de url

groetjes Marr

 

[saldos]

tinus57,

Download en installeer ook even spybot. Doe een update ermee en verwijder alles wat er gevonden wordt.

 

[tinus57]

hallo,

advies van Pieter opgevolgt en ook die van Saldos.

Helaas geen resultaat. Zit me nu ineens te bedenken of dit ergens in mijn regedit te veranderen is. Probleem is alleen met deze pagina, rest doet het normaal.
Ik probeer nog maar eens een bijlage erbij tedoen, daarnet ging het ff niet goed
Het gaat dus om dat rare icoontje aan begin van url. Hebben ook aan kennissen gevraagt om op deze pagina in te loggen en zij krijgen normaal i.e icoontje

Groetjes Marr

 

[Pieter Arntz]

In IE > Extra > Internetopties > tabblad Algemeen > Bestanden verwijderen.
Ook even je Windows\Temp map legen en even je favorieten nakijken en de mappen die door lop zijn toegevoegd verwijderen.

Groetjes,

Pieter

PS bijlages mogen niet groter zijn dan ca. 100 kb

 

[tinus57]

pfff nog maar een keertje

 

[tinus57]

helaas dus geen bijlage, maar Pieter, je hebt ons weer goed geholpen, alle problemen opgelost

Groetjes Marr

 

[Pieter Arntz]

:thumb:

Graag gedaan,

Pieter