Helpmij tegen spyware offensief (deel 4)

Status
Niet open voor verdere reacties.
Geplaatst door mariska1972
Pieter, ik heb gekeken naar bestanden die op het zelfde tijdstip zijn veranderd / aangemaakt.
Ik heb gisterenavond via hijack de bestanden weer verwijderd.
Wanner ik nu hijack draai zie ik dat het bestand weer een andere naam heeft aangenomen, het heet nu ekgee.dll (in c windows system).
Op hetzelfde tijdstip dat dit bestand is aangemaakt zijn geen noemenswaarige andere bestanden aangemaakt.
Ik zie wel op het zelfde tijdstip dat de command (dos bestand) gebruikt c.q. aangepast is. in c windows.
Gezocht via verkenner op C naar bestanden vandaag gewijzigd / aangemaakt. Deze vervolgens gesorteerd op datum.
Klik om te vergroten...

Hoi mariska1972,

Normaal gesproken is er één verborgen dll op je computer gezet die vanaf het begin hetzelfde is gebleven.
Die zoeken we. Als we die kunnen vinden en verwijderen dan kunnen we de rest opruimen. Nu zorgt die ervoor dat de andere die je verwijderd daarna weer vervangen worden.
 
Re: Re: Re: ik krijg mijn pc niet spyware vrij

Geplaatst door Blauwoogje

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://my-finder.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://my-finder.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my-finder.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://my-finder.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://my-finder.com/index.htm

O4 - HKCU\..\Run: [dllhelp] c:\windows\dllhelp.exe
Klik om te vergroten...

Hoi Blauwoogje,

Ik dacht dat CWShredder daar wel voor zou zorgen.
Welke versie heb je gebruikt?

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Wil je dit bestand eens opzoeken en naar me opsturen?
c:\windows\dllhelp.exe
=>Klik hier<=

Daarna mag je het verwijderen.

Groetjes,

Pieter
 
Re: Logfile Hijackthis

Geplaatst door alcatryn

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINDOWS\Downloaded Program Files\CONFLICT.1\eBayBand.dll

O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)

O2 - BHO: (no name) - {E29EB499-7091-46C1-B7A0-53071FEFC0FF} - C:\WINDOWS\dhhxnq.dll

O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\CONFLICT.1\bridge.dll",Load
O4 - HKLM\..\Run: [useyx] C:\WINDOWS\xbusnnp.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"

O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} (IntDialerData Class) - http://www.grupomarineda.net/auto/DialerData.cab
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.roings.com/cabs/mp3.cab
Klik om te vergroten...

Hoi Alcatryn,

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start dan opnieuw op in veilige modus en verwijder:
C:\WINDOWS\xbusnnp.exe
C:\Program Files\webHancer <= de hele map

Groetjes,

Pieter
 
Pieter, staat het door jouw van het begin onstane bestand:
1) in c:\windows\system ????
2) is het altijd een dll bestand ??
 
Geplaatst door nick123

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://q12600.find-quick.com/searchbar.html

R3 - Default URLSearchHook is missing
O1 - Hosts: 64.91.255.87 www.dcsresearch.com

O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
Klik om te vergroten...

Hoi nick123,

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start dan opnieuw op in veilige modus en verwijder:
C:\WINDOWS\sysupd.exe <= had TDS die niet gevonden?

Groetjes,

Pieter
 
Geplaatst door mariska1972
Pieter, staat het door jouw van het begin onstane bestand:
1) in c:\windows\system ????
2) is het altijd een dll bestand ??
Klik om te vergroten...

1. Ja. Voor jouw geval in System.
System32 bestaat alleen op NT versies van Windows (zoals XP)
2. Ik heb nog nooit anders gezien dan een .dll
Varierende van één letter tot vijf letters plus een cijfer als "voornaam" (De mijne heet epk.dll, maar ik heb ook winajb.dll en m.dll gehad. Tja je zal maar tijd over hebben ) :rolleyes:

Groetjes,

Pieter
 
mijn log

Hier is mijn Log

Ik heb ad-aware 6.181 al geprobeerd maar er blijft spyware inzitten

Logfile of HijackThis v1.97.7
Scan saved at 21:45:08, on 12-5-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE
C:\WINDOWS\INF\ntvdm.exe
C:\PROGRA~1\TOOLCU~1\Dvdmp3.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\Pavsrv51.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Documents and Settings\Fam Hol\My Documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = allaboutsearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.startpagina.nl/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: bone info funk - {DD5507A8-58D9-79F7-C691-8A4513D969C0} - C:\PROGRA~1\BENDAX~1\spam1.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\nl\msntb.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Program Files\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Program Files\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [ntvdm] C:\WINDOWS\INF\ntvdm.exe
O4 - HKLM\..\Run: [ExitNew] C:\PROGRA~1\TOOLCU~1\Dvdmp3.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Virtual Bouncer.lnk = C:\Program Files\VBouncer\VirtualBouncer.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Onderzoek (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/downl...-a3de-373c3e5552fc/msSecAdv.cab?1079194098484
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38031.6590046296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
 
Re: Re: Re: Re: ik krijg mijn pc niet spyware vrij

Geplaatst door Pieter Arntz


Hoi Blauwoogje,

Ik dacht dat CWShredder daar wel voor zou zorgen.
Welke versie heb je gebruikt?

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Wil je dit bestand eens opzoeken en naar me opsturen?
c:\windows\dllhelp.exe
=>Klik hier<=

Daarna mag je het verwijderen.

Groetjes,

Pieter
Klik om te vergroten...

Hallo Pieter, heb jij voor mij de laatste versie van CWshredder?
 
Geplaatst door Olav
Hoi Mitch,
De overbodige startups zitten er nog niet in, dat komt later wel, als we je schoon krijgen.

Vink alle bovenstaande items aan in Hijack this, sluit alle vensters behalve Hijack this en klik op "Fix Checked"

Download en run http://www.spywareinfo.com/~merijn/files/CWShredder.exe
Gebruik de Fix knop en volg de aanwijzingen op.

Herstart dan de pc en ga naar www.housecall.nl en scan daar je computer op virussen.
Klik om te vergroten...

Bedankt!

C:\DOCUME~1\Michel\LOCALS~1\Temp\~e5d141.tmp

Deze file zat er niet meer tussen toen ik HijackThis weer runde, maar dat is een temporary file, dus dat zal er wel mee te maken hebben. Ik heb ook de scan op Housecall.nl gedaan en er is één geïnfecteerd bestand, maar dat kon niet verholpen worden.

Het virus JAVA_BYTEVER.A heeft de file

C:\Documents and settings\Michel\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\connt.jar-6f603a77-62cc4816.zip

geïnfecteerd. BlackBox.class, stond er ook nog bij. Kan deze file zonder pardon gedeleted worden?
 
Re: mijn log

Geplaatst door mhol


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = allaboutsearching.com

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O3 - Toolbar: bone info funk - {DD5507A8-58D9-79F7-C691-8A4513D969C0} - C:\PROGRA~1\BENDAX~1\spam1.dll

O4 - HKLM\..\Run: [ExitNew] C:\PROGRA~1\TOOLCU~1\Dvdmp3.exe

O4 - Startup: Virtual Bouncer.lnk = C:\Program Files\VBouncer\VirtualBouncer.exe
Klik om te vergroten...

Hoi mhol,

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start dan opnieuw op in veilige modus en verwijder:
C:\Program Files\TOOLCU~1 <= de hele map met het bestand Dvdmp3.exe er in
C:\Program Files\VBouncer <= de hele map
C:\Program Files\BENDAX~1 <= de hele map met het bestand spam1.dll er in

Groetjes,

Pieter
 
Hoe kom ik in veilige modus

hoe kom ik in veilige modus in xp??

Gr Monique
 
Beste Pieter,
Ik weet op welke dag het probleem bij mij ontstaan is.
Dit is of 20 april of 21 april 2004.
Ik heb gezocht naar alle dll bestanden van deze datum.
Het zijn er 5 (in c windows system) zijnde:

Rtcres.dll 132 kb
pncrt.dll 272 kb
pndx5016.dll 7 kb
pndx5032.dll 6 kb
moc3260.dll

Via eigenschappen bestanden bekeken.
rtcres.dll bedrijfsnaam microsoft


pncrt bedrijfsnaam Real networks produktnaam realplayer/realserver
pndx5016 Real Networks inc, direct xx helper dll 16 bit
pndx5032 Real Networks inc, direct xx helper dll 32 bit
moc3260.dll Real networks Inc,

Ik heb rond die tijd ook realplayer v10 gedwonload.
Pieter, misschien is het een verborgen bestand
Hoe kan ik een verborgen bestand in c windows system zichtbaar maken ???????
 
Geplaatst door Mitch FR


Bedankt!

C:\DOCUME~1\Michel\LOCALS~1\Temp\~e5d141.tmp

Deze file zat er niet meer tussen toen ik HijackThis weer runde, maar dat is een temporary file, dus dat zal er wel mee te maken hebben. Ik heb ook de scan op Housecall.nl gedaan en er is één geïnfecteerd bestand, maar dat kon niet verholpen worden.

Het virus JAVA_BYTEVER.A heeft de file

C:\Documents and settings\Michel\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\connt.jar-6f603a77-62cc4816.zip

geïnfecteerd. BlackBox.class, stond er ook nog bij. Kan deze file zonder pardon gedeleted worden?
Klik om te vergroten...

Hoi Mitch,
Leeg de cache eens handmatig en scan daarna nog eens.

(zie onder aan de pagina van de link bij "Solution")
Olav
 
Re: Hoe kom ik in veilige modus

Geplaatst door mhol
hoe kom ik in veilige modus in xp??

Gr Monique
Klik om te vergroten...

**klik**
kijk op 3/4-e van de pagina. (Veilige modus toevoegen aan opstartmenu)

Succes,
Olav
 
Geplaatst door mariska1972

Hoe kan ik een verborgen bestand in c windows system zichtbaar maken ???????
Klik om te vergroten...

In windows verkenner, menu "Extra" / "Mapopties..."
Tabblad "Weergave"
Daar, onderaan, staan de opties voor verborgen bestanden en mappen.
Zet die op "verborgen bestanden en mappen weergeven"

Olav
 
Geplaatst door Olav
Hoi Mitch,
Leeg de cache eens handmatig en scan daarna nog eens.
Klik om te vergroten...

Succes!
Bedankt voor de tips. Alles ziet er geloof ik weer schoon uit. Maar als je nog wat tips had over het startup menu, hou ik me aanbevolen.


Logfile of HijackThis v1.97.7
Scan saved at 23:11:55, on 12-5-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\Anvshell.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\AIM\aim.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
D:\!-M\Utilities\hijackthis2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mijneigenfavorieten.nl/mgm/
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Program Files\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [AIM] C:\Program Files\AIM\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\RunOnce: [ICQ] C:\Program Files\ICQ\ICQ.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38072.6028125
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
 
v bouncer???

Hoi

Ik heb gegaan zoals jij schreef allen kan ik de VBouncer niet vinden op C:progammafiles.

Ik lijf na het opnieuw opstarten vanuit de veilige modus spam houden bij het opstarten van het internet. en ik kan nog steeds niet gif bestanden opslaan??

Gr Monique

Olav bedankt voor de tip !!!van de veilige modus
 
Geplaatst door Mitch FR


O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Program Files\ICQ\ICQNet.exe <-- Start ICQ zodra je online bent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime <--- Quicktime agent.

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot <-- Realplayer update controlle

O4 - HKCU\..\Run: [AIM] C:\Program Files\AIM\aim.exe -cnetwait.odl <-- AOL messenger
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background <-- MSN messenger
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet <-- Yahoo messenger
O4 - HKCU\..\RunOnce: [ICQ] C:\Program Files\ICQ\ICQ.exe -trayboot <-- ICQ messenger
Klik om te vergroten...

Hoi Mitch,
Bovenstaande items zijn niet echt noodzakelijk om mee op te starten en kunnen desgewenst verwijderd worden.

Groeten,
Olav
 
Laatst bewerkt:
Beste Pieter,olav
Olav bedankt voor je reactie van weergave verborgen mappen.
Deze op weergeven gezet.

Er staan bij mij in de map c windows system 12 dll bestanden die aangemaakt zijn in 2004.
zie de 5 eerder genoemde Pieter met beschrijving.
verder nog 5 met bedrijfsnaam Microsoft Corporation
en 2 dll bestanden met alleen het tabblad algemeen (dus verder geen eigenschappen).
Dat is het beruchte ekgee.dll (besmet) en
van 270104 GeoCtl.dll 376kb.

Rond de besmettingsdatum zijn de 5 in mijn vorige threat genoemde bestanden pieter.
Gaarne hierover je reactie.

Zou het aanstuurbestand dat steeds mijn nieuwe besmette dll bestand maakt (nu ekgee.dll) ook een regel kunnen zijn in bijvoorbeeld de win.ini of een ander opstartbestand.
Omdat het dll bestand ekgee.dll aangemaakt is volgens mij tijdens het aanzetten van de pC.

Welterusten en ik hoor het morgen wel weer.

Mariska
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan