Helpmij tegen spyware offensief (deel 4)

[kelly fan]

probleem met my search.com

hoi ,zou je mij willen helpen met dit probleem ?ik heb onlangs msn+ gedownload en heb toen my search.com gekregen in mijn startpagina.en ik krijg hem maar niet weg.voorheen gebruikte ik altijd startpagina.nl
ik heb al jou adviezen opgevolg,dwz.adaware gebruikt ,de nieuwste versie en ook hijackthis
als je toch ook andere nutteloze dingen vind dan mag je dat van mij wel verwijderen. bij voor baat hartelijk danLogfile of HijackThis v1.97.7
Scan saved at 20:56:26, on 6-5-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\INCRED~1\bin\IMAPP.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\mark\Mijn documenten\hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {9D9F2053-5D9E-8CD2-83DF-F5656FF178EB} - C:\PROGRA~1\HopeTons\Bike Send.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ANWB Toolbar - {EBB03E3E-020A-418D-B322-761B730CA860} - C:\Program Files\ANWBToolbar\ANWBToolbar.dll
O3 - Toolbar: CreativeIso - {94E481EE-D26E-DDBF-4671-B0E1F66AE32A} - C:\PROGRA~1\HopeTons\Bike Send.dll (file missing)
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ANWB (HKLM)
O9 - Extra 'Tools' menuitem: ANWB-toolbar (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38074.2131018518
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5601EB51-3710-46E0-B3F3-04CF59AE8E9F}: NameServer = 62.58.50.5 62.58.50.6

k.

 

[Olav]

Re: probleem met my search.com

Geplaatst door kelly fan
hoi ,zou je mij willen helpen met dit probleem ?ik heb onlangs msn+ gedownload en heb toen my search.com gekregen in mijn startpagina.en ik krijg hem maar niet weg.voorheen gebruikte ik altijd startpagina.nl
ik heb al jou adviezen opgevolg,dwz.adaware gebruikt ,de nieuwste versie en ook hijackthis
als je toch ook andere nutteloze dingen vind dan mag je dat van mij wel verwijderen. bij voor baat hartelijk dan
k.

Hoi Kellyfan,
Ik zie een aantal zaken die ik niet ken, misschien ken jij ze wel, anders vraag ik het even na, want er gaat wel een belletje bij me rinkelen, al kan ik er niets over vinden:

O2 - BHO: (no name) - {9D9F2053-5D9E-8CD2-83DF-F5656FF178EB} - C:\PROGRA~1\HopeTons\Bike Send.dll (file missing) ???
O3 - Toolbar: CreativeIso - {94E481EE-D26E-DDBF-4671-B0E1F66AE32A} - C:\PROGRA~1\HopeTons\Bike Send.dll (file missing)

Deze: O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
mag je aanvinken en fixen in Hijack This, maar hoeft niet perse.

Dat je die toolbar kreeg bij Messenger Plus komt omdat je hem hebt geinstalleerd met het sponsor programma.
De-installeer messenger plus via Verwijder/Toevoegen Software in je Configuratie scherm. Dit activeert het uninstall programma. Volg de aanwijzingen.
Her installeer Messenger Plus wederom maar nu kies je voor Custom installation. Lees goed wat je voor geschoteld krijgt. Je krijgt op een gegeven moment de vraag of je de voorwaarden accepteerd en het programma wilt installeren MET het sponsor programma of dat je de voorwaarden niet accepteert en wilt installeren ZONDER sponsor programma. Kies voor dit laatste en vervolg de installatie.

Olav

 

[RioolKat]

Heeft absoluut niets geholpen aan mijn probleem.

 

[st_yannick]

Beste,

Reeds gescand met Adaware laatste versie en Norton Antivirus, doch pc loopt nog steeds mank.
Help je me hierbij?

alvast bedankt

Logfile of HijackThis v1.97.7
Scan saved at 01:19:42, on 09-05-2004
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolss.exe
C:\WINNT\system32\CPQAlert.exe
C:\WINNT\System32\mgasc.exe
C:\WINNT\system32\RpcSs.exe
C:\WINNT\System32\mgactrl.exe
C:\WINNT\system32\tcpsvcs.exe
C:\WINNT\system32\tapisrv.exe
C:\WINNT\system32\rasman.exe
C:\WINNT\System32\esserver.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
c:\winnt\system32\pstores.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\SENS.EXE
C:\DMINT40\WIN32\bin\Win32SL.exe
C:\WINNT\system32\CPQDMI.exe
C:\WINNT\System32\nddeagnt.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\ntvdm.exe
C:\WINNT\System32\SysTray.Exe
C:\Program Files\MGA NT PowerDesk\QDesk\MGAQDESK.EXE
C:\WINNT\System32\MGAHOOK.EXE
C:\WINNT\System32\CHKADMIN.EXE
C:\WINNT\System32\loadwc.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
D:\msoff97\Office\OSA.EXE
D:\OPLIMIT\ocrawr32.exe
D:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\kbef.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\kbef.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\kbef.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\kbef.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\kbef.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\kbef.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Planet Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.pandora.be:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.123.254;<local>
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F1 - win.ini: load=D:\OPLIMIT\ocraware.exe
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [MGA QuickDesk] "C:\Program Files\MGA NT PowerDesk\QDesk\MGAQDESK.EXE"
O4 - HKLM\..\Run: [MGA Hook] "C:\WINNT\System32\MGAHOOK.EXE"
O4 - HKLM\..\Run: [ChkAdmin] CHKADMIN.EXE
O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - Global Startup: Microsoft Office Snelzoeken.lnk = D:\msoff97\Office\FINDFAST.EXE
O4 - Global Startup: Office Opstarten.lnk = D:\msoff97\Office\OSA.EXE
O12 - Plugin for .mid: C:\PROGRA~1\Plus!\MICROS~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\PROGRA~1\Plus!\MICROS~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\PROGRA~1\Plus!\MICROS~1\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\PROGRA~1\Plus!\MICROS~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\PROGRA~1\Plus!\MICROS~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .scr: C:\PROGRA~1\Plus!\MICROS~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .tiff: C:\PROGRA~1\Plus!\MICROS~1\PLUGINS\npqtplugin6.dll
O13 - WWW. Prefix: http://
O16 - DPF: Yahoo! PageBuilder - http://pagebuilder.yahoo.com/members/tools/pagebuilder/prod/client.2.60.23/code/client.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcam.planetinternet.be/AxisCamControl.ocx
O16 - DPF: {A45F39DC-3608-4237-8F0E-139F1BC49464} - http://www.greatplugin.com/diallerfiles/011145.exe
O16 - DPF: {AE775D48-49AA-11D1-8F1C-00C04FB67063} (MS Investor Ticker) - http://fdl.msn.com/public/investor/v5/ticker.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://communities.msn.nl/scr/PhotoUC/MsnPUpld.cab
O16 - DPF: {D22AC3EF-B7D8-11D5-A281-005056BF0101} (plug Class) - http://dist02.chargitdial.com/chargitplug.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 195.130.132.18 195.130.132.25
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 195.130.132.18 195.130.132.25
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 195.130.132.18 195.130.132.25

 

[kelly fan]

Re: Re: probleem met my search.com

Geplaatst door Olav


Hoi Kellyfan,
Ik zie een aantal zaken die ik niet ken, misschien ken jij ze wel, anders vraag ik het even na, want er gaat wel een belletje bij me rinkelen, al kan ik er niets over vinden:

O2 - BHO: (no name) - {9D9F2053-5D9E-8CD2-83DF-F5656FF178EB} - C:\PROGRA~1\HopeTons\Bike Send.dll (file missing) ???
O3 - Toolbar: CreativeIso - {94E481EE-D26E-DDBF-4671-B0E1F66AE32A} - C:\PROGRA~1\HopeTons\Bike Send.dll (file missing)

Deze: O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
mag je aanvinken en fixen in Hijack This, maar hoeft niet perse.

Dat je die toolbar kreeg bij Messenger Plus komt omdat je hem hebt geinstalleerd met het sponsor programma.
De-installeer messenger plus via Verwijder/Toevoegen Software in je Configuratie scherm. Dit activeert het uninstall programma. Volg de aanwijzingen.
Her installeer Messenger Plus wederom maar nu kies je voor Custom installation. Lees goed wat je voor geschoteld krijgt. Je krijgt op een gegeven moment de vraag of je de voorwaarden accepteerd en het programma wilt installeren MET het sponsor programma of dat je de voorwaarden niet accepteert en wilt installeren ZONDER sponsor programma. Kies voor dit laatste en vervolg de installatie.

Olav

thanks olav voor de snelle reaktie,het probleem is inderdaad opgelost,maar ik weet niet wat de 02 en de 03 inhoud.kan of mag ik deze ook verwijderen?en wat msn+ betreft die wil ik niet meer hebben cq gebruiken.en ik had hem al gedeinstalleerd.nogmaals hartelijk dank
groetjes mark

 

[Olav]

Geplaatst door RioolKat
Heeft absoluut niets geholpen aan mijn probleem.

Ik heb je logfile nogmaals doorgelopen, maar ik zie er geen zaken in staan, naast de oplossingen die Pieter je eerder gaf, die jouw problemen met MSN verklaren.

Olav

 

[Pieter Arntz]

Geplaatst door st_yannick
Beste,

Reeds gescand met Adaware laatste versie en Norton Antivirus, doch pc loopt nog steeds mank.
Help je me hierbij?

Hoi st_yannick,

Vink de onderstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\kbef.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\kbef.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\kbef.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\kbef.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\kbef.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\kbef.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank

O16 - DPF: {A45F39DC-3608-4237-8F0E-139F1BC49464} - http://www.greatplugin.com/diallerfiles/011145.exe

O16 - DPF: {D22AC3EF-B7D8-11D5-A281-005056BF0101} (plug Class) - http://dist02.chargitdial.com/chargitplug.dll

Download en run http://www.spywareinfo.com/~merijn/files/CWShredder.exe
Gebruik de Fix knop en volg de aanwijzingenvan het programma op.

Als dat helpt heb je geluk anders geldt helaas ook voor jou:
http://www.helpmij.nl/forum/showthread.php?postid=1075314#post1075314

Groetjes,

Pieter

 

[Olav]

Re: Re: Re: probleem met my search.com

Geplaatst door kelly fan

thanks olav voor de snelle reaktie,het probleem is inderdaad opgelost,maar ik weet niet wat de 02 en de 03 inhoud.kan of mag ik deze ook verwijderen?en wat msn+ betreft die wil ik niet meer hebben cq gebruiken.en ik had hem al gedeinstalleerd.nogmaals hartelijk dank
groetjes mark

Hoi Mark,
Die 02 en 03 zijn we nog even naar op zoek. Komen we op terug.
Olav

 

[B. Rixten]

Beste Pieter,

Bedankt voor je hulp, helaas heeft het niet geholpen.
Heb weer last van de search-bar en pop-ups over het verwijderen van spyware. http://vn.msie.cc/popup4.php?pin=1, dit is 1 van die pop-up pagina's, die bij deze searchbar verschijnen.

Heb gedaan wat jij zei, heb de files van hijackthis verwijdert, daarna Ad-aware 6, Spybot en Shredder gedraaid en zelfs Norton 2004 nog. Probleem was toen verholpen, maar zit er nu weer in. Bij deze nog een X de Hijack log, hoop dat je wat voor me kan vinden, alvast
bedankt.

