Helpmij tegen spyware offensief (deel 5)

H@ns · 29 jun 2004

Re: Niet op meer Internet daarom deze log

Geplaatst door Stanley19

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} - http://www.xxxtoolbar.com/ist/softw...0006_cracks.cab

Hoi Stanley,

Laat hem bovenstaande aanvinken, alle vensters behalve HijackThis sluiten en klikken op "Fix Checked"

Start hierna opnieuw op.

gmooij · 29 jun 2004

verzoek cleanup spyware

Gescand met adaware en daarna hijack met versie nr's zoals opgegeven. Het probleem is dat ik een pop-up schermpje krijg (windows lookalike) waarin gemeld wordt dat windows spyware heeft ontdekt en dat ik iets moet laden. Onder bijgevoegd m'n hijacklog. Check svp op spyware. dank. gr Gert
Logfile of HijackThis v1.97.7
Scan saved at 21:45:07, on 29-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\carpserv.exe
C:\Program Files\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ssoftsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\unzipped\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.arnhem.chello.nl:8080
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.startpagina.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\COMMON~1\Real\Toolbar\realbar.dll
O2 - BHO: (no name) - {98DBBF16-CA43-4c33-BE80-99E6694468A4} - C:\WINDOWS\System32\msmk.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\COMMON~1\Real\Toolbar\realbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Program Files\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
O4 - HKLM\..\Run: [IW_ControlCenter] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37718.344375
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab

buffy · 29 jun 2004

Hans,

waarom zou Stanley19 onderstaande moeten fixen?

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

Daar is niets mis mee, hoort gewoon bij de nVidia videokaarten met nView.

H@ns · 29 jun 2004

Re: Spyware Flash Track etc.

Geplaatst door catman

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/QuickPage/Portal/portal.html

O2 - BHO: (no name) - {4401FDC3-7996-4774-8D2B-
O2 - BHO: (no name) - {63CF97E8-4133-438a-A831-CC9C6D47D673} - c:\Program Files\Reg2\Reg2.dll
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)

O3 - Toolbar: (no name) - {58A83E4F-477A-4A3F-BF9B-B65BC2BD5598} - (no file)

O16 - DPF: {1D185838-009D-47C8-824B-B65B4854430E} (Installer Class) - [/B][/QUOTE] Hoi olf, Vink b... map (deze was van Flash tracker ;)) Suc6!

H@ns · 29 jun 2004

Geplaatst door buffy
Hans,

waarom zou Stanley19 onderstaande moeten fixen?

Daar is niets mis mee, hoort gewoon bij de nVidia videokaarten met nView. Als die gefixed worden, ben je ook je mogelijkheid om nView via de taakbalk te configureren kwijt.

Zijn inderdaad van NVidea, de tweede mag hij laten zitten, maar de eerste

"/installquiet /keeploaded /nodetect " waarom zoiets vaags? "stil installeren/niet detecteren/blijf geladen...

Maar goed, jij je zin

Ben toch wel benieuwd wat het nou eigenlijk is en waarom dat "/installquiet /keeploaded /nodetect "

Pieter Arntz · 29 jun 2004

Re: about:blank vrees het ergste

Geplaatst door mailmoney
Beste Pieter,

maakt een mens niet blij als je zegt "vrees het ergste".
Dit moet wel een geniepige zijn.

Ik heb het windows1.hiv bestand als txt bestand gevoegd.

Ben benieuwd of jullie een oplossing kunnen bedenken.
In ieder geval alvast bedankt.

Helaas had ik wel gelijk:
AppInit_DLLs
C:\WINDOWS\System32\kbd.dll

Die dll moet verwijderd worden.

Dwonload maar doe nog niks met CWShredder
Kopieer het dikgedrukte hieronder naar kladblok en sla het op als hiving.bat op het bureaublad
Verbreek de verbinding met internet (desnoods fysiek)

@echo off
Echo Working

Reg Query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v Appinit_Dlls
If ERRORLEVEL==1 GoTo End
GoTo DOIT
:End

echo >not.vbs MsgBox "No Appinit_Dlls value Present" ^& vbcrlf ^& "Removal Aborted"
Wscript.exe not.vbs
del not.vbs
Exit

