Helpmij tegen spyware offensief (deel 4)

[serra_angel]

Hallo Pieter,

Housecall kan het bestand niet verwijderen. Ooit heb ik ergens gelezen dat het svchost.exe een bestand is van windows. Deze kan ik dus zonder problemen verwijderen?
Alvast bedankt.

Serra

 

[fonny]

hijackthis log

Hallo

Is het de bedoeling dat ik de onderlijnde gegevens verwijderd, want als ik dat doe o.a. macromedia kan ik incredimail in het geheel niet meer openen ?!
En de site "freecontent.awmhost.net" blijft mij pesten
Ik denk dat hij zich ergens in het systeem heeft genesteld, misschien bij Windows/system ...

 

[Pieter Arntz]

Geplaatst door Druppel
127.0.0.1 and.doxdesk.com
127.0.0.10 eblocs.com
127.0.0.11 enigmasoftwaregroup.com
127.0.0.12 forum.aumha.org
127.0.0.13 free-spyware-scan.com
127.0.0.14 free-web-browsers.com
127.0.0.16 grisoft.com
127.0.0.17 hackfaq.org
127.0.0.18 hazeleger.net
127.0.0.19 javacoolsoftware.com
127.0.0.100 www.spyware-cop.com
127.0.0.102 www.spywarenuker.com
127.0.0.103 www.spywareremove.com
127.0.0.104 www.spywareremove.com
127.0.0.105 www.stopzillapro.com
127.0.0.107 www.thiefware.com
127.0.0.109 www.unwantedlinks.com
127.0.0.110 www.webattack.com
127.0.0.111 www.wilders.org

Deze mag je allemaal door hoster laten fixen.
Vooral de laatste.

Groetjes,

Pieter

 

[Pieter Arntz]

Re: veel reclame

Geplaatst door patrick1003


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.shopnav.com/search/9886/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.shopnav.com/apps/epa/epa?cid=shnv9886&s=

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.shopnav.com/apps/epa/epa?cid=shnv9886&s=

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.shopnav.com/search/9886/search.html

O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL

O2 - BHO: (no name) - {136A9D1D-1F4B-43D4-8359-6F2382449255} - C:\Program Files\SUPERBAR\SUPERBAR1.dll
O2 - BHO: (no name) - {14b3d246-6274-40b5-8d50-6c2ade2ab29b} - C:\Program Files\Srng\SNHelper.dll
O2 - BHO: (no name) - {28432C20-B559-46C1-9803-74551C93B802} - C:\WINDOWS\System32\d3d8tthk.dll

O3 - Toolbar: SuperBar - {FEAC3374-1678-4EBD-938D-C7C339FF907F} - C:\Program Files\SUPERBAR\SUPERBAR1.dll
O3 - Toolbar: My &Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL

O4 - HKLM\..\Run: [Shim Bird] C:\PROGRA~1\BASHPR~1\dupe great does.exe
O4 - HKLM\..\Run: [SBHC] C:\Program Files\SuperBar\sbhc.exe
O4 - HKLM\..\Run: [EbatesMoeMoneyMaker] wjview /cp "C:\Program Files\EbatesMoeMoneyMaker\System\Code" Main lp: "C:\Program Files\EbatesMoeMoneyMaker"
O4 - HKLM\..\Run: [msbb] c:\program files\n-case\msbb.exe
O4 - HKLM\..\Run: [Srng] \Program Files\Srng\Srng.exe
O4 - HKLM\..\Run: [pybcz] C:\WINDOWS\pybcz.exe

O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\COMMON~1\TEKNUM~1\update.exe /startup
O4 - Global Startup: Pinnacle Scheduler.lnk = ?

O8 - Extra context menu item: Ebates - file://C:\Program Files\EbatesMoeMoneyMaker\System\Temp\ebates_script0.htm

O9 - Extra button: Ebates (HKCU)

Hoi patrick1003,

Dat kan ik me voorstellen.

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Kijk daarna op mijn website http://home.planet.nl/~kleyn080/Spywareinfonl.html en volg daar de aanwijzingen voor het gebruik van AdAWare en/of Spybot

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door X-O
hey, ik heb sinds kort steeds last van de autosearch.cc startpagina en mijn kladblok doet het niet meer, ik heb gescand met adaware en hier is de hijackthis log:

CWShredder draaien, Windows updaten of andere voorzorgsmaatregelen nemen en notepad.exe vervangen door een schone versie (Deze hoort in je System(32) map te staan.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door Baviaan
dit wordt echt behoorlijk irritant

Dat ik je log niet kan quoten is ook best irri trouwens.

