Helpmij tegen spyware offensief (deel 3)

[Pieter Arntz]

Ik hoop het ik zie nu niks dat hem terug zou kunnen zetten.

Probeer het bestand eens te verwijderen:
C:\WINDOWS\System32\ohdoilb.dll
Nog niet opnieuw opstarten als dat niet lukt.

Groetjes,

Pieter

 

[ellenmeisje]

en nu staat het er weer tussen


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ohdoilb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ohdoilb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

ik heb dit weer gefixed en kon toen het bestand in de prullenbak gooien, nu maar weer afwachten

 

[Pieter Arntz]

Geplaatst door ellenmeisje
en nu staat het er weer tussen


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ohdoilb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ohdoilb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

Wat heb je in de tussentijd gedaan?

Groetjes,

Pieter

 

[ellenmeisje]

ik ben op mijn website bezig en dan komt ineens die waarschuwing weer
alles is weer gefixed en het bestand is verwijderd.
nu maar afwachten

 

[Pieter Arntz]

Geplaatst door ellenmeisje
ik ben op mijn website bezig en dan komt ineens die waarschuwing weer
alles is weer gefixed en het bestand is verwijderd.
nu maar afwachten

OK, hou ook even in de gaten of er een patroon in zit.
Om de zoveel tijd of als je een bepaald programma gebruikt of misschien als je een bepaald soort bestand opent. Kan van alles zijn.

Hij lijkt precies hetzelfde als de variant die we gisteren gevonden hebben, maar blijkbaar is er toch weer iets anders aan.

Groetjes,

Pieter

 

[ellenmeisje]

oke, in ieder geval hartelijk bedankt voor de moeite
groetjes,
Ellen

 

[Pieter Arntz]

Hoi ellenmeisje,

Kun je eens kijken of je een bestand met de naam mtwirl.dll kunt vinden?

Groetjes,

Pieter

 

[Önder]

Dit is van een vriend omdat hij niet op internet kon heb ik voor hem gedaan.

Logfile of HijackThis v1.97.7
Scan saved at 14:41:50, on 8-4-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\KMaestro\KMaestro.exe
C:\Program Files\KMaestro\WTS_KEY.EXE
C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\progra~1\steam\steam.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Kazaa Lite K++\KazaaLite.kpp
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Kaan\Mijn documenten\Mijn ontvangen bestanden\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Webflits
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: {6596829B-37D4-40ad-971B-1E9041725C52} - {29F7B7FA-ADC8-48ea-9E1C-EA87A05AE642} - C:\WINDOWS\System32\sbb.dll
O2 - BHO: (no name) - {7CFB9855-DF6F-43A5-0891-5DEECA39D47A} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BtcMaestro] C:\Program Files\KMaestro\KMaestro.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKCU\..\Run: [Steam] "c:\progra~1\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKLM\..\RunOnce: [Ad-aware] "C:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe" "+b1"
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Onderzoek (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)

 

[ellenmeisje]

Geplaatst door Pieter Arntz
Hoi ellenmeisje,

Kun je eens kijken of je een bestand met de naam mtwirl.dll kunt vinden?

Groetjes,

Pieter

geen mtwirl.dll, hij kwam nu weer tevoorschijn als jgpk.dll en dat bestand was net gemaakt dus er zit nog iets wat het maakt
Deze kreeg ik na een emailvirus waarschuwing van Norton, die waarschuwingen krijg ik regelmatig.

groeten,
Ellen

 

[Pieter Arntz]

Geplaatst door Önder

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: {6596829B-37D4-40ad-971B-1E9041725C52} - {29F7B7FA-ADC8-48ea-9E1C-EA87A05AE642} - C:\WINDOWS\System32\sbb.dll
O2 - BHO: (no name) - {7CFB9855-DF6F-43A5-0891-5DEECA39D47A} - (no file)

Hoi Önder,

Vink de bovenstaande aan in HijackThis, sluit alle vensters behalve HijackThis en klik dan op Fix checked.

Kun je dan eens dit bestand opzoeken en naar mij sturen (als dat lukt) C:\WINDOWS\System32\sbb.dll
Als je het niet kunt sturen, rechtsklik er dan op en laat me even weten of je onder eigenschappen > versie tabblad iets wijzer wordt.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door ellenmeisje


geen mtwirl.dll, hij kwam nu weer tevoorschijn als jgpk.dll en dat bestand was net gemaakt dus er zit nog iets wat het maakt
Deze kreeg ik na een emailvirus waarschuwing van Norton, die waarschuwingen krijg ik regelmatig.

groeten,
Ellen

Kun je eens kijken of er bestanden gelijktijdig met jgpk.dll aangemaakt zijn?

Groetjes,

Pieter

 

[ellenmeisje]

de nieuwste kwam om 16.33 en heet mhnjela.dll
om die tijd is er verder niets nieuws gemaakt
deze kwam zomaar terwijl ik niets deed

groeten,
ellen

 

[Pieter Arntz]

Geplaatst door ellenmeisje
de nieuwste kwam om 16.33 en heet mhnjela.dll
om die tijd is er verder niets nieuws gemaakt
deze kwam zomaar terwijl ik niets deed

groeten,
ellen

Download en run Whats Happening van http://www.turboware.com/WhatsHappening.htm
Draai het programma en selecteer iexplore.exe
Klik op Edit > Copy branch to clipboard
Plak dan het resultaat in je volgende post.

Groetjes,

Pieter

 

[ellenmeisje]

IEXPLORE staat er 2 keer in, klopt dat?


IEXPLORE.EXE
IEXPLORE.EXE (C:\Program Files\Internet Explorer)
<>
ntdll.dll (C:\WINDOWS\System32)
<>
msvcrt.dll (C:\WINDOWS\system32)
<Microsoft Corporation-Microsoft® Windows® Operating System-7.0.2600.1106>
ADVAPI32.dll (C:\WINDOWS\system32)
<>
RPCRT4.dll (C:\WINDOWS\system32)
<Microsoft Corporation-Microsoft® Windows® Operating System-5.1.2600.1254>
SHLWAPI.dll (C:\WINDOWS\system32)
<>
SHDOCVW.dll (C:\WINDOWS\System32)
<>
comctl32.dll (C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805)
<Microsoft Corporation-Microsoft® Windows® Operating System-6.00.2800.1106>
SHELL32.dll (C:\WINDOWS\system32)
<>
comctl32.dll (C:\WINDOWS\system32)
<Microsoft Corporation-Microsoft® Windows® Operating System-6.00.2800.1106>
ole32.dll (C:\WINDOWS\system32)
<>
uxtheme.dll (C:\WINDOWS\System32)
<>
MsgPlusH.dll (C:\Program Files\Messenger Plus! 2)
<>
comdlg32.dll (C:\WINDOWS\system32)
<>
OLEAUT32.dll (C:\WINDOWS\system32)
<Microsoft Corporation-Microsoft OLE 3.50 for Windows NT(TM) and Windows 95(TM) Operating Systems-3.50.5016.0>
BROWSEUI.dll (C:\WINDOWS\System32)
<>
browselc.dll (C:\WINDOWS\System32)
<>
appHelp.dll (C:\WINDOWS\system32)
<Microsoft Corporation-Microsoft® Windows® Operating System-5.1.2600.1106>
CLBCATQ.DLL (C:\WINDOWS\System32)
<Microsoft Corporation-COM Services-03.00.00.4414>
COMRes.dll (C:\WINDOWS\System32)
<>
VERSION.dll (C:\WINDOWS\system32)
<Microsoft Corporation-Microsoft® Windows® Operating System-5.1.2600.0>
WININET.dll (C:\WINDOWS\system32)
<>
CRYPT32.dll (C:\WINDOWS\system32)
<>
MSASN1.dll (C:\WINDOWS\system32)
<Microsoft Corporation-Microsoft® Windows® Operating System-5.1.2600.1274>
Secur32.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Windows® Operating System-5.1.2600.1106>
SETUPAPI.dll (C:\WINDOWS\System32)
<>
NISShExt.dll (C:\Program Files\Common Files\Symantec Shared\AdBlocking)
<Symantec Corporation-Norton Internet Security-7.0>
shdoclc.dll (C:\WINDOWS\System32)
<>
AcroIEHelper.ocx (C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX)
<-AcroIEHelper Module-1, 0, 0, 1>
SXS.DLL (C:\WINDOWS\System32)
<>
dlprotect.dll (C:\Program Files\SpywareGuard)
<>
MSVBVM60.DLL (C:\WINDOWS\System32)
<Microsoft Corporation-Visual Basic-6.00.9237>
NavShExt.dll (C:\Program Files\Norton SystemWorks\Norton Antivirus)
<Symantec Corporation-Norton AntiVirus-10.00.13>
ATL.DLL (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft (R) Visual C++-6.00.9435>
MSVCP70.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Visual Studio .NET-7.00.9466.0>
MSVCR70.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Visual Studio .NET-7.00.9466.0>
urlmon.dll (C:\WINDOWS\system32)
<>
mlang.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Windows® Operating System-6.00.2600.0000>
RASAPI32.dll (C:\WINDOWS\System32)
<>
rasman.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Windows® Operating System-5.1.2600.1106>
WS2_32.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Windows® Operating System-5.1.2600.0>
WS2HELP.dll (C:\WINDOWS\System32)
<>
NETAPI32.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Windows® Operating System-5.1.2600.1106>
TAPI32.dll (C:\WINDOWS\System32)
<>
rtutils.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Windows® Operating System-5.1.2600.0>
WINMM.dll (C:\WINDOWS\System32)
<>
wsock32.dll (C:\WINDOWS\System32)
<>
mswsock.dll (C:\WINDOWS\system32)
<>
wshtcpip.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Windows® Operating System-5.1.2600.0>
sensapi.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Windows® Operating System-5.1.2600.1106>
USERENV.dll (C:\WINDOWS\system32)
<>
DNSAPI.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Windows® Operating System-5.1.2600.1106>
winrnr.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Windows® Operating System-5.1.2600.0>
WLDAP32.dll (C:\WINDOWS\system32)
<>
msi.dll (C:\WINDOWS\System32)
<>
rasadhlp.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Windows® Operating System-5.1.2600.0>
iphlpapi.dll (C:\WINDOWS\System32)
<>
mshtml.dll (C:\WINDOWS\System32)
<>
IMM32.DLL (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Windows® Operating System-5.1.2600.1106>
msohev.dll (C:\Program Files\Microsoft Office\Office10)
<Microsoft Corporation-Microsoft Office XP-10.0.2609>
scrauth.dll (C:\Program Files\Common Files\Symantec Shared\Script Blocking)
<Symantec Corporation-Symantec ScriptBlocking-1, 1, 1, 131>
ScrBlock.dll (C:\Program Files\Common Files\Symantec Shared\Script Blocking)
<Symantec Corporation-Symantec ScriptBlocking-1, 1, 1, 131>
wintrust.dll (C:\WINDOWS\System32)
<>
IMAGEHLP.dll (C:\WINDOWS\system32)
<Microsoft Corporation-Microsoft® Windows® Operating System-5.1.2600.1106>
rsaenh.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Windows® Operating System-5.1.2600.1029>
jscript.dll (c:\windows\system32)
<Microsoft Corporation-Microsoft (r) JScript-5.6.0.8513>
OLEACC.dll (C:\WINDOWS\System32)
<>
MSVCP60.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft (R) Visual C++-6.00.8972.0>
PPBHO.dll (C:\Program Files\Norton SystemWorks\Password Manager)
<Symantec Corporation-Norton Password Manager-2004.1.127>
msxml4.dll (C:\WINDOWS\System32)
<>
MSLS31.DLL (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Line Services-3.10>
wdmaud.drv (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Windows® Operating System-5.1.2600.0>
msacm32.drv (C:\WINDOWS\System32)
<>
MSACM32.dll (C:\WINDOWS\System32)
<>
midimap.dll (C:\WINDOWS\System32)
<>
PPUI.DLL (C:\Program Files\Norton SystemWorks\Password Manager)
<Symantec Corporation-Norton Password Manager-2004.1.127>
MFC70.DLL (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Visual Studio .NET-7.00.9466.0>
RICHED20.DLL (C:\WINDOWS\System32)
<>
GDIPLUS.DLL (C:\Program Files\Norton SystemWorks\Password Manager)
<Microsoft Corporation-Microsoft® Windows® Operating System-5.1.3097.0>
PPRES.DLL (C:\Program Files\Norton SystemWorks\Password Manager)
<Symantec Corporation-Norton Password Manager-2004.1.127>
gdiplus.dll (C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.10.0_x-ww_712befd8)
<Microsoft Corporation-Microsoft® Windows® Operating System-5.1.3101.0>
PPW32EVT.dll (C:\Program Files\Norton SystemWorks\Password Manager)
<Symantec Corporation-Norton Password Manager-2004.1.127>
imgutil.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Windows® Operating System-6.00.2800.1106>
actxprxy.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Windows® Operating System-6.00.2600.0000>
dxtrans.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Windows® Operating System-6.00.2800.1106>
ddrawex.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Windows® Operating System-5.3.0000000.900>
DDRAW.dll (C:\WINDOWS\System32)
<>
DCIMAN32.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Windows® Operating System-5.1.2600.0>
dxtmsft.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Windows® Operating System-6.00.2800.1106>
schannel.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Windows® Operating System-5.1.2600.1106>
dssenh.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Windows® Operating System-5.1.2600.1029>
vbscript.dll (c:\windows\system32)
<Microsoft Corporation-Microsoft (r) VBScript-5.6.0.7426>
mshtmled.dll (C:\WINDOWS\System32)
<>
Flash.ocx (C:\WINDOWS\System32\macromed\flash)
<Macromedia, Inc.-Shockwave Flash-7,0,14,0>
inetcomm.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Windows® Operating System-6.00.2800.1165>
MSOERT2.dll (C:\WINDOWS\System32)
<Microsoft Corporation-Microsoft® Windows® Operating System-6.00.2800.1123>
inetres.dll (C:\WINDOWS\System32)
<>
plugin.ocx (C:\WINDOWS\System32)
<>
ntshrui.dll (C:\WINDOWS\System32)
<>

groeten,
Ellen

 

[Önder]

Geplaatst door Pieter Arntz


Hoi Önder,

Vink de bovenstaande aan in HijackThis, sluit alle vensters behalve HijackThis en klik dan op Fix checked.

Kun je dan eens dit bestand opzoeken en naar mij sturen (als dat lukt) C:\WINDOWS\System32\sbb.dll
Als je het niet kunt sturen, rechtsklik er dan op en laat me even weten of je onder eigenschappen > versie tabblad iets wijzer wordt.

Groetjes,

Pieter

Ik zal het aan mijn vriend vragen of hij het wilt doorsturen.

Groetjes Önder

 

[moryana]

Geplaatst door Pieter Arntz


Hoi moryana,

Alleen het nieuwste is goed genoeg voor jou, hè ?

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op en verwijder:
C:\WINDOWS\System32\toolbar.dll

Kopieer en plak daarna het vetgedrukte hieronder in kladblok:

REGEDIT4

[-HKEY_CURRENT_USER\Software\iSearch]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"SpecifyDefaultButtons"=dword:00000000
"Btn_Search"=dword:00000000
"NoBandCustomize"=dword:00000000
"NoToolbarCustomize"=dword:00000000

Sla het bestand op als tbrep.reg, sluit alle IE vensters en dubbelklik daarna op het bestand dat je gemaakt hebt en klik OK op de vraag of je het aan het register wilt toevoegen.

Zoek dan het bestand C:\WINDOWS\system32\drivers\etc\hosts
Open het in kladblok en verwijder de regels

127.0.0.0 localhost
tot en met
127.0.0.99 www.spyware.co.uk

Klik dan op bestand > opslaan

Groetjes,

Pieter

Dank je :thumb: mijn internet doet het weer goed, en mijn adres balk is er weer. Maakt het internetten wel veel makkelijker Nou moet ik er alleen nog voor zorgen dat mijn broer er geen rotzooi meer op gooit, nog suggesties *lol*

 

[TorukMakto]

Hoi Pieter. Zou je dit log willen checken?
Bij voorbaat dank.

Gescant met Ad-aware 6.181
Ref:bestand 01r280 07.04.2004
Gescant met Nod32.

Logfile of HijackThis v1.97.7
Scan saved at 18:39:11, on 8-4-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\INTERV~1\WinDVR\WINSCH~1.EXE
C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\x10nets.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Documents and Settings\Slaats\Mijn documenten\HT-Log\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.home.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.standbyservice.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.standbyservice.nl/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [WINSCHEDULER] C:\PROGRA~1\INTERV~1\WinDVR\WINSCH~1.EXE
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Common Files\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Works Agenda-herinneringen.lnk = ?
O10 - Broken Internet access because of LSP provider 'imon.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.standbyservice.nl
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38083.4910416667
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

[Robin Hood]

Spyware verwijderen

ROBIN

Beste Pieter,

Gaarne jouw advies wat ik mag verwijderen en eventuele overbodige opstartitems.

bvd

HEB MET AD-AWARE GESCAND

Logfile of HijackThis v1.97.7
Scan saved at 20:40:59, on 8-4-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\apps\ABoard\AOSD.exe
C:\WINDOWS\Snelkiezer.exe
C:\WINDOWS\kdx\KHost.exe
C:\PROGRA~1\Eq Safe Book\BlehSign.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\mslagent\mslagent.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\wincmd\WINCMD32.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
c:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://omegasearch.com/passthrough/index.html?http://about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.startkabel.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {89CA09C4-863B-88EF-33FE-AC232A0515B1} - C:\PROGRA~1\CASHHT~1\MIX INTER.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {DE614603-6320-4046-A7A7-6A69CEC26F14} - C:\WINDOWS\mslagent\4b_1,0,0,8_mslagent.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Snelkiezer] C:\WINDOWS\Snelkiezer_.exe /quiet
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Stopreal] C:\PROGRA~1\Eq Safe Book\BlehSign.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMLIB_1034.dll,InstantAccess
O4 - HKCU\..\Run: [mslagent] C:\WINDOWS\mslagent\mslagent.exe
O4 - Global Startup: Date Manager.lnk = C:\Program Files\Date Manager\DateManager.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: PrecisionTime.lnk = C:\Program Files\PrecisionTime\PrecisionTime.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_EN_XP.cab
O16 - DPF: {1D185838-009D-47C8-824B-B65B4854430E} (chelloInstall.Install) - http://quickfix2.chello.nl/quickfix2/asp/chelloInstall.CAB
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/nl/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {C58EFA10-2CC0-4C50-8C77-B326555EC1B7} (LaunchApp.clsDefault) - http://quickfix2.chello.nl/quickfix2/asp/LaunchApp.CAB
O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} (EGP2ECOM Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1007_1034_pack_XP.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab
O16 - DPF: {F588814D-1A98-4870-95A2-8068A8AF2C85} (Dialer.Class1) - http://www.ipxs.nl/php/5web.CAB

GROETJES,

ROBIN

 

[KAL EL Limited.]

Hoi, Kun je voor mij hiernaar een kijkje nemen Alsjeblieft.

Ik ben momenteel mij helemaal aan het verdiepen hoe ik dit soort dingen kan voorkomen want ik wordt er helemaal gek van.
Ik vind dit zo bijdehand, wat moeten die mensen op mijn computer, waar halenze het lef vandaan om op andermans computer zomaar dingen te installeren, en dan nog van die agressieve dingen ook.

Logfile of HijackThis v1.97.7
Scan saved at 21:35:03, on 8-4-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\soundman.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\gsicon.exe
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\ls.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\BitTorrent\btdownloadgui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Kal-El Enterprise\Bureaublad\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comicbookresources.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [MSZTCE] C:\WINDOWS\System32\MSZTCE.EXE
O4 - HKLM\..\Run: [GSICONEXE] gsicon.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [QuickZip] C:\WINDOWS\System32\ls.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Herinneringen van Microsoft Works Agenda.lnk = ?
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D73F4230-209B-45AF-B6A8-8102EE6048BA}: NameServer = 194.134.5.5 194.134.0.97

 

[master_svd]

Hoi Pieter

Zou je dit log aub na willen kijken.
Wat smriegl is weet ik niet.
Alvast bedankt.

Logfile of HijackThis v1.97.7
Scan saved at 21:39:12, on 8-4-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\carpserv.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Program Files\Pulse\Pulse.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\alg.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Documents and Settings\van Dongen\Bureaublad\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [smriegl] rundll32 C:\WINDOWS\System32:smriegl.dll,Init 1
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Pulse] C:\Program Files\Pulse\Pulse.exe -splash
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKLM\..\RunOnce: [*smriegl] rundll32 C:\WINDOWS\System32:smriegl.dll,Init 1
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Onderzoek (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab