Helpmij tegen spyware offensief (deel 2)

Pieter Arntz · 22 mrt 2004

Geplaatst door Guus abc
Hallo Pieter,

Na mijn laatste Hijackthis-scan is alles hetzelfde gebleven op deze na:

O16 - DPF: {2253F320-AB68-4A07-917D-4F12D8884A06} - http://www.streamaudio.com/download/ccpm_0237.cab

Waarschijnlijk iets dat is achtergebleven nadat ik enkele radiostations beluisterd had.

Is dit nuttig of kan ik het beter weghalen (website www.streamaudio.com lijkt me een bona fide site, maar je weet maar nooit).

Guus.

Hoi Guus,

Als je denkt hem binnenkort weer nodig te hebben kun je hem laten staan. Hij kan geen kwaad, maar je kunthem ook ongestraft verwijderen. Hij knomt weer terug als je hem nodig hebt.

Groetjes,

Pieter

Pieter Arntz · 22 mrt 2004

Geplaatst door simonj

R3 - Default URLSearchHook is missing
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com

O2 - BHO: (no name) - {CD2968C1-5770-4F44-8860-5BDF151E3219} - C:\WINDOWS\wJ9JGK.dll

O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load

O4 - HKLM\..\Run: [p57iH11] C:\WINDOWS\bYix29L.exe

O16 - DPF: {65B818E1-F4D8-4F96-A1DF-35F3D1C86194} - http://mmm.roings.com/roing.cab

Hoi simonj,

Erg hè, die popuppers.

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op en verwijder:
C:\WINDOWS\bYix29L.exe
C:\WINDOWS\Downloaded Program Files\bridge.dll

Groetjes,

Pieter

Pieter Arntz · 22 mrt 2004

Re: Adware niet verwijdert door adaware of Norton

Geplaatst door Stanley19
Hai Hijackthis-helpers,

Aan de hand van deze thread:

Hoi Stanley19,

Ik zie geen enkele reden waarom die mappen terug zouden komen als je ze verwijderd.
Je log is hartstikke schoon.

Groetjes,

Pieter

simonj · 22 mrt 2004

Hoi simonj,

Erg hè, die popuppers.

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op en verwijder:
C:\WINDOWS\bYix29L.exe
C:\WINDOWS\Downloaded Program Files\bridge.dll

Groetjes,

Pieter

hoi pieter, de logbestandenzijn verwijderd.
alleen die windows bestanden kan ik niet terugvinden.

na herstarten nog steeds popup (ziebijlage).
en eentje die opent in browser.

sont · 22 mrt 2004

hier dan......

hoi .. ik start steeds op met mijn windowstabblad verborgen bestanden........... ik draai 98 se met wat standaard proggies zoals virewall antivirus etc....
zouden jullie even willen kijken of dat alles nog klopt?????? alvast bedankt

Logfile of HijackThis v1.97.7
Scan saved at 11:07:43, on 22-3-04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\M2RMMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\EXSHOW95.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\EXSHOW.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
C:\WINDOWS\SYSTEM\MPSYNTH.EXE
C:\WINDOWS\SYSTEM\MPAUDWAV.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
D:\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://register.tiboco.nl/userfammulti
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F1 - win.ini: load=d:\adjust\pacscreen.exe
F1 - win.ini: run=c:\tora\sinit\sinit.exe
O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\kmouse\IE_SPY.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1043,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] STIMON.EXE
O4 - HKLM\..\Run: [Lwinst Run Profiler] C:\Program Files\Logitech\WingMan Profiler\Lwtest.exe /detect /quiet /launch "C:\Program Files\Logitech\WingMan Profiler\LwEmon.exe /noui"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NetPumper] "C:\Program Files\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [mmpti] C:\WINDOWS\SYSTEM\m1mmpti.exe
O4 - HKLM\..\Run: [MpSynth] C:\WINDOWS\SYSTEM\MpSynth.exe
O4 - HKLM\..\Run: [MpAudwav] C:\WINDOWS\SYSTEM\MpAudwav.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [winnet] C:\PROGRA~1\COMMON~2\TOOLBAR\winnet.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [scriptBlocking] "C:\Program Files\Common Files\Symantec Shared\script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [rmmon] C:\WINDOWS\SYSTEM\m2rmmon.exe
O4 - HKCU\..\Run: [Ultimate Popup Killer] C:\PROGRAM FILES\ULTIMATE POPUP KILLER\POPUPKILLER.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Application Data\Microsoft\Installer\{00000413-78E1-11D2-B60F-006097C998E7}\misc.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\PROGRA~1\WINZIP\wzqkpick.exe
O8 - Extra context menu item: Download with NetPumper - C:\Program Files\NetPumper\AddUrl.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://register.tiboco.nl/userfammulti

wimpie33 · 22 mrt 2004

Hijackthislog

Ok hoop dat er mensen zijn die me nu wel kunnen helpen

Heb zon beetje alles geprobeerd wat er aangeraden werd, maar nog steeds de " gouden " tip niet gevonden

Probleem (zoals zo vele): startpagina die na opstarten steeds verandert in een of andere pornografische site:
teenhqpics.com...daarbij wordt er een reeks van 17 links onder mijn favorieten gezet...en sinds die tijd heb ik bij afsluiten van comp elke keer de melding dat het programma win min niet kan worden afgesloten...)

dit is in kort het probleem.

heb dus spybot gedaan..adaware nieuwste versies en geupdate..maar dat heeft het probleem niet verholpen

dus de volgende stap hier moet dus een Hijackthis log maken en hier plaatsen dus bij deze :

Logfile of HijackThis v1.97.7
Scan saved at 11:18:06 AM, on 3/22/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINNT\system32\hidserv.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\SymTray.exe
C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\Program Files\Common Files\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\winlogon.exe
C:\Documents and Settings\Hofsink\My Documents\scorpionemu\winzip\WZQKPICK.EXE
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\Logitech\ImageStudio\LowLight.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\HOFSINK\MYDOCU~1\SCORPI~1\WINZIP\winzip32.exe
C:\Documents and Settings\Hofsink\My Documents\startcontrol\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://omega-search.com/panel_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://teenhqpics.com/?homepage.com
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1043,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Lexmark X83 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe
O4 - HKLM\..\Run: [Lexmark X83 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\Symtray.exe SetReg
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Common Files\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\Symtrdr.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: winlogon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Documents and Settings\Hofsink\My Documents\scorpionemu\winzip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash4/cabs/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab

ok hoop dat er nog redding is , alvast bedankt voor julllie kostbare tijd

( en wat is win min voor een programma ? kan het nergens vinden op mijn comp, maar ja dat krijg je als blonde mensen op comp gaan .... )

wacht wel op reactie ...dank je wel

gr Wim:thumb:

Pieter Arntz · 22 mrt 2004

Geplaatst door simonj
hoi pieter, de logbestandenzijn verwijderd.
alleen die windows bestanden kan ik niet terugvinden.

na herstarten nog steeds popup (ziebijlage).
en eentje die opent in browser.

Wil je nog eens een nieuw Hi9jackThis log maken en plaatsen svp.

Pieter

Pieter Arntz · 22 mrt 2004

Re: Hijackthislog

Geplaatst door wimpie33

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://omega-search.com/panel_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://teenhqpics.com/?homepage.com

O4 - Global Startup: winlogon.exe

Hoi wimpie33,

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Download en run: http://www.spywareinfo.com/~merijn/files/CWShredder.exe
Let goed op de aanwijzingen die je van het programma krijgt.

Start daarna opnieuw op en verwijder:
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\winlogon.exe <= LET OP: Probeer NIET C:\WINNT\system32\winlogon.exe te verwijderen, want dat is de echte.

Groetjes,

Pieter

Pieter Arntz · 22 mrt 2004

Re: hier dan......

Geplaatst door sont

O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - (no file)

O4 - HKLM\..\Run: [winnet] C:\PROGRA~1\COMMON~2\TOOLBAR\winnet.exe

O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Application Data\Microsoft\Installer\{00000413-78E1-11D2-B60F-006097C998E7}\misc.exe

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op in veilige modus en verwijder:
C:\PROGRAM FILES\COMMONNAME <= de hele map

Ik heb me al eens eerder afgevraagd waar deze voor zijn:
F1 - win.ini: load=d:\adjust\pacscreen.exe
F1 - win.ini: run=c:\tora\sinit\sinit.exe
Weet jij het?

Groetjes,

Pieter

sont · 22 mrt 2004

re weet jij het?

hoi pieter nog maals bedankt voor het checken van mijn log.

de f1 s die jij bedoelt komen waarschijnlijk van mijn pc.

heb nl een fujitsu multitainer van siemens en die starten iets anders op dan een normale pc.....
misschien dat het daaraan ligt..........
hopende hiermee je voldoende geinformeerd te hebben

vr gr
sont

wimpie33 · 22 mrt 2004

Bedankt zover

Hoi Pieter

Bedankt voor je snelle response:

Gedaan wat je aangeraden hebt , maarrrr ( natuurlijk is er een maar ) ik kan : O4 - Global Startup: winlogon.exe

niet via Hijack fixen..cq verwijderen ...hij geeft aan dat ik dat via de manager moet doen , maar die zegt weer dat dat een kritiek onderdeel van windows is...

voorts als ik naar de:C:\Documents and Settings\All Users\Start Menu\Programs\Startup\winlogon.exe

ga bevindt zich dit niet in deze map

de enige 2 onderdelen die daarin staan zijn :
- microsoft office
- winzip

na opstarten komt de ongevraagde ' startpagina " terug, wel zijn de toegevoegde links onder mijn favorieten gereduceerd tot 3 ( dat scheelt toch al weer iets

viaCwshredder is er 1 (search ) file gedeleet en na opnieuw doen geeft die aan dat dat gedeelte clean is.

ok misschien wat onduidelijk allemaal , maar ben wel blij met je hulp alvast bedankt

gr Wim

Pieter Arntz · 22 mrt 2004

Re: Bedankt zover

Geplaatst door wimpie33

na opstarten komt de ongevraagde ' startpagina " terug, wel zijn de toegevoegde links onder mijn favorieten gereduceerd tot 3 ( dat scheelt toch al weer iets

viaCwshredder is er 1 (search ) file gedeleet en na opnieuw doen geeft die aan dat dat gedeelte clean is.

Kun je nog eens een nieuw log maken en plaatsen?

Groetjes,

Pieter

Pieter Arntz · 22 mrt 2004

Re: re weet jij het?

Geplaatst door sont
hoi pieter nog maals bedankt voor het checken van mijn log.

de f1 s die jij bedoelt komen waarschijnlijk van mijn pc.

heb nl een fujitsu multitainer van siemens en die starten iets anders op dan een normale pc.....
misschien dat het daaraan ligt..........
hopende hiermee je voldoende geinformeerd te hebben

vr gr
sont

Ah. Thanks.

Pieter

sont · 22 mrt 2004

geen common name

hoi pieter.
heb gedaan wat je zei ..........alleen kan ik de map niet vinden met dezelfde naam
ik zou de map `common name`moeten verwijderen maar ik heb aleen een map in pr files die common files heet...... en daar staat en heleboel in ....

moet ik die leeg gooien???????

alvast bedankt

vr gr
sont

wimpie33 · 22 mrt 2004

een nieuw log maken en plaatsen

Hoi Pieter

Ik heb nogmaals opnieuw opgestart en wat blijkt tot mijn grote verbazing..hij start weer op met de pagina die IK wil , wat een opluchting !!

Het enige wat er nu nog aangemaakt wordt zijn 2 onewnste favorietenlinks , maar het vervelendste euvel is verholpen

zal nog even mijn logfile sturen zodat je er misschien nog even naar kan kijken of er nog wat ongeregeldheden instaan

Voor zover ontzettend bedankt, ben blij dat er mensen bestaan die je van die ongewilde rommel willen en kunnen afhelpen !