Het enige dat me opvalt in je log is dat je wel erg veel van die O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll in je log hebt staan.

Dat besatand is nodig voor online spellen, maar ik heb er nog nooit zoveel gezien.

Download LSPfix hier: http://www.cexx.org/lspfix.htm
Start het, en klik op de "I know what I'm doing"
Selecteer al die ua_lsp.dll ien verplaats ze naar het "Remove" venster. Klik dan op Finish.

Waarscvhijnlijk moet je dan het spel dat je online speelt (gedeeltelijk) opnieuw installeren. Ik zie geen andere reden in je log.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door willempie

heb spybot en adaware gedraait omdat internet pagina,s traag openen.

Schoon en ook geen echt overbodige dingen in zicht die dat zouden kunnen veroorzaken.

Sorry,

Pieter

 

[Pieter Arntz]

Re: HELP!!!

Geplaatst door Blauwoogje


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://best-search.cc/search.php?v=6&aff=3484146
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://best-search.cc/index.php?v=6&aff=3484146
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://best-search.cc/index.php?v=6&aff=3484146
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*

O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com

Hoi Blauwoogje,

Vnk de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Download en run: http://www.spywareinfo.com/~merijn/files/CWShredder.exe
Gebruik de Fix knop en let goed op de aanwijzingen die het programma je geeft.

Start dan opnieuw op en verwijder de map
C:\WINDOWS\nsdb

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door fredbull

R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} - http://dialxs.nl/install/dialxs.ocx

Hoi fredbul,

Eerst klik "Start" > "Uitvoeren" > typ of knip&plak rundll32 C:\WINDOWS\System32:caxdcid.dll,Uninstall > "OK"

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Download en run: http://www.spywareinfo.com/~merijn/files/CWShredder.exe
Gebruik de Fix knop en let goed op de aanwijzingen die het programma je geeft.

Start dan opnieuw op en verwijder :
C:\Program Files\MyWay <= de hele map
C:\Program Files\Common Files\GMT <= de hele map

Als je Mediaplayer dan nog weigert installeer dan WMP versie 9.0 over de oude heen.

Groetjes,

Pieter

 

[Pieter Arntz]

Re: pc sluit vreemd af

Geplaatst door beka
spybot gedraaid
register schoon gemaakt
en nog steeds last van spontaan verschijnende inbelschermpjes en foutmeldingen bijafsluiten en omschakelen van bureablad

Hoi beka,

Wil je een volledig log plaatsen? je hebt de bovenkant eraf geknipt.
Wat je in ieder geval alvast kunt doen is deze map verwijderen:
C:\Program Files\Startportal
en in Configuratiescherm > Software kijken of je ergens Switch ziet staan. Die kun je dan daar verwijderen.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door serra_angel
Hallo Pieter,

Housecall kan het bestand niet verwijderen. Ooit heb ik ergens gelezen dat het svchost.exe een bestand is van windows. Deze kan ik dus zonder problemen verwijderen?
Alvast bedankt.

Serra

Dat hangt ervan af als svchost.exe (ook precies zo gespeld) in de System32 map staat kun je het niet verwijderen.
Alle anderen wel.

Groetjes,

Pieter

 

[X-O]

Geplaatst door Pieter Arntz


CWShredder draaien, Windows updaten of andere voorzorgsmaatregelen nemen en notepad.exe vervangen door een schone versie (Deze hoort in je System(32) map te staan.

Groetjes,

Pieter

de zoekpagina is weg, alleen mn notepad doet et nog steeds niet, als ik een nieuwe download is die ook meteen weer defect

 

[Pieter Arntz]

Re: hijackthis log

Geplaatst door fonny
Hallo

Is het de bedoeling dat ik de onderlijnde gegevens verwijderd, want als ik dat doe o.a. macromedia kan ik incredimail in het geheel niet meer openen ?!
En de site "freecontent.awmhost.net" blijft mij pesten
Ik denk dat hij zich ergens in het systeem heeft genesteld, misschien bij Windows/system ...

Hoi fonny,

Ik heb je log maar even uit je andere topic opgehaald.
Handig, zo'n glazen bol.

Vink de onderstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked:


O4 - HKLM\..\Run: [logon.exe] c:\WINDOWS\SYSTEM\logon.exe
O4 - HKLM\..\Run: [NvCpl28Deamon] ndriver.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\runddl.exe internat.dll,LoadKeyboardProfile

O4 - HKLM\..\Run: [Update] C:\WINDOWS\iexplore.exe /i

O4 - HKCU\..\Run: [logon.exe] c:\WINDOWS\SYSTEM\logon.exe
O4 - HKCU\..\Run: [AntiClicker] C:\WINDOWS\TEMP\svchst32.exe

Start dan opnieuw op en doe een online virusscan bij www.housecall.nl want je zit er bomvol mee.

Groetjes,

Pieter

 

[doeshi1]

Logfile of HijackThis v1.97.7
Scan saved at 20:29:01, on 28-4-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\AdsGone\adsgone.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\PROGRA~1\INCRED~1\bin\IMAPP.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Program Files\Symantec\pcAnywhere\awhost32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Copernic Agent\CopernicAgent.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Nancy Kerpels\Local Settings\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.nl/0SENLNL/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {55bb28cc-294b-424c-a9ba-ac34923b2443} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [SpySweeper] C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - Global Startup: AdsGone 2004.lnk = C:\Program Files\AdsGone\adsgone.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Search Using Copernic Agent - C:\Program Files\Copernic Agent\Web\SearchExt.htm
O9 - Extra 'Tools' menuitem: Launch Copernic Agent (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Copernic Agent (HKLM)
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1D185838-009D-47C8-824B-B65B4854430E} (chelloInstall.Install) - http://quickfix2.chello.nl/quickfix2/asp/chelloInstall.CAB
O16 - DPF: {23B7A816-3647-49D2-9756-6F41CE8F9201} - http://bins.dynamicdesktopmedia.com/cab/ddm_control.CAB
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {4BEE3896-4820-48D1-85EA-5A9A9ECD3D95} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc/opuc.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37867.1478935185
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {C58EFA10-2CC0-4C50-8C77-B326555EC1B7} (LaunchApp.clsDefault) - http://quickfix2.chello.nl/quickfix2/asp/LaunchApp.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

 

[wajang]

Geplaatst dorr Pieter:
Hoi wajang,

Of het voor dat Wanadoo helpt denk ik niet, maar weg moet het toch.

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op en verwijder:
C:\Program Files\PrecisionTime <= de hele map

Alles gefixed wat je had vermeld.
De map PrecisionTime niet gevonden!

En dat account wat niet verwijderd kan worden heb ik aangepast naar zijn huidige provider. Hij heeft tenslotte een account nodig. Hier maak ik me verder niet meer druk over.
Bedankt maar weer. :thumb:

 

[Pieter Arntz]

Geplaatst door X-O


de zoekpagina is weg, alleen mn notepad doet et nog steeds niet, als ik een nieuwe download is die ook meteen weer defect

Hoi X-O,

Er stond ook nog iets tussen CWShredder en notepad vervangen.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door doeshi1

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {55bb28cc-294b-424c-a9ba-ac34923b2443} - (no file)

O16 - DPF: {23B7A816-3647-49D2-9756-6F41CE8F9201} - http://bins.dynamicdesktopmedia.com/cab/ddm_control.CAB

Hoi doeshi1,

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op.

Groetjes,

Pieter

 

[doeshi1]

Geplaatst door Pieter Arntz


Hoi doeshi1,

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op.

Groetjes,

Pieter

Hé Pieter,

Beankt voor de supersnelle reactie toppie. :thumb:

Groetjes, Doeshi1

 

[fredbull]

Hoi fredbul,

Eerst klik "Start" > "Uitvoeren" > typ of knip&plak rundll32 C:\WINDOWS\System32:caxdcid.dll,Uninstall > "OK"



Sorry Pieter, maar hij geeft aan dat hij dit bestand niet kan vinden ( rundll32 ).. wat nu?!

Trouwens, tof dat je dit doet

 

[StierHerman]

Hallo Pieter,

bedankt voor je hulp en de tips, het puin is geruimd op mijn PC en de problemen opgelost.

THANKS AGAIN.