Helpmij tegen spyware offensief (deel 4)

[CiCi]

TCash was verbonden aan C:\WINNT\sysupd.exe daar heb ik de taak van beëindigd en in de Run van de Local_Machine staat die er ook, heb die key ook al verwijderd.. maar het gekke is dat ik het bestand zelf niet kan vinden in de WINNT folder?

 

[mark83]

Hoi,

Kan een van jullie even kijken ter controle.
Adaware 6 gaf een 'POSSIBLE BROWSER HIJACK ATTEMPT'

kunnen jullie toch nog even kijken naar de HijackThis log?

Logfile of HijackThis v1.97.7
Scan saved at 12:29:03, on 25-5-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\syslaunch.exe
C:\KMaestro\Key_e.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\KMaestro\WTS_KEY.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\hoos\Mijn documenten\Mark\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.startpagina.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Onlinedirect/Portal/portal.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\System32\nzdd.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [JWOZ] C:\WINDOWS\JWOZ.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
O4 - HKLM\..\Run: [KeyMaestro] C:\KMaestro\KMaestro.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [TimeUp] C:\Program Files\TimeUp\TimeUp.exe /T
O4 - HKLM\..\Run: [SZMsgSvc.exe] C:\Documents and Settings\hoos\Mijn documenten\Mark\stopzilla\SZMsgSvc.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Outwar] C:\WINDOWS\syslaunch.exe
O4 - HKLM\..\Run: [EmailMesh] C:\Documents and Settings\hoos\Mijn documenten\Mark\emailmesh\client.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Ooms] C:\Documents and Settings\hoos\Application Data\sonh.exe
O4 - HKCU\..\Run: [NoAds] "C:\Documents and Settings\hoos\Mijn documenten\Mark\no ads\NoAds.exe"
O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RealDownload.lnk = C:\Program Files\Real\RealDownload\Realdownload.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Onderzoekscentrum (HKLM)
O9 - Extra button: ANWB (HKLM)
O9 - Extra 'Tools' menuitem: ANWB-toolbar (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hetnet.nl
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/CursorManiaInitialSetup1.0.0.8.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {68B632F6-FB2C-11D2-9AEA-DC27E1000000} - http://p2kmovie.warnerbros.com/game/downloads/P2K4AD9.exe
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://us.games2.yimg.com/download.games.yahoo.com/games/play/client/exentctl_0_0_0_1.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{330BF7C5-9E0E-41A1-8DEF-1EFA2A03FB5D}: NameServer = 194.109.6.66,194.109.9.99

 

[Pieter Arntz]

Geplaatst door CiCi
TCash was verbonden aan C:\WINNT\sysupd.exe daar heb ik de taak van beëindigd en in de Run van de Local_Machine staat die er ook, heb die key ook al verwijderd.. maar het gekke is dat ik het bestand zelf niet kan vinden in de WINNT folder?

Hij bestaat echt, want hij komt ook voor in je lijst met lopnde processen:
C:\WINNT\sysupd.exe
Waarschijnlijk is het een verborgen bestand.
In verkenner klik je op Extra > Mapopties > tabblad Weergave > daar vink je Verborgen bestanden en mappen weergeven aan.

Als je dan een nieuw verkenner venster opent zou je hem moeten kunnen vinden.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door mark83

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Onlinedirect/Portal/portal.html

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing)

O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [JWOZ] C:\WINDOWS\JWOZ.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe

O4 - HKLM\..\Run: [Outwar] C:\WINDOWS\syslaunch.exe

O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe

O4 - HKCU\..\Run: [Ooms] C:\Documents and Settings\hoos\Application Data\sonh.exe

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/CursorManiaInitialSetup1.0.0.8.cab

Hoi mark83,

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op in veilige modus en verwijder:
c:\program files\Onlinedirect <= de hele map
C:\WINDOWS\Downloaded Program Files\bridge.dll
C:\WINDOWS\sysupd.exe
C:\WINDOWS\syslaunch.exe
C:\WINDOWS\Belt.exe
C:\Documents and Settings\hoos\Application Data\sonh.exe

Groetjes,

Pieter

 

[CiCi]

Geplaatst door Pieter Arntz
Hij bestaat echt, want hij komt ook voor in je lijst met lopnde processen:
C:\WINNT\sysupd.exe
Waarschijnlijk is het een verborgen bestand.
In verkenner klik je op Extra > Mapopties > tabblad Weergave > daar vink je Verborgen bestanden en mappen weergeven aan.

