Helpmij tegen spyware offensief (deel 2)

[Pieter Arntz]

Geplaatst door Pascal1234

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe ***
O4 - HKLM\..\Run: [LiveNote] livenote.exe ***
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime ***
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE ***
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe" ***

O4 - Startup: PowerReg Scheduler.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe ***
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE ***

Hoi Pascal1234,

Bovenstaande kun je allemaal uitzetten. Die met de drie sterretjes erachter zijn onnodig.
Maar het lijkt me wel aan te raden om Windows Update te doen, dat lijkt me een snellere oplossing.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door piepoeh

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {3DC3DB90-C111-470D-89E5-4A0A5C49D9E1} - C:\WINDOWS\cuOS6.dll

O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [STDSB] C:\WINDOWS\System32\STDSB.exe
O4 - HKLM\..\Run: [WL] C:\WINDOWS\System32\WL.exe

O4 - HKLM\..\Run: [ClickMe] C:\apps\ClickMe\ClickMe.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe ***

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot ***
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP ***
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime ***

O4 - HKLM\..\Run: [jiRI4v] C:\WINDOWS\v3e66E2x2.exe
O4 - HKLM\..\Run: [EasyDates_nl] C:\Program Files\GMSoft\Dialers\EasyDates_nl\EasyDates_nl.exe /dontdial

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe ***
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE ***

O16 - DPF: {65B818E1-F4D8-4F96-A1DF-35F3D1C86194} (limmyloding.limmyform) - http://bins.roings.com/crack.cab

Hoi piepoeh,

Unzip hijackthis.exe eerst naar een aparte map. Het programma maakt backups in de map waar de .exe zich bevindt. In een Temp map verdwijnen die nogal gemakkelijk.

Na het fixen van het bovenstaande, start je opnieuw op en verwijdert:
C:\Program Files\GMSoft <= de hele map
C:\WINDOWS\v3e66E2x2.exe
C:\WINDOWS\cuOS6.dll <= indien nog aanwezig

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door Jan18
Hierbij mijn logfile:

met mcafee virusscan gedaan, net nog bridge.dll in quarantaine gezet.
adware gedraaid en zaken verwijderd
spybot vond niets meer.

Mijn pc heeft sinds gisteren kuren. Ik heb overigens niets extra's geinstalleerd. Wat het probleem is is het volgende:
Wanneer ik pc afsluit via knop pc of via start, pc afsluiten dan komt hij in een scherm dat rundl32.exe afgesloten moet worden, je kunt voor beeindigen kiezen of wachten totdat balkje volgelopen is en dan annuleren kizen, dan kan je weer verder werken. Dit hoort niet volgens mij. Vandaar dat ik hier log aanlever om kenners er eens naar te laten kijken.

Hoi Jan18,

Vink deze aan, klik op Fix checked
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
en start opnieuw op.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door sweetalice

Lees svp het eerste bericht in dit topic nog eens door.

De laatste versie van HijackThis is 1.97.7 en o.a. hier verkrijgbaar http://www.majorgeeks.com/downloads31.html
Waar je ook AdAware en Spybot S&D zult aantreffen die beide hartstikke goed in staat zijn om New.Net wel te verwijderen, plus nog wat andere rommel die je hebt geinstalleerd.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door frans.hofman

Logfile of HijackThis v1.97.2

C:\DOCUME~1\Kirsten\LOCALS~1\Temp\HijackThis.exe

O2 - BHO: (no name) - {1A355B96-C53F-DDFF-D1C2-39E2E9419E47} - C:\PROGRA~1\CORNSK~1\bibblah.dll

O3 - Toolbar: (no name) - {0A9FF93C-66E7-2657-000E-C1FF71092900} - C:\PROGRA~1\CORNSK~1\bibblah.dll

Bovenstaande bevallen me niet.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door vanschagen
Hoi pieter ik heb in het register bridge.dll link verwijderd ik denk dat het probleem nu opgelost is .
Bedankt.

Mooi zo. :thumb:

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door Sockslayer

O2 - BHO: (no name) - {099B9C9B-5230-7857-3786-2900E7DE2927} - C:\PROGRA~1\IDLESE~1\CAKE PROXY.dll

O3 - Toolbar: PlusStore - {8B67B03E-23F6-2382-B591-76C78430B6F3} - C:\PROGRA~1\IDLESE~1\CAKE PROXY.dll

O4 - HKLM\..\Run: [CFIL] C:\WINDOWS\CFIL.exe

O4 - HKLM\..\Run: [Defy List] C:\PROGRA~1\Third license\bendboldbias.exe

O16 - DPF: {DC187740-46A9-11D5-A815-00B0D0428C0C} - http://www.pcpowerscan.com/pcpowerscan.cab

Hoi Sockslayer,

Mededeling van huishoudelijke aard. Je hebt HijackThis.exe op je bureablad staan en daar komen ook alle backups terecht. Beter om het even in een aparte map te zetten.

Vink dan de bovenstaande zaken aan, sluit alle vensters behalve HIjackThis en klik op Fix checked.

Kijk dan in de map C:\PROGRAM FILES\Third license of je een bestand met als icoontje een geldzak ziet.
Als dat zo is dan verwijder je die hele map en de map waar het bestandje CAKE PROXY.dll in zit ook.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door MINET

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr/*http://www.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://red.clientapps.yahoo.com/customize/ie/defaults/stp/ymsgr*http://my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/06515a6300000e48c405/netzip/RdxIE601.cab
[/url]

Hoi MINET,

Wat kleinigheidjes. Vink de bovenstaande zaken aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door hangmat

O2 - BHO: (no name) -
{DE614603-6320-4046-A7A7-6A69CEC26F14} -
C:\WINDOWS\MSLAGENT\4B_1,0,0,6_MSLAGENT.DLL

O4 - HKCU\..\Run: [mslagent]
C:\WINDOWS\mslagent\MSLAGENT.EXE
O

Behalve SP1 heeft hij ook ergens MagicControl vandaan gehaald.
Verplaats hijackthis.exe eerst naar een aparte map. Het programma maakt backups in de map waar de .exe zich bevindt. In een Temp map verdwijnen die nogal gemakkelijk.

Vink dan de bovenstaande zaken aan, sluit alle vensters behalve HijackThis en klik op Fix checked.
Start dan opnieuw op en verwijder:
C:\WINDOWS\MSLAGENT <= de hele map

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door okijoki

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchbar.linksummary.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.linksummary.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.linksummary.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.linksummary.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.linksummary.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://searchbar.linksummary.com/
F1 - win.ini: load=D:\INSTALL.EXE

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAM FILES\MYWAY\MYBAR\1.BIN\MYBAR.DLL

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAM FILES\MYWAY\MYBAR\1.BIN\MYBAR.DLL

O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

Hoi Okijoki,

Backups van HijackThis komen op bureablad.

Vink dan de bovenstaande zaken aan, sluit alle vensters behalve HijackThis en klik op Fix checked.
Start dan opnieuw op en verwijder:
C:\PROGRAM FILES\MYWAY <= de hele map
en verwijder P2P Networking in Configuratiescherm > Software

Groetjes,

Pieter

 

[Pieter Arntz]

Re: logfile

Geplaatst door zpits

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - C:\PROGRA~1\java\bpkwb.dll <= tenzij je die Keylogger zelf geinstalleerd hebt en hem wilt houden

O4 - HKLM\..\Run: [PowerStrip] c:\program files\powerstrip\pstrip.exe

O4 - Startup: PowerReg Scheduler.exe

O16 - DPF: {AB29A544-D6B4-4E36-A1F8-D3E34FC7B00A} - http://install.wildtangent.com/bgn/...ter/install.cab

Hoi zpits,

Vink de bovenstaande zaken aan, sluit alle vensters behalve HijackThis en klik op Fix checked.
Start dan opnieuw op en verwijder:
c:\program files\powerstrip <= de hele map

Groetjes,

Pieter

 

[Pieter Arntz]

Re: is het nu goed?

Geplaatst door lies81

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup

Hoi lies81,

Vink de bovenstaande zaken aan, sluit alle vensters behalve HijackThis en klik op Fix checked.
Start dan opnieuw op en verwijder:
c:\program files\NEWDOTNET <= de hele map, indien aanwezig

Je versie van Internet Explorer is hopeloos verouderd.
Ik zou je dringend willen aanraden om IE6 SP1 te installeren.

Groetjes,

Pieter

 

[Jan18]

Pieter, hartelijk bedankt voor je oplossing. Probleem is opgelost zover ik het kan beoordelen.

Toppie!!

Jan W

 

[Het Hof]

Pieter, bijgaand de logfile. Overbodige startbestanden mogen uiteraard verwijderd worden. Ik ben naar jou verwezen door het volgende probleem te melden:

http://www.helpmij.nl/forum/showthread.php?s=&postid=1019513#post1019513

Ik verneem graag van je of het probleem door spyware wordt veroorzaakt!

 

[megarainman]

Geplaatst door Het Hof
Megarainman,

Dit staat in de spelregels van deze thread:

post geen log als er nog een onbeantwoord staat (anders slijt het scrollwiel te hard en bestaat de kans op verwarring). Heb even geduld als dat wat langer duurt. Er stonden zojuist 11 onbeantwoordde logs achter elkaar!


Je zat er wel overheen hebben gelezen, maar wil je mij vooralsnog onderaan laten staan?

Ok, geen enkel probleem Het Hof, bericht is verwijderd en wordt er op een ander tijdstip terug op geplaatst...

Sorry, maar soms is het moeilijk te volgen om te zien of een log al afgehandeld is...

 

[Het Hof]

Ik ging uiteraard ook niet uit van kwade wil. Met dit antwoord sta ik weer onderste.

 

[Eagle Creek]

Als je even terugkijkt zie je dat er 11 onbeantwoordde logs achter elkaar stonden.
Dus het niet goed lezen van het eerste bericht is niet iets wat jou alleen overkomt .

 

[Het Hof]

Maar als er steeds via het forum wordt gereageerd blijf ik nooit onderste Dan maar liever via een PM.

 

[Eagle Creek]

Geplaatst door Het Hof
Maar als er steeds via het forum wordt gereageerd blijf ik nooit onderste Dan maar liever via een PM.

Pieter ziet vanzelf wel wie er nog moet en/of niet hoor, als je PM's gaat sturen kan het juist voor verwarring sturen (buitendat kan je geen PM sturen als je zelf geen verenigingslid bent).

 

[Het Hof]

Ik heb begrepen, dat ik onderstaande moet blijven om mijn vraag beantwoord te krijgen of althans het voor Pieter overzichtelijker te houden. Dus maar dit berichtje.