beLogfile of HijackThis v1.97.7
Scan saved at 12:03:59, on 9-5-2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE
C:\PROGRAM FILES\NORTON INTERNET SECURITY\NISUM.EXE
C:\PROGRAM FILES\NORTON INTERNET SECURITY\CCPXYSVC.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\SOFTWARE\LOGITECH MOUSE\SYSTEM\EM_EXEC.EXE
C:\PROGRAM FILES\SOFTWARE\ADSL\DRAGDIAG.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\MIJN DOCUMENTEN\SOFTWARE DOWNLOADS\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\OEPEDA.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\OEPEDA.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\OEPEDA.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\OEPEDA.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\OEPEDA.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\OEPEDA.DLL/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {315E6B30-D668-4496-82CD-9AE00DF495B7} - C:\WINDOWS\SYSTEM\OEPEDA.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1043,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Kangaroo - {663C7429-E454-11D3-B9AE-0000B4C32B4D} - C:\IDC\WEBKA.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\SOFTWARE\LOGITE~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Software\ADSL\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\RunServices: [Nisum] C:\Program Files\Norton Internet Security\NISUM.EXE
O4 - HKLM\..\RunServices: [ccPxySvc] C:\PROGRA~1\NORTON~3\CCPXYSVC.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [mslagent] C:\WINDOWS\mslagent\MSLAGENT.EXE
O9 - Extra button: Kangaroo (HKLM)
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .mts: C:\Program Files\MetaCreations\MetaStream\npmetastream.dll
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

[Olav]

Re: Re: Re: probleem met my search.com

Geplaatst door kelly fan

thanks olav voor de snelle reaktie,het probleem is inderdaad opgelost,maar ik weet niet wat de 02 en de 03 inhoud.kan of mag ik deze ook verwijderen?en wat msn+ betreft die wil ik niet meer hebben cq gebruiken.en ik had hem al gedeinstalleerd.nogmaals hartelijk dank
groetjes mark

Hoi Mark,
Ik heb even navraag gedaan bij Pieter. Die 2 bestanden zijn overblijfselen van de LOP bar. Je kan ze beide aanklikken en laten fixen door Hijack This.
Als je dat gedaan hebt, ga dan even naar je Windows verkenner en controleer of de volgende map er staat
C:\program files\C2Media\ Als deze er staat, mag je die helemaal verwijderen.

Succes,
Olav

 

[Olav]

Geplaatst door B. Rixten
Beste Pieter,

Bedankt voor je hulp, helaas heeft het niet geholpen.
Heb weer last van de search-bar en pop-ups over het verwijderen van spyware.

Heb gedaan wat jij zei, heb de files van hijackthis verwijdert, daarna Ad-aware 6, Spybot en Shredder gedraaid en zelfs Norton 2004 nog. Probleem was toen verholpen, maar zit er nu weer in. Bij deze nog een X de Hijack log, hoop dat je wat voor me kan vinden, alvast
bedankt.

Hoi B. Rixten
Helaas is dit 1 van de meest vervelende (zoniet onmogelijke) zaken om te verwijderen. Zoals Pieter in dit bericht ook vertelt is het vaak sneller en beter op te lossen door je hardeschijf te formateren, windows opnieuw te installeren en verder alles opnieuw te installeren, te beginnnen met een firewall.

Mijn welgemeende raad: formatteer en maak met je "nieuwe computer" een betere start. Installeer om te beginnen een firewall en een Windows versie die je kunt updaten.
Installeer de firewall al voordat je de eerste keer het internet opgaat om alle updates op te halen.
De gemiddelde tijd die het duurt voor een onbeschermde computer besmet is met het een of ander is minder dan tien minuten

Het fixen van bestanden die reeds gevonden zijn zoals bij jou in je Hijack this log is eerder een uitstel van executie dan daadwerkelijk de problemen verhelpen. Je zou constant dezelfde procedure moeten doorlopen zoals je gedaan hebt met FindAll, Killbox, CWSchredder en Ad-Aware totdat er iemand een constructieve oplossing vind.
Het probleem is namelijk dat er een bestand op je computer staat die zich niet zomaar laat verwijderen en ook verborgen is. De gevonden dll wordt op 1 of andere manier na verloop van tijd weer hersteld als je hem verwijderd.

Succes,
Olav

 

[bertwinkel]

Heb al gescand met de ge-update ad-adware en spybot....nu krijd ik deze logfile

Logfile of HijackThis v1.97.7
Scan saved at 12:54:45, on 9-5-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\docume~1\bertwi~1\applic~1\winlogon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\PackethSvc.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Bert Winkel\Bureaublad\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchcentral.cc/search.php?v=4&aff=4803
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home-sd.com/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.start.home.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home-sd.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home-sd.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://home-sd.com/search/small.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://home-sd.com/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home-sd.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home-sd.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home-sd.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://home-sd.com/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://home-sd.com/search/small.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\WS_FTP Pro\wsbho2K0.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AdobeFonts] C:\WINDOWS\Fonts\fonts.hta
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [System Update4] c:\docume~1\bertwi~1\applic~1\winlogon.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

[mack11]

ik heb weer eens spyware erop staan

hijack this log van 09-05-04
eerst met adware gescant.


Logfile of HijackThis v1.97.7
Scan saved at 12:13:16, on 9-5-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Program Files\Medion\PowerCinema\My_TV\Agent.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Common Files\Logitech\QCDriver\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\FILEOB~1\windowsecond.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\DOCUME~1\mike\LOCALS~1\Temp\bwgo00008349.exe
C:\WINDOWS\DitExp.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\Documents and Settings\mike\Mijn documenten\hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://allaboutsearching.com/passthrough/index.html?http://www.msn.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O1 - Hosts: 207.36.196.189 auto.search.msn.com
O1 - Hosts: 207.36.196.189 search.netscape.com
O1 - Hosts: 207.36.196.189 ieautosearch
O1 - Hosts: pJ,
pJ,
ˆ·,
ˆ·,
˜
,
˜
,
°v,
°v,
¨
,
¨
,
å,
å,
¸
,
¸
,
À
,
À
,
È
,
È
,
Ð
,
Ð
,
Ø
,
Ø
,
à
,
à
,
è
,
è
,
ð
,
ð
,
ø
,
ø
,
ˆ,
,
,
˜,
˜,
 ,
 ,
¨,
¨,
°,
°,
è,
è,
À,
À,
È,
È,
Ð,
Ð,
Ø,
Ø,
à,
à,
è,
è,
ð,
ð,
ø,
ø,

O1 - Hosts:
,
˜,
˜,
 ,
 ,
¨,
¨,
°,
°,
¸,
¸,
À,
À,
È,
È,
Ð,
Ð,
Ø,
Ø,
à,
à,
è,
è,
ð,
ð,
ø,
ø,

O1 - Hosts: pJ!
pJ!
xU!
xU!
˜
!
˜
!
˜V!
˜V!
0ì!
0ì!
°
!
°
!
¸
!
¸
!
À
!
À
!
È
!
È
!
Ð
!
Ð
!
Ø
!
Ø
!
à
!
à
!
è
!
è
!
ð
!
ð
!
ø
!
ø
!
ˆ!
!
!
˜!
˜!
 !
 !
¨!
¨!
°!
°!
¸!
¸!
À!
À!
È!
È!
Ð!
Ð!
Ø!
Ø!
à!
à!
è!
è!
ð!
ð!
ø!
ø!

O1 - Hosts: !
˜!
˜!
 !
 !
¨!
¨!
°!
°!
¸!
¸!
À!
À!
È!
È!
Ð!
Ð!
Ø!
Ø!
à!
à!
è!
è!
ð!
ð!
ø!
ø!

O1 - Hosts: pJ$
pJ$
8Œ$
øä$
˜
$
˜
$
hU$
hU$
Øÿ$
Øÿ$
°
$
°
$
¸
$
¸
$
À
$
À
$
@â$
ˆ$
$
$
˜$
˜$
 $
 $
¨$
¨$
°$
°$
¸$
¸$
À$
À$
È$
È$
Ð$
Ð$
Ø$
Ø$
à$
à$
è$
è$
ð$
ð$
ø$
ø$

O1 - Hosts: $
˜$
˜$
 $
 $
¨$
¨$
°$
°$
¸$
¸$
À$
À$
È$
È$
Ð$
Ð$
Ø$
Ø$
à$
à$
è$
è$
ð$
ð$
ø$
ø$

O1 - Hosts: pJ,
pJ,

,

,
˜
,
˜
,
ðN,
ðN,
¨
,
¨
,
°
,
°
,
¸
,
¸
,
å,
å,
À7,
À7,
Ð
,
Ð
,
Ø
,
Ø
,
èŒ,
èŒ,
è
,
è
,
ð
,
ð
,
ø
,
ø
,
ˆ,
,
,
˜,
˜,
 ,
 ,
¨,
¨,
°,
°,
¸,
¸,
À,
À,
È,
È,
Ð,
Ð,
Ø,
Ø,
à,
à,
è,
è,
ð,
ð,
ø,
ø,

O1 - Hosts: www.look2me1.com
O1 - Hosts: @
x

www.look2me2.com
O1 - Hosts: B
x

www.look2me3.com
O1 - Hosts: 8D
x

www.look2me4.com
O1 - Hosts: www.look2me5.com
O1 - Hosts: pJ
pJ




˜

˜

 

 

¨

¨

°

°

¸

¸

À

À

È

È

Ð

Ð

Ø

Ø

à

à

è

è

ð

ð

ø

ø

ˆ


˜
˜
 
 
¨
¨
°
°
¸
¸
À
À
È
È
Ð
Ð
Ø
Ø
à
à
è
è
ð
ð
ø
ø

O1 - Hosts: 
˜
˜
 
 
¨
¨
°
°
¸
¸
À
À
È
È
Ð
Ð
Ø
Ø
à
à
è
è
ð
ð
ø
ø

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: My &Way Speedbar - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWay\bar\1.bin\MWSBAR.DLL (file missing)
O3 - Toolbar: Planremotethat - {E9F8A2B0-47ED-D639-54CF-AE921008FBFC} - C:\PROGRA~1\chinmeal\Tons proc.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\nl\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Agent] C:\Program Files\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Common Files\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [BORE LICENSE] C:\PROGRA~1\FILEOB~1\windowsecond.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Easy-PrintToolBox.lnk = C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE
O4 - Global Startup: GStartup.lnk = C:\RECYCLER\NPROTECT\00310440.exe
O4 - Global Startup: Logitech Desktop Messenger Agent.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Toevoegen aan Mobiele favorieten (HKLM)
O9 - Extra 'Tools' menuitem: Toevoegen aan Mobiele favorieten... (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {1842B0EE-B597-11D4-8997-00104BD12D94} (iCC Class) - http://www.pcpitstop.com/internet/pcpConnCheck.cab
O16 - DPF: {1E5592CB-8F5B-46F8-9EA6-65C01213808A} (InstaladorBetyByte Control) - http://www.cocacola.es/uploads/cab/instaladorbetybyte.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...pple.com/bonnie/us/win/QuickTimeInstaller.exe
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://213.97.139.7:1256/activex/AxisCamControl.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

 

[Olav]

Geplaatst door bertwinkel
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchcentral.cc/search.php?v=4&aff=4803
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home-sd.com/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.start.home.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home-sd.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home-sd.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://home-sd.com/search/small.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://home-sd.com/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home-sd.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home-sd.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home-sd.com/search/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://home-sd.com/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://home-sd.com/search/small.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*


O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com

O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

Hoi Bert,
vink de bovenstaande items aan in Hijack this en sluit alle andere schermen, behalve Hijack This.
Klik vervolgens op Fix Checked Items.

Start vervolgens Ad-Aware en klik op Update en volg de aanwijzingen.
Klik vervolgens op "Start" en controleer het volgende.
"Activate in-depth scan" is aan (groen
Vink het rondje voor "Use custom scanning options" aan en klik op "Customize"
Zet de volgende zaken aan:
- Scan within archives
- Scan active processes
- Scan registry
- Deep scan registry
- Scan my IE Favourites for banned URLs
- Scan my host-files
De "2 skips" blijven uit.

Vervolgens klik op de knop met Tweak (linkerkant)
Klik op het +-je voor scanning engine en zet de volgende punten aan:
- Unload recognised processes during scanning.
Klik op het +-je voor Cleaning engine en zet de volgende punten aan:
- Let windows remove files in use at next reboot.

Zet "Automatically try to unregister objects prior to deletion" uit

Klik op de knop "Proceed" om je instellingen te bewaren.
Klik nu op "Start" om het scannen te beginnen.

Als die klaar is, vink je alles aan wat hij gevonden heeft, behalve de items die in de Spybot S&D directories staan, en klik je op de knop "quarantine" (just to be sure) en sla je hem op. Vervolgens klik je op "Next" en verwijder je de gevonden items.

Herstart je PC vervolgens en start Spybot S&D (in advaced mode).
Klik op Instellingen en wederom op Instellingen.
Ga naar de sectie Web Update en vink "Toon beschikbare beta-versies" aan. Ga nu naar "Online" en klik op "Zoek naar updates". Vink alels aan wat hij aan updates vindt en installeer die.
Laat Spybot nu scannen en laat Spybot alles verwijderen wat rood is.
Herstart je PC en scan nog maals met Hijack This. Als er nog problemen zijn plaats die log dan hier.

bron

Groeten en succes,
Olav

 

[Olav]

Re: ik heb weer eens spyware erop staan

Geplaatst door mack11
hijack this log van 09-05-04
eerst met adware gescant.

Hoi Mack11
niet zo'n goed nieuws...
leesvoer:
http://www.helpmij.nl/forum/showthread.php?postid=1074037
de reacties van Pieter en de sites waar Pieter naar verwijst

Succes,
Olav

 

[Sonic Youth]

Logfile of HijackThis v1.97.7
Scan saved at 14:58:56, on 9-5-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\PCI Audio Applications\Mixer.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\AnalogX\POW\pow.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\ARNOLD~1\LOCALS~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.home.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door @Home
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [C-Media Mixer] C:\Program Files\PCI Audio Applications\Mixer.exe /startup
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - Startup: POW! (2).lnk = C:\Program Files\AnalogX\POW\pow.exe
O4 - Startup: Snelkoppeling naar MailWasher.lnk = C:\Program Files\MailWasher\MailWasher.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://start.home.nl/
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



Ze hebben last van een hardnekkige pop-up

 

[Pieter Arntz]

Re: Re: help mij,weer gehijackt

Geplaatst door Pieter Arntz


Hoi mack11,

Wil je svp het volgende bestand opzoeken:
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\hosts
rechtsklik erop en noem het hosts.bak
Stuur hem dan naar mij op svp.
klik hier voor het adres

Vink de onderstaande aan in HijackThis, sluit dan alle vensters behalve HijackThis en klik op Fix checked:

O3 - Toolbar: My &Way Speedbar - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWay\bar\1.bin\MWSBAR.DLL (file missing)
O3 - Toolbar: Planremotethat - {E9F8A2B0-47ED-D639-54CF-AE921008FBFC} - C:\PROGRA~1\chinmeal\Tons proc.dll

O4 - HKLM\..\Run: [BORE LICENSE] C:\PROGRA~1\FILEOB~1\windowsecond.exe

O4 - Global Startup: GStartup.lnk = C:\RECYCLER\NPROTECT\00310440.exe

Start dan opnieuw op in veilige modus en verwijder:
C:\Program Files\chinmeal <= de hele map
C:\Program Files\MyWay <= de hele map
C:\Program Files\Save <= de hele map
C:\DOCUMENTS AND SETTINGS\mike\LOCAL SETTINGS\Temp <= Deze map niet verwijderen maar leeg maken. De Local settings map is verborgen dus je moet verborgen bestanden en mappen op weergeven zetten.
C:\Program Files\FILEOB~1 <= de hele map met het bestand windowsecond.exe er in

Groetjes,

Pieter

Had je deze nog niet gezien?

Pieter

 

[Pieter Arntz]

Geplaatst door Sonic Youth

Ze hebben last van een hardnekkige pop-up

En wat zegt die?

Dat ze Windows en IE moeten updaten?

Groetjes,

Pieter

 

[Sonic Youth]

Nee, het is er eentje van Messenger.
Je kan daar goedkoop diploma's kopen.

 

[Olav]

Nee, het is er eentje van Messenger.
Je kan daar goedkoop diploma's kopen.

Open daarvoor service vanuit je configuratiescherm / systeem beheer.
Ga naar het item "Messenger" klik daar rechts op en kies "stoppen" klik er weer rechts op en open de eigenschappen. Bij opstart type kies je "uitgeschakeld"
Sluit alles af met Ok en herstart de pc.

Succes,
Olav