Helpmij tegen spyware offensief (deel 2)

[Pieter Arntz]

Geplaatst door Henk Elzinga
Je moet het gisteravond aardig druk hebben gehad.

Mooi zo. :thumb:

Gisteravond? Zat ik in de kroeg.

Groetjes,

Pieter

 

[Pieter Arntz]

Re: spyware?

Geplaatst door marvel400

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://minisearch.startnow.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://minisearch.startnow.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://minisearch.startnow.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://minisearch.startnow.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {A81E06FB-C95D-47D3-A032-F9E2E4AB49C4} - C:\WINDOWS\pzwpasvl.dll

O4 - HKLM\..\Run: [gjoerhob] C:\WINDOWS\xbcxswiw.exe

O16 - DPF: {F420A442-7538-48DF-A3F1-C55BDE3BBB56} (jimmyload.jimmycont) - http://www.roings.com/sec.cab

Hoi marvel400,

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op en verwijder:
C:\WINDOWS\xbcxswiw.exe

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door sweetroman
Beste Pieter,

Toppie dankje voor je hulp.

De bridge.dll kan ik echter niet vinden onder downloaded program files. Als ik zoek op naam bridge komt er wel wat naar boven onder me windows drivers. Kan ik dit verwijderen? wat id dat bridge precies?

Ik heb tegelijk het probleem dat dat donkere dos schermpje soms 1 sec in bel dkomt en dat er zomaar een papiertje uit de printer komt met niks erop.

Hoi sweetroman,

Noot zomaar bestanden verwijderen omdat hun naam lijkt op die van een virus of zo.
De slechte bestanden doen juist hun best om op veelvoorkomende bestanden te lijken.

bridge.dll:
http://securityresponse.symantec.com/avcenter/venc/data/adware.winfavorites.html

Dat met dat DOS schermpje en de printer gebeurt dat nog op bepaalde momenten?
Bij het opstarten van iets anders of na een bepaalde tijd?

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door megarainman

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe **

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL **

O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL **

O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe **

O4 - HKLM\..\RunOnce: [Register urlmon.dll] C:\WINDOWS\System32\regsvr32.exe /s C:\WINDOWS\System32\urlmon.dll *
O4 - HKLM\..\RunOnce: [Register hlink.dll] C:\WINDOWS\System32\regsvr32.exe /s C:\WINDOWS\System32\hlink.dll *
O4 - HKLM\..\RunOnce: [Register oleaut32.dll] C:\WINDOWS\System32\regsvr32.exe /s C:\WINDOWS\System32\oleaut32.dll *
O4 - HKLM\..\RunOnce: [IE 3.0 RegSvr schannel.dll] C:\WINDOWS\System32\regsvr32.exe /s C:\WINDOWS\System32\schannel.dll *

O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab

O16 - DPF: {FC9C7D52-C99A-494A-AA79-4A25098F659C} (***Load Control) - http://www.imperialcasino.com/dload/***load.cab

Hoi megarainman,

geen sterretje betekent weg ermee, troep
één sterretje betekent, moet vanzelf weg zijn als je opnieuw opstart, controleer dat even.
twee sterretjes betekent onnodig

wat er eigenlijk op de plaats van de drie sterretjes stond wil ik graag weten.
Kun je dat posten met spaties ertussen of zo?

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door skremer

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/01c635961d4329c3f919/netzip/RdxIE601.cab

O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab

O19 - User stylesheet: C:\WINDOWS\hh.htt
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)

Hoi skremer,

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Download, unzip en run: http://www.computercops.biz/zx/phoenix22/cws.zip
Gebruiik de Fix knop en volg de aanwijzingen van het programma nauwkeurig op.

Start daarna opnieuw op.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door H@NsiePanzzzer


Ik heb ook Messenger Plus maar wil dat graag van mijn PC af hebben, kan dat met HijackThis of moet ik dit zelf doen?

Hoi H@NsiePanzzzer,

Dat is het eerste verstandige dat ik vandaag over MessengerPlus gehoord heb.

Het is beter om het in Configuratiescherm > Software te verwijderen. Dan gaat het veel grondiger.

In je log was geen spyware meer te bekennen, trouwens. :thumb:

Groetjes,

Pieter

 

[megarainman]

Geplaatst door Pieter Arntz


Hoi megarainman,

geen sterretje betekent weg ermee, troep
één sterretje betekent, moet vanzelf weg zijn als je opnieuw opstart, controleer dat even.
twee sterretjes betekent onnodig

wat er eigenlijk op de plaats van de drie sterretjes stond wil ik graag weten.
Kun je dat posten met spaties ertussen of zo?

Groetjes,

Pieter

hetgene die bij die drie sterretjes staat is g v d maar dan zonder spaties

hetgene met één ster is idd na een heropstart verdwenen

Alvast van harte bedankt, Pieter!!! :thumb:

 

[Pieter Arntz]

Geplaatst door huibsel

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mysearchnow.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html

O4 - HKLM\..\Run: [Tick Web] C:\PROGRA~1\AUDIOBYTEBIB\Setup Base.exe

O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} (IntDialerData Class) - http://www.grupomarineda.net/auto/DialerData.cab

Hoi huibsel,

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start dan opnieuw op en zoek de map:
C:\PROGRAM FILES\AUDIOBYTEBIB
Kun je me vertellen welke bestanden daar nog meer in zitten behalve Setup Base.exe
Ook eentje die een zak geld als icoon heeft?

Groetjes,

Pieter

 

[sweetroman]

ja

Dat met dat DOS schermpje en de printer gebeurt dat nog op bepaalde momenten?

Ongeveer 5 minuten na aanmelding in mijn profiel.
(ik gebruik windows xp)

 

[Pieter Arntz]

Re: nog even 1 vraag...

Geplaatst door Petra1964
Hoi Pieter,
Ik heb gedaan wat je schreef, maar ik heb helemaal geen map autoupdate in C:\progr. files

Mailtons heb ik wel verwijderd.
Moet ik nog iets doen?? (behalve msn plus verwijderen!)

Hoi Petra1964,

Dan zal die map autoupdate al eerder verwijderd zijn.

Van mij hoef je MessengerPlus niet te verwijderen, hoor.
Maar als je Patchou kunt overtuigen dat mensen best bereid zijn om te betalen voor zijn programma als hij die troep er niet meer bij propt, graaaaaaaag.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door megarainman


hetgene die bij die drie sterretjes staat is g v d maar dan zonder spaties

Alvast van harte bedankt, Pieter!!! :thumb:

Thanks. :thumb:

Dat lijkt mij namelijk een nieuw item voor SpywareBlaster. Ik ga het even uitzoeken.

Groetjes,

Pieter

 

[Pieter Arntz]

Re: ja

Geplaatst door sweetroman


Ongeveer 5 minuten na aanmelding in mijn profiel.
(ik gebruik windows xp)

Daarna nog vaker na een bepaalde tijd? Of alleen die ene keer en gebeurt het alleen in jouw profiel?

Groetjes,

Pieter

 

[huibsel]

het geldzakje zat er idd in
joy dvd genaamd
alles in veilige modus weggehaald

alles werkt naar behoren en geen vage bende meer , of zie ik iets over het hoofd??

 

[marvel400]

spyware

Hallo tovenaar,

Ook hier van een collega een log file die even nagekeken mag worden.

alvast weer bedankt.

Logfile of HijackThis v1.97.7
Scan saved at 22:26:51, on 26-2-04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\SYMTRAY.EXE
C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON GHOST\GHOSTSTARTSERVICE.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCPROXY.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\SNDSRVC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\TNT2-64\VI_GRM.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAM FILES\LOGITECH\IMAGESTUDIO\LOGITRAY.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\PROGRAM FILES\CANON\MULTIPASS4\MPTBOX.EXE
C:\WINDOWS\SYSTEM\MPS.EXE
C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON GHOST\GHOSTSTARTTRAYAPP.EXE
C:\WINDOWS\SYSTEM\SNCNTR.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE
C:\PROGRAM FILES\WINZIP\WZQKPICK.EXE
C:\PROGRAM FILES\LOGITECH\IMAGESTUDIO\LOWLIGHT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\CANON\MULTIPASS4\MPDBMGR.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\RVTBZATS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchbar.linksummary.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.linksummary.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchxp.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchxp.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/QuickPage/Portal/portal.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.zonnet.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://searchbar.linksummary.com/
F1 - win.ini: load=C:\TNT2-64\vi_grm.exe
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [admice] C:\CYBERS~1\OPTICA~1\ad_exec.exe
O4 - HKLM\..\Run: [mps] C:\WINDOWS\SYSTEM\mps.exe /s
O4 - HKLM\..\Run: [MPTBox] C:\Program Files\Canon\MultiPASS4\MPTBox.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NPROTECT] C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [sncntr] c:\windows\system\sncntr.exe /nocomm
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [NPROTECT] C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [GhostStartService] C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON GHOST\GHOSTSTARTSERVICE.EXE
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\COMMON~1\SYMANT~1\CCPROXY.EXE
O4 - HKLM\..\RunServices: [SndSrvc] C:\PROGRA~1\COMMON~1\SYMANT~1\SNDSRVC.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Encoder Agent.lnk = C:\Program Files\Windows Media Components\Encoder\WMENCAGT.EXE
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9B4AA442-9EBF-11D5-8C11-0050DA4957F5} - http://www.cavello.com/dialxs/plugins/d/133/141/nl.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

 

[Forza Utreg]

Hoi log specialisten,

Naar aanleiding van dit topic, plaats ook ik mijn log.

Hopelijk kunnen jullie er wat mee!!!

Tnx

Logfile of HijackThis v1.97.7
Scan saved at 22:45:16, on 1-1-1999
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\Programs\Norton Anti Virus\navapsvc.exe
D:\Programs\Norton Anti Virus\AdvTools\NPROTECT.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
D:\Programs\PopUp Killer\PopUpKiller.EXE
D:\PROGRAMS\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\ZoneLabs\vsmon.exe
C:\Documents and Settings\Daan\Mijn documenten\Unzipped\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?hkcu
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.helpmij.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default-homepage-network.com/start.cgi?hklm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?hklm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - D:\Programs\DAP\DAPIEBar.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programs\Acrobar reader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programs\Norton Anti Virus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programs\Norton Anti Virus\NavShExt.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\Programs\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [PopUpKiller] D:\Programs\PopUp Killer\PopUpKiller.EXE
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRAMS\ZONEAL~1\zlclient.exe
O4 - Global Startup: MailWasher.lnk = D:\Programs\Mailwasher\MailWasher.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Download with &DAP - D:\PROGRAMS\DAP\dapextie.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{81884791-C8B4-4BC6-A377-9BEC360DFA6B}: NameServer = 62.45.45.45 62.45.46.46

 

[sweetroman]

eenmalig zover ik weet alleen in mijn profiel

Krijg het sinds ik die rotzooi erop had mbb.exe enzo

 

[Pieter Arntz]

Geplaatst door huibsel
het geldzakje zat er idd in
joy dvd genaamd
alles in veilige modus weggehaald

alles werkt naar behoren en geen vage bende meer , of zie ik iets over het hoofd??

Nee hoor. Goed gewerkt.
Dat was ook weer lop.

Groetjes,

Pieter

 

[leonard0]

heey pieter heb je een mail gestuurt op yahoo, weet niet of ie nog dienst doet, maar daar is ie dus heen

 

[Pieter Arntz]

Re: spyware

Geplaatst door marvel400

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchbar.linksummary.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.linksummary.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchxp.com/search.html

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchxp.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/QuickPage/Portal/portal.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://searchbar.linksummary.com/

O4 - HKLM\..\Run: [admice] C:\CYBERS~1\OPTICA~1\ad_exec.exe
O4 - HKLM\..\Run: [mps] C:\WINDOWS\SYSTEM\mps.exe /s

O4 - HKLM\..\Run: [sncntr] c:\windows\system\sncntr.exe /nocomm

O4 - Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O16 - DPF: {9B4AA442-9EBF-11D5-8C11-0050DA4957F5} - http://www.cavello.com/dialxs/plugins/d/133/141/nl.exe

Hoi marvel400,

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start dan opnieuw op en verwijder:
c:\windows\system\sncntr.exe
C:\Program Files\QuickPage <= de hele map

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door Forza Utreg


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?hkcu

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default-homepage-network.com/start.cgi?hklm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?hklm

O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

Hoi Forza Utreg,

Bovenstaande laten fixen met alle verkenner en IE-vensters dicht.

Dan opnieuw opstarten en linea recta naar Windows update.

Groetjes,

Pieter