OIT
If exist backup.hiv del backup.hiv
If exist f.hiv del f.hiv

reg save "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" backup.hiv
ne

PING 1.1.1.1 -n 2 -w 1000 >NUL
if not exist backup.hiv goto one

Reg Delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /f

Reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NotWindows"
:Notthere

PING 1.1.1.1 -n 2 -w 1000 >NUL
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NotWindows"
IF ERRORLEVEL ==1 Go to Notthere

reg Restore "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NotWindows" backup.hiv

:two

PING 1.1.1.1 -n 2 -w 1000 >NUL
Reg Query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NotWindows" /v Appinit_Dlls
IF ERRORLEVEL==1 GOTO two

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NotWindows" /v Appinit_Dlls /f
:appy

PING 1.1.1.1 -n 2 -w 1000 >NUL
Reg Query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NotWindows" /v Appinit_Dlls
If Not ERRORLEVEL==1 GOTO appy

Reg save "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NotWindows" f.hiv
:three

PING 1.1.1.1 -n 4 -w 1000 >NUL
if not exist f.hiv GOTO three

Reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NotWindows" /f

Reg Add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows"
:four

PING 1.1.1.1 -n 1 -w 1000 >NUL
Reg Query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows"
If ERRORLEVEL==1 GOTO four

:five

PING 1.1.1.1 -n 2 -w 1000 >NUL
Reg Restore "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" f.hiv
Reg Query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v USERProcessHandleQuota
If ErrorLevel==1 GOTO five

If exist f.hiv ren f.hiv fbackup.hiv

Echo > finished.vbs MsgBox "Done"
Wscript.exe finished.vbs
del finished.vbs

Dubbelklik op hiving.bat en start je computer opnieuw op.
De verborgen dll die we gevonden hadden moet nu zichtbaar zijn.
Rechtsklik er op en haal het vinkje weg bij "Alleen lezen"
en verwijder het bestand.

Run CWShredder.
Gebruik de Fix knop en volg de aanwijzingen van het programma op.

Groetjes,

Pieter

Markus D · 29 jun 2004

Hoi Hans, wil je bij deze hartelijk bedanken voor je hulp.

Zit al een uur op internet zonder vastlopers ( een puur genot) en kan bv, weer op een site komen als google de zoekmachine. Deze was voor mij maanden niet meer te bereiken.

Dus nogmaals hartelijk dank:thumb:

buffy · 29 jun 2004

Geplaatst door H@NsiePanzzzer
Ben toch wel benieuwd wat het nou eigenlijk is en waarom dat "/installquiet /keeploaded /nodetect "

Is niets bijzonders, deze regel krijg je als je de boel op een bepaalde manier instelt (zodanig dat je er geen last van hebt

- vandaar dat "quiet" en "nodetect").

Snikkie · 29 jun 2004

Beste Pieter/ Hans/ Who ever, ik heb eerst dit gedaan wat je zei:
(Kopieer het onderstaande in kladblok.
Noem het bestand Appinit.bat
Sla het op op je bureaublad

Reg save "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows" windows1.hiv
ren windows1.hiv windows.txt

Dubbelklik op Appinit.bat
Op je bureaublad wordt een bestand windows.txt gemaakt.)

daarna opgestart in veilige modus en
C:\Program Files\MyWebSearch verwijderd, maar ik kan C:\documents and settings\arjen dondorp\local settings\temp\fsg_tmp EN C:\Program Files\Common Files\GMT níét vinden.

Pieter Arntz · 29 jun 2004

Geplaatst door Pingwing
Nog iets aan doen?

Nee :thumb:

Ziet er netjes uit nu.

Groetjes,

Pieter

H@ns · 29 jun 2004

Geplaatst door buffy

Is niets bijzonders, deze regel krijg je als je de boel op een bepaalde manier instelt (zodanig dat je er geen last van hebt - vandaar dat "quiet" en "nodetect").

Ah zit dat zo... weer wat geleerd

Thanx Buffy :thumb:

H@ns · 29 jun 2004

Geplaatst door Markus D
Hoi Hans, wil je bij deze hartelijk bedanken voor je hulp.

Zit al een uur op internet zonder vastlopers ( een puur genot) en kan bv, weer op een site komen als google de zoekmachine. Deze was voor mij maanden niet meer te bereiken.

Dus nogmaals hartelijk dank:thumb:

Graag gedaan, fijn dat het opgelost is, en dat pure genot kan ik me best voorstellen, na al die vastlopers etc :thumb:

Pieter Arntz · 29 jun 2004

Geplaatst door H@NsiePanzzzer

Hoi Markus, allereerst wil ik je aanraden HijackThis uit te pakken naar een eigen map. HijackThis maakt namelijk backups in de map waaruit ie opgestart wordt, en dat is in jouw situatie (tempmap) wel mogelijk, maar snel verdwenen (temp=tijdelijk)

Vink hierna bovenstaande aan, sluit alle vensters behalve HijackThis, en klik op Fix Checked.

Start hierna opnieuw op, en plaats even een nieuw logje.

Trouwens, heb jij een idee wat dit zou kunnen zijn?

O4 - HKLM\..\Run: [zdbeamgncrvvk]
O4 - HKLM\..\Run: [jujej] C:\WINDOWS\jujej.exe

Erg vreemde namen!

Kan weg. nCase spyware.

De regels uitvinken in HijackThis. De bestanden kun je in twijfelgevallen gewoon laten staan. dan heb je nog wat aan de backups die HijackThis maakt.

Groetjes,

Pieter

Pieter Arntz · 29 jun 2004

Re: Inhoud windows.txt

Geplaatst door Snikkie
VAAAAAG ik krijg een paar woorde en een heleboel van die vierkantjes ---> <--- in Windows.txt. Verder dan 'regf' kan ik niet kopieren. What to do?

PS als ik jullie erg tot last ben zeg je het maar hoor:thumb:

Dat hoort zo. POst hem maar of voeg het bestandje toe als bijlage. Voor deze dingen liefst het laatste.

Groetjes,

Pieter

Snikkie · 29 jun 2004

Beste Pieter/ Hans/ Who ever, ik heb eerst dit gedaan wat je zei:
(Kopieer het onderstaande in kladblok.
Noem het bestand Appinit.bat
Sla het op op je bureaublad

Reg save "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows" windows1.hiv
ren windows1.hiv windows.txt

Dubbelklik op Appinit.bat
Op je bureaublad wordt een bestand windows.txt gemaakt.)

daarna opgestart in veilige modus en
C:\Program Files\MyWebSearch verwijderd, maar ik kan C:\documents and settings\arjen dondorp\local settings\temp\fsg_tmp EN C:\Program Files\Common Files\GMT níét vinden.

Pieter Arntz · 29 jun 2004

Re: Niet op meer Internet daarom deze log

Geplaatst door Stanley19

O4 - HKLM\..\Run: [mswspl] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKCU\..\Run: [Itlo] C:\Documents and Settings\Eigenaar\Application Data\dbdw.exe
O4 - HKCU\..\Run: [WCPS] C:\WINDOWS\System32\winttr.exe

O4 - Global Startup: Date Manager.lnk = C:\Program Files\Date Manager\DateManager.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe

O4 - Global Startup: PrecisionTime.lnk = C:\Program Files\PrecisionTime\PrecisionTime.exe

O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx

O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006_cracks.cab

Hoi Stanley19,

Vink dan de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op in veilige modus en verwijder:
C:\Documents and Settings\Eigenaar\Application Data\dbdw.exe
C:\WINDOWS\System32\winttr.exe

Daarna P2P Networking verwijderen via Configuratiescherm > Software

Als het goed is kan hij dan het internet weer op.
AdAware en CWShredder gebruiken.

Links en uitleg: http://home.planet.nl/~kleyn080/Spywareinfonl.html

Groetjes,

Pieter

Pieter Arntz · 29 jun 2004

Re: Spyware Flash Track etc.

Geplaatst door catman

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/QuickPage/Portal/portal.html

O2 - BHO: (no name) - {63CF97E8-4133-438a-A831-CC9C6D47D673} - c:\Program Files\Reg2\Reg2.dll <= FlashTrack
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)

O3 - Toolbar: (no name) - {58A83E4F-477A-4A3F-BF9B-B65BC2BD5598} - (no file)

O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\breg.exe"
O4 - HKLM\..\Run: [Jreg] "C:\Program Files\Common Files\Java\Jreg2b.exe"

Hoi catman,

Vink dan de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op in veilige modus en verwijder:
C:\Program Files\Common Files\Java\Jreg2b.exe
C:\Program Files\Common Files\Java\breg.exe
c:\Program Files\QuickPage <= de hele map
c:\Program Files\Reg2 <= de hele map

Groetjes,

Pieter

Stanley19 · 29 jun 2004

Re: Re: Niet op meer Internet daarom deze log

Geplaatst door Pieter Arntz

Hoi Stanley19,

Vink dan de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op in veilige modus en verwijder:
C:\Documents and Settings\Eigenaar\Application Data\dbdw.exe
C:\WINDOWS\System32\winttr.exe

Daarna P2P Networking verwijderen via Configuratiescherm > Software

Als het goed is kan hij dan het internet weer op.
AdAware en CWShredder gebruiken.

Links en uitleg: http://home.planet.nl/~kleyn080/Spywareinfonl.html

Groetjes,

Pieter

Hi Pieter,

Ik vraag me af welke 'bestandjes' er voor zorgen dat ZIJ (hehe) niet meer op inet kan en beetje uitleg daarover misschien

Pieter Arntz · 29 jun 2004

Geplaatst door Markus D
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index.html?[url]http://about:blank[/url]

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\mxTarget.dll

O2 - BHO: (no name) - {1B7D753B-1981-4bd2-91F3-6D055EE113A0} - C:\WINDOWS\System32\NDrv.dll
O2 - BHO: SEND BROWSE - {227E4B96-28EA-0497-05D9-C7EA2A1C22AD} - C:\PROGRA~1\SAFEEN~1\BALL TYPE.dll

O3 - Toolbar: Idle Cdrom - {CCD9A6A5-17C4-035B-232D-C01F2C386810} - C:\PROGRA~1\SAFEEN~1\BALL TYPE.dll

O4 - HKLM\..\Run: [vgasoftware] C:\PROGRA~1\EQPEAK~1\Mapi wipe admin.exe

O4 - HKLM\..\Run: [pwlet] C:\WINDOWS\pwlet.exe
O4 - HKLM\..\Run: [zdbeamgncrvvk] C:\WINDOWS\System32\mhoyyj.exe
O4 - HKLM\..\Run: [riz] C:\WINDOWS\riz.exe
O4 - HKLM\..\Run: [jujej] C:\WINDOWS\jujej.exe

O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://download.rfwnad.com/cab/dlaccell.CAB
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CCS\Services\Tcpip\..\windows: NameServer = 216.127.92.38

O17 - HKLM\System\CCS\Services\Tcpip\..\{414C4234-511A-4B8F-8562-C602A2CD28E7}: NameServer = 216.127.92.38
O17 - HKLM\System\CCS\Services\Tcpip\..\{58DD2F78-1C91-4847-8888-17FBA3A9B314}: NameServer = 216.127.92.38
O17 - HKLM\System\CCS\Services\Tcpip\..\{757EF1A5-5B1A-49BF-8F6D-39A9CE735E3F}: NameServer = 216.127.92.38
O17 - HKLM\System\CCS\Services\Tcpip\..\{AFA5967E-40B5-475D-95F2-C27ACEDFD96C}: NameServer = 216.127.92.38
O17 - HKLM\System\CS1\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 216.127.92.38
O17 - HKLM\System\CS1\Services\Tcpip\..\windows: NameServer = 216.127.92.38
O17 - HKLM\System\CS2\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 216.127.92.38
O17 - HKLM\System\CS2\Services\Tcpip\..\windows: NameServer = 216.127.92.38
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 216.127.92.38

Vink dan de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op in veilige modus en verwijder:
C:\PROGRAM FILES\SAFEEN~1 <= de hele map met het bestand BALL TYPE.dll er in
C:\PROGRA~1\EQPEAK~1 <= de hele map met het bestand Mapi wipe admin.exe er in

Groetjes,

Pieter

Stanley19 · 29 jun 2004

Re: Re: Re: Niet op meer Internet daarom deze log

Geplaatst door Stanley19

Hi Pieter,

Ik vraag me af welke 'bestandjes' er voor zorgen dat ZIJ (hehe) niet meer op inet kan en beetje uitleg daarover misschien

Hijackthis gefixed ,
Maar goed het waren deze bestanden niet want die zijn verwijderd kon ze niet vinden in veilige modus namelijk.

Helpmij tegen spyware offensief (deel 5)

Terugkerende gebruiker

Gebruiker

Meubilair

Terugkerende gebruiker

Terugkerende gebruiker

Spywareslayer

Gebruiker

Meubilair

Gebruiker

Spywareslayer

Terugkerende gebruiker

Terugkerende gebruiker

Spywareslayer

Spywareslayer

Gebruiker

Spywareslayer

Spywareslayer

Terugkerende gebruiker

Spywareslayer

Terugkerende gebruiker

Wij waarderen jouw privacy