Helpmij tegen spyware offensief (deel 2)

[cvh]

Sory, ik was te vroeg met het plaatsen van de log file.
Ik heb nu eerst ad-aware gebruikt en hier onder is de log file die ik erna heb gedaan met Hijack this.

Ik krijg als ik de pc opstart de melding dat windows het bestand c:\windows\system32\audcntr.exe niet kan vinden. Ik heb de virusscan ook al laten lopen maar de melding blijft komen.
Kan jij me helpen?





Logfile of HijackThis v1.97.7
Scan saved at 20:30:49, on 16-2-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Apps\ActivBoard\nhksrv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Apps\ActivBoard\MMKeybd.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\System32\qttask.exe
C:\Program Files\Winamp\Winampa.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Apps\ActivBoard\TrayMon.exe
C:\Apps\ActivBoard\OSD.exe
C:\Program Files\Microsoft Office\Office\1043\msoffice.exe
C:\Program Files\Microsoft Office\Office\OUTLOOK.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Conny\Nieuwe map (2)\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hetnet.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - Global Startup: Microsoft Office Werkbalk.lnk = ?
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.hetnet.nl
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/downl...-a3de-373c3e5552fc/msSecAdv.cab?1076515735998
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/76808a0e7ae82f/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O16 - DPF: {DF6A0F17-0B1E-11D4-829D-00C04F6843FE} (Microsoft Office Tools on the Web Control) - http://dgl.microsoft.com/downloads/outc.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54C4C070-D2B0-439B-9959-DF70230B897B}: NameServer = 194.134.5.5 194.134.0.97


Thanxs

 

[wivo]

bazooka<->HijAck

inderdaad... t wqas bazooka... foutje moet kunnen toch? (bassie&adriaan) nu de juiste log. Een spy genaamd spw8 en andere benamingen maken me het leven zuur.. er wordt verwezen naar een andere antispy..
alvast heel erg bedankt als het lukt..


Logfile of HijackThis v1.97.7
Scan saved at 21:13:29, on 16-2-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CVSEXPSS.EXE
C:\WINDOWS\System32\SXPESVC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\WINDOWS\W815DM.EXE
C:\Program Files\Akrontech\enuff\ENUFF.EXE
C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Program Files\Sygate\SHN\Sygate.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\Program Files\Babylon\Babylon.exe
C:\Program Files\Sygate\SHN\sgserv.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Bazooka Spyware Scanner\spywarescanner.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\WinAce\WinAce.exe
C:\Documents and Settings\van Voorst\Local Settings\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SyGateManager] C:\Program Files\Sygate\SHN\Sygate.exe
O4 - HKLM\..\Run: [ddhelper] "C:\WINDOWS\W815DM.EXE"
O4 - HKCU\..\Run: [Babylon Translator] C:\Program Files\Babylon\Babylon.exe
O4 - HKLM\..\RunOnce: [sdaemon] C:\WINDOWS\sdaemon.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E7CBD4A-44B9-4ABB-B6AA-C22E1BB83F14}: NameServer = 212.142.28.66,212.142.28.130
O17 - HKLM\System\CCS\Services\Tcpip\..\{B15723A9-1A04-4A62-B627-1A0E1D7D0B82}: NameServer = 212.142.28.66,212.142.28.130

 

[steppenwolf]

ik heb ook gescant met hijack,
zitte hier nog vreemde dinge tusse?

Logfile of HijackThis v1.97.7
Scan saved at 8:25:26, on 17-2-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\QuickTime64\qttask.exe
C:\Program Files\Philips ToUcam Camera\VProperty.exe
C:\WINDOWS\System32\msrexe.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\NetMeter\NetMeter.exe
F:\Kazaa Lite\Kazaa.kpp
C:\Program Files\dMSN\dMSN Messenger.exe
D:\hijack\HijackThis.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fok.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.fok.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp281\Winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime64\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAZAA] "F:\Kazaa Lite\kpp.exe" "F:\Kazaa Lite\Kazaa.kpp" /SYSTRAY
O4 - HKLM\..\Run: [ToUcamVProperty] C:\Program Files\Philips ToUcam Camera\VProperty.exe
O4 - HKLM\..\Run: [System Service] C:\WINDOWS\System32\msrexe.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [D:\Program Files\NetMeter\NetMeter.exe] D:\Program Files\NetMeter\NetMeter.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Locators.com Search Bar (HKLM)
O9 - Extra 'Tools' menuitem: Locators.com Search Bar (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38027.5059722222
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab

 

[Pieter Arntz]

Geplaatst door headout


R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - D:\WINDOWS\bi.dll

O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll (file missing)
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - D:\WINDOWS\Downloaded Program Files\bridge.dll

O3 - Toolbar: (no name) - {FE6BC4EF-5676-484B-88AE-883323913256} - (no file)
O3 - Toolbar: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll (file missing)
O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - D:\Program Files\DashBar\DashBar15.dll

O4 - HKLM\..\Run: [DM_Server] D:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe /onreboot

O4 - HKLM\..\Run: [RunDLL] rundll32.exe "D:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [DGJNQ] D:\WINDOWS\DGJNQ.exe
O4 - HKLM\..\Run: [BFIL] D:\WINDOWS\BFIL.exe
O4 - HKLM\..\Run: [BEILORVYP] D:\WINDOWS\BEILORVYP.exe
O4 - HKLM\..\Run: [msbb] D:\DOCUME~1\SANDYW~1\LOCALS~1\Temp\msbb.exe
O4 - HKLM\..\Run: [BFILO] D:\WINDOWS\BFILO.exe

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/30c3d63a259ec70abc06/netzip/RdxIE601.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/bridge.cab

Hoi Ron,

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start dan opnieuw op en verwijder:
D:\WINDOWS\Downloaded Program Files\bridge.dll
D:\Program Files\DashBar <= de hele map
D:\Program Files\COMET Systems <= de hele map
D:\DOCUMENTS AND SETTINGS\[owner]\LOCAL SETTINGS\Temp\msbb.exe

Local Settings is een verborgen map, dus die moet je even zichtbaar maken.

En doe haar SpywareBlaster cadeau (mag op mijn rekening )

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door cvh

Ik krijg als ik de pc opstart de melding dat windows het bestand c:\windows\system32\audcntr.exe niet kan vinden. Ik heb de virusscan ook al laten lopen maar de melding blijft komen.
Kan jij me helpen?

Die melding krijg je waarschijnlijk doordat het virus weg is, maar Windows probeert het nog op te starten. Ik zie alleen niet waar vandaan.

Surf naar http://www.billsway.com/vbspage/ en scroll naar beneden tot:
Registry Search Tool
Download, unzip en run RegSrch.vbs
Vul dit in, in het dialoog venster: audcntr

Na een tijdje krijg je een prompt. Klik op OK om de resultaten naar wordpad te schrijven en post het resultaat.

Groetjes,

Pieter

 

[Pieter Arntz]

Re: bazooka<->HijAck

Geplaatst door wivo

O4 - HKLM\..\Run: [ddhelper] "C:\WINDOWS\W815DM.EXE"

Hoi wivo,

Die hierboven vertrouw ik niet. Kun je het bestandje C:\WINDOWS\W815DM.EXE naar me opsturen?

Dan laat ik het wel even weten.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door steppenwolf

O4 - HKLM\..\Run: [KAZAA] "F:\Kazaa Lite\kpp.exe" "F:\Kazaa Lite\Kazaa.kpp" /SYSTRAY ***

O4 - HKLM\..\Run: [System Service] C:\WINDOWS\System32\msrexe.exe

O9 - Extra button: Locators.com Search Bar (HKLM)
O9 - Extra 'Tools' menuitem: Locators.com Search Bar (HKLM)

Hoi steppenwolf,

Kazaa moet je zelf weten maar ik zou het niet automatisch laten opstarten, of het nou de lite versie is of niet.

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start dan opnieuw op in veilige modus en verwijder:
C:\WINDOWS\System32\msrexe.exe <= trojan
Als je belangrijke wachtwoorden e.d. op je PC hebt staan, zou ik deze veranderen.

Groetjes,

Pieter

 

[headout]

Geplaatst door Pieter Arntz
En doe haar SpywareBlaster cadeau (mag op mijn rekening )

Pieter, te veel verwennen is ook niet goed, maar dit keer zullen we dat maar doen

Bedankt voor je hulp iig.

 

[cvh]

Ik krijg als ik de pc opstart de melding dat windows het bestand c:\windows\system32\audcntr.exe niet kan vinden. Ik heb de virusscan ook al laten lopen maar de melding blijft komen.
Kan jij me helpen?

Pieter, ik heb RegSrch.vbs laten lopen en dit is het resultaat.





REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "audcntr" 17-2-2004 15:07:50

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_USERS\S-1-5-21-220523388-329068152-725345543-1007\Software\Microsoft\Search Assistant\ACMru\5603]
"004"="audcntr.exe"

 

[wullybully]

Hallo, ik heb hier nog een hijackthis log.. er zit in ieder geval spyware van msnplus in.
Wederom bedankt!!

Logfile of HijackThis v1.97.7
Scan saved at 15:42:00, on 17-2-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\PROGRA~1\CLOCKS~1\Idle Part Dead.exe
C:\PROGRA~1\CLOCKS~1\City.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Rob\Local Settings\Temp\Tijdelijke map 1 voor hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vinden.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {97660E65-8EC9-011F-0C89-263E9C400EA5} - C:\PROGRA~1\THEREG~1\Joy Noun.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: BlehCool - {7EC5D14A-F609-5C73-F2EF-A5AD8CBDAB8F} - C:\PROGRA~1\THEREG~1\Joy Noun.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [sign thunk] C:\PROGRA~1\CLOCKS~1\Idle Part Dead.exe
O4 - HKLM\..\Run: [AutoLoaderAproposClient] "C:\PROGRA~1\CLOCKS~1\City.exe" C:\PROGRA~1\CLOCKS~1\City.exe /HideUninstIcon /HideDir /UninstallName="Software Apropos" /PC=PLUS
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

[Pieter Arntz]

Geplaatst door cvh

Pieter, ik heb RegSrch.vbs laten lopen en dit is het resultaat.

[HKEY_USERS\S-1-5-21-220523388-329068152-725345543-1007\Software\Microsoft\Search Assistant\ACMru\5603]
"004"="audcntr.exe"

Hmm. Dat is alleen maar de sleutel die aangeeft dat je naar het bestand gezocht hebt.

Kun je eens het volgende proberen:
Start > Run > Msconfig > tabblad algemeen > vink alles uit behalve de onderste drie.
Ik heb hier geen Nederlandse versie bij de hand, maar in het Engels heten ze
- Programs that are set to load during the startup process (these programs are specified in the Startup folder and in the registry)
- Environment settings
- International settings

Start dan opnieuw op. Krijg je de melding dan nog?

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door wullybully

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {97660E65-8EC9-011F-0C89-263E9C400EA5} - C:\PROGRA~1\THEREG~1\Joy Noun.dll

O3 - Toolbar: BlehCool - {7EC5D14A-F609-5C73-F2EF-A5AD8CBDAB8F} - C:\PROGRA~1\THEREG~1\Joy Noun.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O4 - HKLM\..\Run: [sign thunk] C:\PROGRA~1\CLOCKS~1\Idle Part Dead.exe
O4 - HKLM\..\Run: [AutoLoaderAproposClient] "C:\PROGRA~1\CLOCKS~1\City.exe" C:\PROGRA~1\CLOCKS~1\City.exe /HideUninstIcon /HideDir /UninstallName="Software Apropos" /PC=PLUS
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:

Hoi wullybully

Er komt steeds meer troep met dat MessengerPlus mee, is het niet?

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start dan opnieuw op en verwijder:
C:\Program Files\CLOCKSYNC <= de hele map
C:\Program Files\MyWay <= de hele map

Ga dan naar Configuratiescherm > Software en verwijder daar P2P Networking ( je hebt het nergens voor nodig)
Zoek dan naar het bestandje Joy Noun.dll en stuur de map waar het in zit in zijn geheel gezipt naar me toe svp.
De eerste letters van de naam van de map zijn THEREG (daar kunnen spaties tussen staan)

Groetjes,

Pieter

 

[cvh]

als ik msconfig run krijg ik het volgende te zien bij tablad algemeen:

type opstartprocedure:

* normaal opstarten: alle apparaatstuurprogramma's en services in het geheugen laden

* diagnostisch opstarten: alleen elementaire stuurprogramma's en services in het geheugen laden

* selectief opstarten: * het system.ini bestand verwerken
* het wini.ini bestand verwerken
* systeemservices in het geheugen laden
* opstartonderdelen in het geheugen laden
* orginele boot.ini gebruiken

welke moet ik nu uit zetten?

 

[Pieter Arntz]

Hoi cvh,

Deze aanvinken:
* systeemservices in het geheugen laden
* opstartonderdelen in het geheugen laden

Groetjes,

Pieter

 

[cvh]

Ik blijf de melding nog steeds krijgen

 

[Pieter Arntz]

Hoi cvh,

Als je in veilge modus opstart, krijg je hem dan ook?

Groetjes,

Pieter

 

[cvh]

misschien stomme vraag: hoe doe ik dat?

 

[Allard]

Sorry dat ik heb gepost voordat die ander is opgelost, maar ik heb beperkt toegang tot het net...

Ik heb dus last van de magicsearch hijacker...
Hier is mijn log:

Logfile of HijackThis v1.97.7
Scan saved at 20:08:03, on 17-2-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\BearShare\BearShare.exe
C:\Program Files\BearShare\BearShare.exe
C:\Documents and Settings\Allard Timmermans\Bureaublad\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O3 - Toolbar: Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [notpfzm] "C:\WINDOWS\System32\notpfzm.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [MicrosoftWindows] C:\Program Files\Common Files\Services\clrssn.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Wat moet ik nu doen?

Alvast bedankt,

Allard

 

[Pieter Arntz]

Geplaatst door cvh
misschien stomme vraag: hoe doe ik dat?

Zelfde tabblad in msconfig, maar dan Diagnostisch opstarten aanvinken.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door Allard

O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [notpfzm] "C:\WINDOWS\System32\notpfzm.exe"

O4 - HKLM\..\Run: [MicrosoftWindows] C:\Program Files\Common Files\Services\clrssn.exe

Hoi Allard,

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start dan opnieuw op en verwijder:
C:\WINDOWS\System32\notpfzm.exe
C:\Program Files\Common Files\Services\clrssn.exe

Groetjes,

Pieter