Logfile of HijackThis v1.97.7
Scan saved at 12:33:23 PM, on 3/22/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINNT\system32\hidserv.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\SymTray.exe
C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\Program Files\Common Files\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\Hofsink\My Documents\scorpionemu\winzip\WZQKPICK.EXE
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\Logitech\ImageStudio\LowLight.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Hofsink\My Documents\startcontrol\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1043,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Lexmark X83 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe
O4 - HKLM\..\Run: [Lexmark X83 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\Symtray.exe SetReg
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Common Files\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\Symtrdr.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Documents and Settings\Hofsink\My Documents\scorpionemu\winzip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash4/cabs/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab

groeten:

Pieter Arntz · 22 mrt 2004

Re: geen common name

Geplaatst door sont
hoi pieter.
heb gedaan wat je zei ..........alleen kan ik de map niet vinden met dezelfde naam
ik zou de map `common name`moeten verwijderen maar ik heb aleen een map in pr files die common files heet...... en daar staat en heleboel in ....

Aaaaaaaaaaaaaah neeeeeeeeeeeeeee.
Common files heb je echt nodig voor allerlei programma's.

Ik vond het al vreemd dat die Commonname troep er nog in stond.
De bestanden zijn waarschijnlijk allang een keer door AdAware of Spybot verwijderd.

Groetjes,

Pieter

Pieter Arntz · 22 mrt 2004

Re: een nieuw log maken en plaatsen

Geplaatst door wimpie33
Hoi Pieter

Ik heb nogmaals opnieuw opgestart en wat blijkt tot mijn grote verbazing..hij start weer op met de pagina die IK wil , wat een opluchting !!

Het enige wat er nu nog aangemaakt wordt zijn 2 onewnste favorietenlinks , maar het vervelendste euvel is verholpen

Verwijder die twee. Mochten ze nog een keer terugkomen, moet je even vermelden waar ze naar toe verwijzen (doe dat dan met ongeldig gemaakte links hxxp of zo)
Dan weet ik iets beter bij wie ik het moet zoeken.

Groetjes,

Pieter

Pieter Arntz · 22 mrt 2004

Geplaatst door wimpie33
Hoi Pieter

Ik heb nogmaals opnieuw opgestart en wat blijkt tot mijn grote verbazing..hij start weer op met de pagina die IK wil , wat een opluchting !!

Het enige wat er nu nog aangemaakt wordt zijn 2 onewnste favorietenlinks , maar het vervelendste euvel is verholpen

Verwijder die twee. Mochten ze nog een keer terugkomen, moet je even vermelden waar ze naar toe verwijzen (doe dat dan met ongeldig gemaakte links hxxp of zo)
Dan weet ik iets beter bij wie ik het moet zoeken.

Groetjes,

Pieter

sont · 22 mrt 2004

Re: Re: geen common name

Geplaatst door Pieter Arntz

Aaaaaaaaaaaaaah neeeeeeeeeeeeeee.
Common files heb je echt nodig voor allerlei programma's.

Ik vond het al vreemd dat die Commonname troep er nog in stond.
De bestanden zijn waarschijnlijk allang een keer door AdAware of Spybot verwijderd.

Groetjes,

Pieter

dacht het al..... dus ben daar vanaf gebeleven
maar hij start nog wel op met een windows blad( verborgen bestanden) vreemd???

vr gr
sont

Pieter Arntz · 22 mrt 2004

Re: Re: Re: geen common name

Geplaatst door sont

dacht het al..... dus ben daar vanaf gebeleven
maar hij start nog wel op met een windows blad( verborgen bestanden) vreemd???

Hoi sont,

Kun je daar eens een screenshot van maken?

Is inderdaad vreemd,

Pieter

Helpmij tegen spyware offensief (deel 2)

Spywareslayer

Spywareslayer

Spywareslayer

Gebruiker

Bijlagen

Gebruiker

Nieuwe gebruiker

Spywareslayer

Spywareslayer

Spywareslayer

Gebruiker

Nieuwe gebruiker

Spywareslayer

Spywareslayer

Gebruiker

Nieuwe gebruiker

Spywareslayer

Spywareslayer

Spywareslayer

Gebruiker

Spywareslayer

Wij waarderen jouw privacy