Helpmij tegen spyware offensief (deel 5)

[H@ns]

Geplaatst door Stiletto
Hoi. hier de log file van hijackthis nog niks met adware verwijdert.

Doe dit de volgende keer wel svp.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Kreeft\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Kreeft\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Kreeft\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Kreeft\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Kreeft\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Kreeft\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://autosearch.cc/search.php?qq=

R3 - URLSearchHook: PerfectNavBHO Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~2.DLL

F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,

O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll (file missing)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll (file missing)
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll (file missing
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\Program Files\Bargain Buddy\bin2\apuc.dll

O3 - Toolbar: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll (file missing)

O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [jkfod] C:\WINDOWS\jkfod.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
O4 - HKLM\..\Run: [Bargains] C:\Program Files\Bargain Buddy\bin2\bargains.exe

O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://download.online-dialer.com/cax.cab
O16 - DPF: {0733B8F9-8B52-4693-A9FA-829E12D27F78} (preload control) - http://www.thepaymentcentre.com/build/preload2.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/new/bridge.cab O16 - DPF: {E9041F85-3C18-4A7E-A29D-E24F84B79BF1} - http://64.7.220.98/downloads/UGO20.exe
[/url]

Ik zou je als eerste willen aanraden HijackThis in een eigen map te zetten. HijackThis maakt namelijk backups in de map waaruit hij gedraaid wordt.

Beëindig in Taakbeheer (Ctrl+alt+Del) het volgende proces:
C:\PROGRA~1\Altnet\DOWNLO~1\asm.exe

Gooi hierna Kazaa van je computer, en installeer desnoods Kazaa Lite.

Open hierna HijackThis, vink de bovenstaande items aan, sluit alle vensters behalve HijackThis, en klik op Fix Checked.

herstart hierna in Veilige Modus, en verwijder het volgende:

C:\Program Files\MyWay << deze map
C:\progra~1\iesearchbar << deze map
C:\Program Files\Bargain Buddy << deze map
C:\Program Files\Altnet\Points Manager << deze map, mocht hij er nog zijn

Herstart weer, en run een up-to-date Ad Aware

Volg hierna de instructies hier op:
http://www.helpmij.nl/forum/showthread.php?s=&threadid=168347

Als alles achter de rug is, mag je een nieuw logje plaatsen

@Pieter, correct me if i'm wrong en zoals je al zei "ik zeg altijd even erbij welke er weg kunnen "

 

[gebruiker220]

geplaatst door gebruiker220



ik kan het genoemde bestand niet vinden pieter.
c:\windows\system32\dll.exe sturen? (liefst gezipt)

 

[H@ns]

geplaatst door gebruiker220

zoals ik al via pb zei (als antwoord op de jouwe):

het is jammer, maar niet erg

 

[Pieter Arntz]

Re: Verdwenen

Geplaatst door johnncops

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

Hoi johnncops,

Laat die nog even fixen en dan is het verder OK.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door Pingwing


Nog actie ondernemen of kan ik er vanuit gaan dat alles gefixt is nu alles ook weer normaal werkt?

Hallo Pingwing,

je bent zo driftig tekeer gegaan dat het voor mij bijna onmogelijk is om, vast te stellen welke variant van about:blank je hebt.
Helaas ja: hebt.

Download de juiste versie van notepad.exe hier:
http://www.spywareinfo.com/~merijn/winfiles.html
en vervang de notepad.exe's die je nu hebt ermee.

Kopieer het onderstaande in kladblok.
Noem het bestand Appinit.bat
Sla het op op je bureaublad

Reg save "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows" windows1.hiv
ren windows1.hiv windows.txt

Dubbelklik op Appinit.bat
Op je bureaublad wordt een bestand windows.txt gemaakt.
Post de inhoud eens.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door H@NsiePanzzzer

C:\Program Files\Altnet << deze map, mocht hij er nog zijn


@Pieter, correct me if i'm wrong en zoals je al zei "ik zeg altijd even erbij welke er weg kunnen "

Kleine correctie. Het verwijderen van de hele map Altnet zal je niet in dank afgenomen worden.
Het is beter om de submap C:\Program Files\Altnet\Points Manager te verwijderen.
Daarmee ben je de spyware kwijt en blijft Kazaa gewoon werken.

De rest verwijderen we wel als Stiletto straks een nieuw log plaatst.

Groetjes,

Pieter

 

[H@ns]

Het was zo'n rotzooi dat ik de wat minder bekende dingetjes over het hoofd zag, en ben benieuwd hoe het nieuwe log eruit ziet.

Kzal het meteen even veranderen, voor het geval dat hij jouw post te laat ziet. Maar ik had hem al verteld eerst Kazaa te verwijderen, is het dan nog nodig alleen de submap te verwijderen of mag nu ook Altnet weg?

 

[Systemizer X100]

Re: Re: ben ik weer

Geplaatst door Pieter Arntz


Die komt me erg bekend voor. Jou ook?

Stuur dat ding eens naar me op:
C:\WINDOWS\System32\lrdsvr.exe
Liefst gezipt naar =>dit adres (Klik hier)<=

Groetjes,

Pieter

Heb je al iets gevonden?

 

[Pingwing]

Geplaatst door Pieter Arntz



Download de juiste versie van notepad.exe hier:
http://www.spywareinfo.com/~merijn/winfiles.html
en vervang de notepad.exe's die je nu hebt ermee.

Kopieer het onderstaande in kladblok.
Noem het bestand Appinit.bat
Sla het op op je bureaublad

Reg save "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows" windows1.hiv
ren windows1.hiv windows.txt

Dubbelklik op Appinit.bat
Op je bureaublad wordt een bestand windows.txt gemaakt.
Post de inhoud eens.

Groetjes,

Pieter

Thanks voor je reactie. Notepad inmiddels vervangen door de goeie, die doet het weer. Daarna dus appinit.bat aangemaakt zoals je hebt uitgelegd, maarre...het slechte nieuws is de volgende foutmelding (MSDOS scherm) :


C:\WINDOWS\Desktop>Reg save "HKLM\Software\Microsoft\Windows NT\CurrentVersion\W
indows" windows1.hiv
De opdracht of bestandsnaam is onjuist.

C:\WINDOWS\Desktop>ren windows1.hiv windows.txt
Het bestand is niet gevonden - windows1.hiv


Er wordt geen windows.txt aangemaakt, dus valt er weinig te posten. Wat nu?

 

[Pieter Arntz]

Geplaatst door Pingwing

Thanks voor je reactie. Notepad inmiddels vervangen door de goeie, die doet het weer. Daarna dus appinit.bat aangemaakt zoals je hebt uitgelegd, maarre...het slechte nieuws is de volgende foutmelding (MSDOS scherm) :

Er wordt geen windows.txt aangemaakt, dus valt er weinig te posten. Wat nu?

LOL. Mijn fout. Windows Me heeft geen AppInit_DLLs
Het vervangen van de notepad bestanden is voldoende.

Draai voor de zekerheid nog even AdAware.

Groetjes,

Pieter

 

[Pieter Arntz]

Re: Re: Re: ben ik weer

Geplaatst door Systemizer X100


Heb je al iets gevonden?

Hoi Systemizer,

Ik heb hem door moeten sturen voor analyse, omdat ik het bestand niet uitgepakt kreeg.
(Sinds ik een keer de Spybot Worm heb "uitgepakt" (geheugendump) ben ik wat voorzichtiger )

Zodra ik wat weet krijg je een antwoord op je mailtje. De manier waarop het bestand beveiligd is tegen uitpakken beloofd echter niet veel goeds.

Groetjes,

Pieter

 

[Honnes]

Sinds vrijdag merk ik dat ik steeds op minder websites kan komen ofzo.

Ik ga bijvoorbeeld naar www.darkgalaxy.com en die wil niet. De dag erna wil één van mijn forums ook al niet meer en de dag daarop komt het ergste en is mijn favoriete forum niet meer toegankelijk.

Bij die 3 sites krijg ik nu altijd 'Pagina kan niet...', die stnadaard tekst.

Ik heb mijn virusscan, firewall, anti spyware (heb ik nooit aan) maar heb ik nu eens erover heen gegooid.

Ik baal hier echt van want ik kan nu nooit weer naar mijn favorieten toe.

Ik heb het volgende geïnstalleerd:

Windows XP
MCAffee Firewall en virusscan

Verder geen beveiligingssoftware.

Alsjeblieft, help mij, ik kan niet zonder die sites

Ik heb gescanned met Ad-ware de nieuwste, minstens 7x en ik heb ook met spybopt search & Destroy tig keren gescanned.

Vervolgens heb ik hijackthis gedaan. Hier is het log.

Logfile of HijackThis v1.97.7
Scan saved at 12:06:08, on 29-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
c:\PROGRA~2\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\PROGRA~2\mcafee.com\agent\mcagent.exe
C:\PROGRA~2\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~2\McAfee.com\PERSON~1\MpfTray.exe
c:\progra~2\mcafee.com\vso\mcvsescn.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~2\McAfee.com\PERSON~1\MpfAgent.exe
C:\PROGRA~2\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
c:\PROGRA~2\mcafee.com\vso\mcshield.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\MsiExec.exe
C:\WINDOWS\System32\MsiExec.exe
C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
D:\Downloads\apps\HijackThis - spyware -\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.arnhem.chello.nl:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - D:\Program Files\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - D:\Program Files\URLBlaze\UBmon.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~2\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~2\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~2\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~2\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~2\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MPFTray] C:\PROGRA~2\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download Using &BitSpirit - D:\Program Files\BitSpirit\bsurl.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~2\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Research (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28177.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{60DB6CC8-11F2-4C9D-B655-F3A77601D14B}: Domain = chello.nl
O17 - HKLM\System\CCS\Services\Tcpip\..\{60DB6CC8-11F2-4C9D-B655-F3A77601D14B}: NameServer = 212.142.28.66,212.142.28.130
O17 - HKLM\System\CCS\Services\Tcpip\..\{99FB1A19-8034-4548-93CA-4B7A6A1EA51A}: Domain = chello.nl
O17 - HKLM\System\CCS\Services\Tcpip\..\{99FB1A19-8034-4548-93CA-4B7A6A1EA51A}: NameServer = 212.142.28.66,212.142.28.130

(mochten er nog andere onnodige dingen inzitten, meld het me dan graag, maar het gaat me vooral om het internetten)

Met vriendelijke groeten,

Honnes

 

[Pieter Arntz]

Geplaatst door H@NsiePanzzzer
Het was zo'n rotzooi dat ik de wat minder bekende dingetjes over het hoofd zag, en ben benieuwd hoe het nieuwe log eruit ziet.

Kzal het meteen even veranderen, voor het geval dat hij jouw post te laat ziet. Maar ik had hem al verteld eerst Kazaa te verwijderen, is het dan nog nodig alleen de submap te verwijderen of mag nu ook Altnet weg?

Het is in ieder geval handiger voor hem als hij de gevolgen weet. Sommige mensen zijn nogal aan KaZaa gehecht.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door Honnes

O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - D:\Program Files\URLBlaze\UBmon.dll

Hoi Honnes,

Vink de bovenstaande aan in HijackThis, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start dan opnieuw op.

Scheelt dat?

Groetjes,

Pieter

 

[Systemizer X100]

Re: Re: Re: Re: ben ik weer

Geplaatst door Pieter Arntz


Hoi Systemizer,

Ik heb hem door moeten sturen voor analyse, omdat ik het bestand niet uitgepakt kreeg.
(Sinds ik een keer de Spybot Worm heb "uitgepakt" (geheugendump) ben ik wat voorzichtiger )

Zodra ik wat weet krijg je een antwoord op je mailtje. De manier waarop het bestand beveiligd is tegen uitpakken beloofd echter niet veel goeds.

Groetjes,

Pieter

Huh, maar ik kan m wel uitpakken. Of bedoel je als dat je virusscanner het niet toelaat?

 

[Honnes]

Geplaatst door Pieter Arntz


Hoi Honnes,

Vink de bovenstaande aan in HijackThis, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start dan opnieuw op.

Scheelt dat?

Groetjes,

Pieter

Waarempel, het heeft geholpen. Toppie !

Alleen één ding snap ik dan niet, dat URLBlaze is één van de forums waar ik niet meer op kon komen, dus ik zou zeggen dat dat bestand onderdeel uitmaakt van hun programma ?

Toch nog bedankt !

 

[Pingwing]

Geplaatst door Pieter Arntz


LOL. Mijn fout. Windows Me heeft geen AppInit_DLLs
Het vervangen van de notepad bestanden is voldoende.

Draai voor de zekerheid nog even AdAware.

Groetjes,

Pieter

Bedankt he.

Heb AdAware en Spybot inmiddels nog een keer gedraaid, toch nog aardig wat gevonden aan CWS objecten en Tracking Cookie bla bla. Dit allemaal verwijderd en heb inmiddels geen problems meer.
Scans vinden geen nieuwe objecten meer en ook CWShredder vertelt mij nu dat mijn comp clean is.

Dus laten we daar dan maar vanuit gaan.

Thanks en groetjes,

Pingwing

 

[Pieter Arntz]

Geplaatst door Honnes

Alleen één ding snap ik dan niet, dat URLBlaze is één van de forums waar ik niet meer op kon komen, dus ik zou zeggen dat dat bestand onderdeel uitmaakt van hun programma ?

Hoi Honnes,

Hij staat op Ton en mijn lijstje als een X (niet goed)
http://www.computercops.biz/clsid-560.html
Alleen de link die we hadden naar hun privacy-policy loopt dood. Dat was volgens mij de reden dat we er een X van gemaakt hadden.

Mais bon. Het heeft geholpen.

Groetjes,

Pieter

 

[Snikkie]

Logfile Snikkie

Mijn Logfile, ik heb Adaware gebruikt voor ik met HijackThis gescand heb.


Logfile of HijackThis v1.97.7
Scan saved at 13:16:14, on 29-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Norton Internet Security\IAMAPP.EXE
C:\PROGRA~1\DAP\DAP.EXE
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\documents and settings\arjen dondorp\local settings\temp\fsg_tmp\ginst_001_1234_4201.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Norton Internet Security\SymProxySvc.exe
C:\Program Files\Norton Internet Security\NISSERV.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Arjen Dondorp\Local Settings\Temp\Tijdelijke map 6 voor hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: (no name) - {6CC9BFFC-9761-4621-888D-783041F45788} - C:\WINDOWS\System32\fjnnem.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\IEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: (no name) - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - (no file)
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [wincli] C:\WINDOWS\SYSTEM32\WINCLI.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WatchDogExe] C:\Program Files\Voetbal International\WatchDog.Exe
O4 - HKLM\..\Run: [CloneCDTray] C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRxdm069
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Create Mobile Favorite (HKLM)
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM)
O9 - Extra button: Onderzoek (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversInitialSetup1.0.0.8.cab
O16 - DPF: {37066585-F2BD-4F2E-A6C6-F2CB64EEE826} (Token Class) - https://terminal.kahuna.nl/webapp/psvpns/NetillaPackage.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38009.0821412037
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/1d/player.virtools.com/downloads/player/Install2.1/Installer.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F0230524-9D39-4E84-8452-41C592961EA7} (Installer Class) - http://www.tradeexit.com/Config.cab

 

[Dequiero]

Lavasoft Ad-aware 6 gebruikt.

Logfile of HijackThis v1.97.7
Scan saved at 13:23:13, on 29/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\javavg.exe
C:\WINDOWS\System32\nutsrv4.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\PROGRA~1\LICENS~1\Info Vc.exe
C:\WINDOWS\netry32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Jelle\Bureaublad\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lidvw.dll/sp.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lidvw.dll/sp.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\lidvw.dll/sp.html#44272
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door Telenet
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://users.pandora.be/dequiero/dequiero.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
O2 - BHO: (no name) - {C432091F-3F6D-C8A2-AC3B-D61C7E6A758B} - C:\WINDOWS\appdj32.dll
O2 - BHO: (no name) - {D1C5113B-3084-ECB3-FD04-15B943765457} - C:\WINDOWS\system32\adddf.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NuTCSetupEnviron] C:\PROGRA~1\RATIONAL\RATION~1\NUTCROOT\bin\ncoeenv.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [copy defy] C:\PROGRA~1\LICENS~1\Info Vc.exe
O4 - HKLM\..\Run: [netry32.exe] C:\WINDOWS\netry32.exe
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKLM\..\RunOnce: [Ad-aware] "C:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe" "+b1"
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.pandora.be
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37914.6175
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/1d/player.virtools.com/downloads/player/Install2.1/Installer.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Alvast bedankt!