Als je dan een nieuw verkenner venster opent zou je hem moeten kunnen vinden.

Groetjes,

Pieter

Yup, dat had ik al gedaan, maar hij staat er echt niet tussen.. Hij lijkt nu geen problemen te geven omdat ik na het verwijderen van de key en het taak beeindigen nog een keer heb laten scannen door HijackThis.. Hij staat er niet meer tussen ..
Maaaar een DSO Exploit is ervoor in de plaats opgedoken en die kan ik niet verwijderen omdat hij 'm repareert met Spyware, maar na nog een scan weer op lijkt te duiken.. Het pad daarvan is:

DSO Exploit: Data source object exploit (Register-verandering., nothing done)
HKEY_USERS\S-1-5-21-1095909639-1872829077-88755217-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

Thnx voor je reactie trouwens Pieter !!!

PS: Ik heb de volgende link gevonden, maar het werkt dus niet? ::: http://www.security.nl/forum/i/15637/

PS2: Nu vind ik de volgende link, 's effe bekijken .. http://forums.net-integration.net/index.php?showtopic=15308

 

[Pieter Arntz]

Die laatste link is goed voor wat betreft de Exploit meldingen van Spybot S&D.
Een valse melding die hopelijk bij de volgende update verholpen wordt.

Groetjes,

Pieter

 

[CiCi]

Dank je wel Pieter !

 

[mark83]

Pieter,
Bedankt voor je hulp maar het heeft niets geholpen..
Het probleem is...
Als ik mijn computer aan zet vraagt waarin ik wil opstarten:
- win xp
- veilige modus
- veilige modus met netwerkmogelijkheden
- laatste configuratie waarin windows nog correct werkte.

Als ik gewoon windows XP kies, duurt het nog zeker 3 minuten voordat hij helemaal klaar is met initialiseren.
Als ik dan Paint wil openen, duurt het nog eens 5 minuten voordat paint eindelijk opent.

Bij de windows taakbeheer (Ctrl + Alt + Delete) geeft hij bij processen weer:
Niet-actieve systeemprocessen '99' weer.

Ik dacht het op te kunnen lossen door gebruik te maken met HijackThis.
Niet dus.

Maar in ieder geval bedankt!!

Mark83

 

[Pieter Arntz]

Geplaatst door mark83
Pieter,
Bedankt voor je hulp maar het heeft niets geholpen..
Het probleem is...
Als ik mijn computer aan zet vraagt waarin ik wil opstarten:
- win xp
- veilige modus
- veilige modus met netwerkmogelijkheden
- laatste configuratie waarin windows nog correct werkte.

Syslaunch en Belt zijn beide aardige resource vreters. Ben je die allebei kwijt?

Doe ook eens een online virusscan bv op www.housecall.nl

En vindt het bestand boot.ini en open het in kladblok. Post de inhoud ervan eens.

Groetjes,

Pieter

 

[oeht]

Ik heb gescanned met spybot en daarna pestpatrol online scan. Daaruit blijkt dat ik een personal antispy-keylogger heb Ik heb al geprobeerd het handmatig te verwijderen met de info op hun pagina maar ik kan de bestandjes niet vinden Vandaar maar even een Hijacklog:

Logfile of HijackThis v1.97.7
Scan saved at 13:58:13, on 25-5-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\SmartDisk\FlashPath\sdstat.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Common Files\Symantec Shared\NMain.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\rsvp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Theo\Local Settings\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - C:\WINDOWS\System32\s32wb.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Program Files\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Global Startup: FlashPath Monitor.lnk = C:\Program Files\SmartDisk\FlashPath\sdstat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38097.4697685185
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab

en nou vind ik O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - C:\WINDOWS\System32\s32wb.dll (file missing)
nogal verdacht. Kan ik die weg halen? En wat eventueel nog meer?

Alvast bedankt

 

[mark83]

Pieter,

Syslaunch en Belt zijn weg.

Ik kan alleen boot.ini.backup vinden.
openen met kladblok geeft:

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect

Housecall is nu aan het scannen...

Edit:
Van Belt.exe vind ik alleen een bestandje in de map Spybot. Ik denk zelf dat ik die maar moet laten ziten.. Of niet?

Edit2:
Housecall gaf 5 trojan horses. --> verwijderd

 

[Olav]

Geplaatst door oeht
Ik heb gescanned met spybot en daarna pestpatrol online scan. Daaruit blijkt dat ik een personal antispy-keylogger heb Ik heb al geprobeerd het handmatig te verwijderen met de info op hun pagina maar ik kan de bestandjes niet vinden Vandaar maar even een Hijacklog:

O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - C:\WINDOWS\System32\s32wb.dll (file missing) nogal verdacht. Kan ik die weg halen? En wat eventueel nog meer?

Alvast bedankt

Hallo oeht,
Opzich is je log schoon, op het bovenstaande punt na zoals je zelf al was opgevallen. Opzich zal hij niets doen, omdat (zoals er al achter staat) het bestand niet gevonden wordt en dus niet bestaat. (althans niet in die directory)

Verder kan je, als je wilt, eventueel ook de volgende zaken verwijderen. Dit zijn start-ups die niet echt noodzakelijk zijn voor de computer om te kunnen opstarten.

O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Program Files\OpenOffice.org1.1.0\program\quickstart.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

Vink de bovenstaande items (in iedergeval die in de quote en eventueel die je wilt fixen van de onnodige startups) aan in Hijack This, sluit alle vensters, behalve hijack This en klik op Fix Checked.

Succes,
Olav

 

[BJB83]

Geplaatst door Olav


Hallo
Die uitleg en 2x die directory waren idd een foutje
hier alsnog de uitleg.

Ik heb je een mailtje terug gestuurd met een antwoord via mijn andere mail account.

Over die HomOldSP:
Open Hijack This nog eens en scan nogmaals.
vink deze eens aan:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank

Sluit alle schermen behalve Hijack This en klik vervolgens op Fix Checked.
Herstart daarna de PC en controleer nogmaals met Ad-aware.

Succes,
Olav

Nah het werkt blijkbaar toch niet helaas. Wanneer ik opnieuw opstart is de HomeOldSP er gewoon weer. De searchbar was in totaal ook maar een uurtje weg overigens..

Ik had dat bestand nog in m'n sentfolder staan dus Pieter heeft 'm inmiddels. Hopelijk kunnen jullie d'r wat mee en is deze onderneming toch nog zinvol geweest .

Ik stuur m'n meest recente log nog maar 's mee, maar als er echt geen hoop is negeer 't dan maar gewoon. Tijd dat ik maar 's een echt fatsoenlijke firewall aanschaf.

Niet geschoten..:

Logfile of HijackThis v1.97.7
Scan saved at 15:11:54, on 25-5-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Documents and Settings\Berend Jan\Mijn documenten\Diversen\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\npphaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\npphaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\npphaaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\npphaaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\npphaaa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\npphaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.100.225:3128
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {EB522982-99DC-45F6-B4C2-AA02B11644A0} - C:\WINDOWS\System32\npphaaa.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Microsoft Office Snelzoeken.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office Opstarten.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/7d90ae05585062/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://195.18.69.102/activex/AxisCamControl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

[Pieter Arntz]

Geplaatst door BJB83

Nah het werkt blijkbaar toch niet helaas. Wanneer ik opnieuw opstart is de HomeOldSP er gewoon weer. De searchbar was in totaal ook maar een uurtje weg overigens..

Download en unzip: http://www.rokop-security.de/main/download.php?op=getit&lid=59

Na het uitpakken start je het programma op en klik je op "Desinfektion starten" Zorg wel dat je alles al zoveel mogelijk afgesloten hebt, want je computer start vanzelf opnieuw op.

Je krijgt dan na het opstarten nog een scherm van het programma waar je de "Desinfektion abschliessen" knop kunt gebruiken om het programma af te sluiten.

Als je klaar bent CWShredder en AdAware nog eens gebruiken.

Succes,

Pieter

 

[Olav]

Geplaatst door BJB83

Nah het werkt blijkbaar toch niet helaas. Wanneer ik opnieuw opstart is de HomeOldSP er gewoon weer. De searchbar was in totaal ook maar een uurtje weg overigens..

Ik had dat bestand nog in m'n sentfolder staan dus Pieter heeft 'm inmiddels. Hopelijk kunnen jullie d'r wat mee en is deze onderneming toch nog zinvol geweest .

Ik stuur m'n meest recente log nog maar 's mee, maar als er echt geen hoop is negeer 't dan maar gewoon. Tijd dat ik maar 's een echt fatsoenlijke firewall aanschaf.

Niet geschoten..:

Helaas
Hij is idd weer terug met een dll genaamd npphaaa.dll.
Misschien dat Pieter nog tips heeft voor je, maar ben bang dat hij je ook naar dat searchx topic stuurt.

Succes,
Olav

 

[kellemen]

logfile

Logfile of HijackThis v1.97.7
Scan saved at 15:58:44, on 25-5-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\Common files\updmgr\updmgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [updmgr] C:\Program Files\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37988.2899189815
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

zit hier spyware tussen

 

[Wipneus]

Pieter hier het gevraagde.


--==***@@@ FIND-ALL' VERSION 5.2 -5/18 @@@***==--

di 25-05-2004
10:05

System Info:

Microsoft Windows XP [versie 5.1.2600]
C: "" (F870:5E9F) - FS:NTFS clusters:4k
Total: 120 023 252 992 [112G] - Free: 108 883 148 800 [101G]


*IE version and Service packs:
6.0.2800.1106 C:\Program Files\Internet Explorer\Iexplore.exe

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q330994;Q824145;Q820223;Q837009;Q832894;

*Google Toolbar version and Attributes:
2.0.111.0 C:\Program Files\google\googletoolbar2.dll
Defaults: "A" ;"R"
A R C:\Program Files\google\GoogleToolbar2.dll
Bestand niet gevonden - C:\Program Files\google\googletoolbar1.dll

*UserAgent:
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]


*Wmplayer version:
9.0.0.2980 C:\Program Files\Windows Media Player\wmplayer.exe
6.4.9.1125 C:\Program Files\Windows Media Player\mplayer2.exe

*M$Java version:


*PC uptime:
10:05am up 0 days, 0:24
Locked or 'Suspect' file(s) found...


*List of top level windows:
HWND PID PRIO TITLE
10118 1468 norm TF_FloatingLangBar_WndTitle
1011e 1468 norm CiceroUIWndFrame
1302fa 240 norm SysFader
4008c 240 norm Menu Start
40234 3660 norm Normal : Multiple Page
30050 240 norm _Shell_TrayWnd
1012c 1276 norm Norton AntiVirus
10026 776 high NetDDE Agent
10172 1408 norm Logitech_HiddenMessageWnd_E1000FE7-BFF5-4746-9792-218C4CE4851D
c029e 3064 norm Typ een vraag voor hulp
801ec 560 norm Typ een vraag voor hulp
8030a 948 norm C:\WINDOWS\System32\cmd.exe
1902f6 240 norm C:\Documents and Settings\Eigenaar\Mijn documenten\dllfix
5034e 240 norm DDE Server Window
5030c 560 norm OutlookFbThreadWnd
900b6 560 norm Postvak IN - Microsoft Outlook
c902f2 3064 norm Invoegen
302ea 3064 norm Invoegen
202ec 3064 norm Invoegen
202ee 3064 norm Invoegen
b02de 3064 norm Menu Afbeelding
202fe 3064 norm Menu Afbeelding
20300 3064 norm Menu Afbeelding
70174 3064 norm RE: Hijack this problemen - Bericht
50226 3064 norm DDE Server Window
1100ce 560 norm DDE Server Window
801be 560 norm Voortgang van verzenden/ontvangen in Outlook
60224 560 norm WMS ST Notif Window 00000230 00000BE0
40280 560 norm WMS Idle
600d8 560 norm W
1c00ba 560 norm Microsoft Outlook
100f6 1548 norm CTLTask
c01e2 240 norm MCI command handling window
101d4 1660 norm Animated BMP Sequence
101d2 1660 norm Animated BMP
101dc 1660 norm EchoPortManagerWnd
2017c 1548 norm GlobalTimerWnd
1018c 1660 norm MSNMSGRPassportLogin
2015a 240 norm Connections Tray
20178 240 norm Energiemeter
1017a 240 norm MS_WebcheckMonitor
1016a 1408 norm Logitech-cameraconfiguratie
100e4 1408 norm LogiTray
10160 1660 norm MSBLNetConn
30150 2248 norm InterBase Server
10142 1696 norm PCLEScheduler
10140 1660 norm DDE Server Window
10128 1200 norm DIEmWin
10110 1920 norm Logitech GetMessage Hook
1010a 1548 norm Dialog
10108 1920 norm LogiTrayMgrWnd
10106 1920 norm Logitech E/M Executive
100f4 1548 norm GlobalTimerWnd
100e8 1516 norm Dialog
200c8 1300 norm LVComSWnd
100de 1308 norm iTouchWin
100da 1240 norm CtSpkHlp
100ca 1332 norm HPGS2WND_WINDOW
100c4 1200 norm ATI Tray Icon Application
100c2 1276 norm ccApp
100b0 1240 norm CtHelper
30046 468 norm InterBase Guardian
3005c 176 norm ATI video bios poller client
10072 1620 norm BrSplSvc
1002a 1004 norm ATI video bios poller
7027a 3064 norm GDI+ Window
d0250 560 norm Hijack this problemen - Bericht (HTML)
1008e 240 norm Program Manager
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13}]

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
@="SearchRepPP Class"
"CLSID"="{CC905FF6-B553-496C-9DFA-CFF65ADCD0FC}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/xml]
"CLSID"="{807553E5-5146-11D5-A672-00B0D022E945}"

*Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read INGEBOUWD\Gebruikers
(ID-IO) ALLOW Read INGEBOUWD\Gebruikers
(ID-NI) ALLOW Full access INGEBOUWD\Administrators
(ID-IO) ALLOW Full access INGEBOUWD\Administrators
(ID-NI) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-IO) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-IO) ALLOW Full access MAKER EIGENAAR

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read INGEBOUWD\Gebruikers
Full access INGEBOUWD\Administrators
Full access NT AUTHORITY\SYSTEM




 

[BJB83]

Geplaatst door Pieter Arntz


Download en unzip: http://www.rokop-security.de/main/download.php?op=getit&lid=59

Na het uitpakken start je het programma op en klik je op "Desinfektion starten" Zorg wel dat je alles al zoveel mogelijk afgesloten hebt, want je computer start vanzelf opnieuw op.

Je krijgt dan na het opstarten nog een scherm van het programma waar je de "Desinfektion abschliessen" knop kunt gebruiken om het programma af te sluiten.

Als je klaar bent CWShredder en AdAware nog eens gebruiken.

Succes,

Pieter

Alles in deze volgorde gedaan, maar OldHomeSP blijft Ad-aware helaas steeds maar weer vinden. Het viel me wel op dat de 'running processes' waren gedaald van 14 naar 12, dus érgens is er wel wat zinvols gebeurd!

De searchbar is nu wel weer weg (?), maar da's weer van tijdelijke aard neem ik aan.

Beiden iig toch erg bedankt voor de moeite!

 

[Pieter Arntz]

Hoi Wipneus,

Download en unzip: http://www.rokop-security.de/main/download.php?op=getit&lid=59

Na het uitpakken start je het programma op en klik je op "Desinfektion starten" Zorg wel dat je alles al zoveel mogelijk afgesloten hebt, want je computer start vanzelf opnieuw op.

Je krijgt dan na het opstarten nog een scherm van het programma waar je de "Desinfektion abschliessen" knop kunt gebruiken om het programma af te sluiten.

Als je klaar bent CWShredder en AdAware nog eens gebruiken.

Succes,

Pieter

 

[Pieter Arntz]

Re: logfile

Geplaatst door kellemen

R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O4 - HKLM\..\Run: [updmgr] C:\Program Files\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} - http://dialxs.nl/install/dialxs.ocx

Hoi kellemen,

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op in veilige modus en verwijder:
C:\Program Files\MyWay <= de hele map
C:\Program Files\Common files\updmgr <= de hele map
C:\Program Files\PERFECTNAV <= de hele map

Is dat nou telkens dezelfde computer waar jij logjes voor plaatst?

Groetjes,

Pieter