Helpmij tegen spyware offensief (deel 3)

Status
Niet open voor verdere reacties.
Geplaatst door AKrale
Dank je Pieter ik ben de LSP al kwijt
Klik om te vergroten...

Mooi zo. Ik hoop dat dat alles was wat je van L2M/Zestyfind had.
In je log is in elk geval niets meer te vinden, maar dat zegt niets in dit geval.

Groetjes,

Pieter
 
begrijk ik het goed dat ik deze
O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\svchost.exe

moet verwijderen, zo niet dan snap ik je antwoord niet
 
Geplaatst door AKrale
begrijk ik het goed dat ik deze
O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\svchost.exe

moet verwijderen, zo niet dan snap ik je antwoord niet
Klik om te vergroten...

Even goed opletten voor wie de antwoorden bestemd zijn.
De vraagsteller wordt gequote en die svchost was niet voor jou bestemd.

Groetjes,

Pieter
 
Geplaatst door Pieter Arntz


Hoi marianneke,

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Download and run http://www.spywareinfo.com/~merijn/files/CWShredder.exe
Gebruik de Fix knop en let goed op de aanwijzingen.

Start daarna opnieuw op in veilige modus en verwijder:
C:\WINDOWS\svchost.exe <= LET OP, alleen die niet deze C:\WINDOWS\system32\svchost.exe (dat is de echte)

Groetjes,

Pieter
Klik om te vergroten...

Pieter, ik heb bovenstaande precies uitgevoerd, maar heb nu een nieuw probleem:

Na Hijack-fix heb ik dat gedownloade progje laten werken. Faf aan dat systeem schoon is.

Daarna wil ik afsluiten, maar krijg deze melding:
"navapsvc.exe toepassingsfout.
De instructie op 0x0040a31e verwijst naar geheugen op 0x00000000. De lees- of schrijfbewerking ("read") op het geheugen is mislukt".

Heb resetknop gebruikt, op laten starten in veilige modus, maar het genoemde bestand was al verwijderd.
Kon in veilige modus wel opnieuw afsluiten/opstarten. Heb wederom geprobeerd (paar keer) om gewoon af te sluiten, maar krijg nu steeds deze melding en pc loopt dan volledig vast.

Wat nu te doen?
 
Geplaatst door marianneke

Daarna wil ik afsluiten, maar krijg deze melding:
"navapsvc.exe toepassingsfout.
De instructie op 0x0040a31e verwijst naar geheugen op 0x00000000. De lees- of schrijfbewerking ("read") op het geheugen is mislukt".
Klik om te vergroten...

Hoi marianneke,

Norton in veilige modus in Configuratiescherm > Software verwijderen en dan opnieuw installeren?

Ik heb er niks aan veranderd, maar misschien het virus wel.

Groetjes,

Pieter
 
Geplaatst door Pieter Arntz


Hoi janky,

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op in veilige modus en verwijder:
C:\Program Files\UPSIZE~1 <= de hele map met het bestand Online keep.exe er in

Groetjes,

Pieter
Klik om te vergroten...

Dit was 'm idd Pieter, bedankt voor je hulp.

Groeten Janky.
 
Re: Re: Re Roimoi

Geplaatst door Pieter Arntz


Hoi Aaifeedee,

Ik zie niets dat actief is, dus als SpySweeper werkelijk iets vindt van roimoi, dan zou het dat zonder problemen moeten kunnen verwijderen.
Al een second opinion geprobeerd met AdAware of Spybot?

[EDIT] Toch nog iets gevonden:
O16 - DPF: {4B10EA60-5228-4D39-BA29-0299EE0807AC} - http://www.cursorzone.com/cursors/Bee_setup_td035.cab

maar dat is KeenValue en geen Roimoi[/EDIT]

Groetjes,

Pieter
Klik om te vergroten...

Hallo Pieter,
Alleen SpySweeper geeft keer op keer aan dat het gegevens van Roimoi heeft gevonden. Alle andere programma's (Adaware, Norton, Tuneup Utilities) hebben niets gevonden. Zou het een foutje van SpySweeper zijn dan?

Groetjes, Aai
 
Geplaatst door Pieter Arntz


Hoi marianneke,

Norton in veilige modus in Configuratiescherm > Software verwijderen en dan opnieuw installeren?

Ik heb er niks aan veranderd, maar misschien het virus wel.

Groetjes,

Pieter
Klik om te vergroten...

Je meent het... had ik een virus??!!

Waarom heeft NAV2004 daar dan geen melding van gegeven?

Overigens ben ik inderdaad van die melding nu af.
 
Geplaatst door marianneke

Waarom heeft NAV2004 daar dan geen melding van gegeven?
Klik om te vergroten...

Blijkbaar omdat het virus NAV had uitgeschakeld. Zolang het virus actief was merkte je daar niks van, maar zodra we het virus verwijderden, kreeg je een foutmelding.

Groetjes,

Pieter
 
Re: Re: Re: Re: Re Roimoi

Geplaatst door Pieter Arntz


Dat denk ik wel.

Groetjes,

Pieter
Klik om te vergroten...

Mmm, beetje vreemd, maar zullen we maar vanuit gaan dan! Heel erg bedankt voor je hulp :)

Groetjes, Aai :thumb:
 
Geplaatst door Pieter Arntz


En staat die System map ook in de Windows map?
Want dat is normaal. Maar als er eentje in de C: staat, dan zou die dat gedrag kunnen veroorzaken.

Groetjes,

Pieter
Klik om te vergroten...

Die map System staat ook in de Windows map...

Groetjes,
Raisa
 
Re: Re: Re: Re: Re: Re Roimoi

Geplaatst door Aaifeedee


Mmm, beetje vreemd, maar zullen we maar vanuit gaan dan! Heel erg bedankt voor je hulp :)

Groetjes, Aai :thumb:
Klik om te vergroten...

Je kunt altijd contact opnemen met Webroot daarover.

Groetjes,

Pieter
 
hijackthis log vervelende searchbar

Hallo,
Ik heb een vervelende search bar die maar niet weg wil :( " view memo glue " is het genaamd in beeld; werkbalken

ik heb gescand met adaware , dan deze hijackthislog :
Logfile of HijackThis v1.97.7
Scan saved at 18:24:22, on 25-4-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\gearsec.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Norton Internet Security\NISSERV.EXE
C:\Program Files\Norton Internet Security\SymProxySvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\Norton Internet Security\IAMAPP.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\PROGRA~1\TRANSF~1\tons active city.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\program files\steam\steam.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\E-Color\Common\IconMgr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\E-Color\E-Color Indicator\TICIcon.exe
C:\Program Files\Norton Internet Security\ATRACK.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SysAI\SysAI.exe
C:\Documents and Settings\rasper\Local Settings\Temporary Internet Files\Content.IE5\NJLVBP0W\HijackThis[1].exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {01C5BF6C-E699-4CD7-BEA1-786FA05C83AB} - C:\Program Files\SysAI\AproposPlugin.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A66AF0DF-79E7-4339-3270-021768F7365F} - C:\PROGRA~1\AUDIOF~1\dumbone.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: LBBHO - {EFD84954-6B46-42f4-81F3-94CE9A77052D} - C:\WINDOWS\lbbho.dll
O3 - Toolbar: View memo glue - {0A0B4126-EAE9-B57C-2E8A-91D9D789E043} - C:\PROGRA~1\AUDIOF~1\dumbone.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [wma ref] C:\PROGRA~1\TRANSF~1\tons active city.exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [websx] C:\Program Files\websx\int304946.exe -auto
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: E-Color.lnk = C:\Program Files\E-Color\Common\IconMgr.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {0191ABF4-9421-435E-9FFD-CD827A2A82D8} (SBITAX7Ctrl Class) - http://ultimateplugin.com/tl7000.dll
O16 - DPF: {7589EEE6-E336-11D4-8A7E-EE1D971D9B47} (AcontiX Control) - http://secure.aconti.net/acontix/goodthinxx.cab
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

alvast bedankt!!! ik wil dus die domme searchbar voorgoed weg :p
 
Geplaatst door Pieter Arntz


Blijkbaar omdat het virus NAV had uitgeschakeld. Zolang het virus actief was merkte je daar niks van, maar zodra we het virus verwijderden, kreeg je een foutmelding.

Groetjes,

Pieter
Klik om te vergroten...

oké Pieter,

weer heel erg bedankt!
 
Re: hijackthis log vervelende searchbar

Geplaatst door rsp


O2 - BHO: (no name) - {01C5BF6C-E699-4CD7-BEA1-786FA05C83AB} - C:\Program Files\SysAI\AproposPlugin.dll

O2 - BHO: (no name) - {A66AF0DF-79E7-4339-3270-021768F7365F} - C:\PROGRA~1\AUDIOF~1\dumbone.dll

O2 - BHO: LBBHO - {EFD84954-6B46-42f4-81F3-94CE9A77052D} - C:\WINDOWS\lbbho.dll
O3 - Toolbar: View memo glue - {0A0B4126-EAE9-B57C-2E8A-91D9D789E043} - C:\PROGRA~1\AUDIOF~1\dumbone.dll

O4 - HKLM\..\Run: [wma ref] C:\PROGRA~1\TRANSF~1\tons active city.exe

O4 - HKLM\..\Run: [websx] C:\Program Files\websx\int304946.exe -auto

O16 - DPF: {0191ABF4-9421-435E-9FFD-CD827A2A82D8} (SBITAX7Ctrl Class) - http://ultimateplugin.com/tl7000.dll
O16 - DPF: {7589EEE6-E336-11D4-8A7E-EE1D971D9B47} (AcontiX Control) - http://secure.aconti.net/acontix/goodthinxx.cab
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
Klik om te vergroten...

Hoi rsp,

Voor je begint wil ik je aanraden om HijackThis naar een aparte map uit te pakken. Het programma maakt backups in de map waar het staat en
zoals jij het nu draait gaat dat niet.

Vink dan de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op in veilige modus en verwijder:
C:\Program Files\SysAI <= de hele map
C:\Program Files\AUDIOF~1 <= de hele map met het bestand dumbone.dll er in
C:\Program Files\TRANSF~1 <= de hele map met het bestand tons active city.exe er in
C:\Program Files\websx <= de hele map

En neem hier eens een kijkje:
http://home.planet.nl/~kleyn080/Spywareinfonl.html

Groetjes,

Pieter
 
Re: Re: probleem startpagina

Geplaatst door Pieter Arntz


Hoi ellisvertellis,

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op in veilige modus en verwijder:
C:\Program Files\QuickPage <= de hele map
C:\WINDOWS\System32\ls.exe

En kun je me vertellen of je deze software ooit geinstalleerd hebt (gehad):
http://www.mybestsoft.com/iesec/index.html
Deze hoort daarbij, maar klopt niet helemaal met wat je zou verwachten, dus dat maakt me een beetje achterdochtig.
O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\WINDOWS\system32\IEHelper.dll

Groetjes,

Pieter
Klik om te vergroten...
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan