Helpmij tegen spyware offensief (deel 5)

Status
Niet open voor verdere reacties.
Re: bedankt

Geplaatst door jabo10
Dag Hans,

Als eerste bedankt, ik gebruik het omdat er een pop-up killer in zit die beter werkt als EMS free surfer MK2.
Of heb je een ander prog. die beter werkt.


O4 - HKLM\..\Run: [win32.exe] C:\WINDOWS\win32.exe

O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file)
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\windows\win.exe

Bob
Klik om te vergroten...

Hoi jabo10,

In Hijack This, vink alle bovenstaande items (zie quote) aan.
Sluit alle schermen, behalve Hijack This zelf.
Klik vervolgens op "Fix Checked"

Herstart de PC op in veilige modus
Zorg dat in de map opties van Windows Verkenner (Menu Extra --> Mapopties --> Tabblad "Weergave") "Verborgen mappen en bestanden weergeven" aan staat.

Verwijder via Windows verkenner de volgende zaken (mits nog aanwezig):

c:\windows\win.exe <-- bestand
C:\WINDOWS\win32.exe <-- bestand

Herstart de PC weer normaal op en scan nogmaals met Hijack This om te controleren of alle troep weg is.

Succes,
Olav
 
Laatst bewerkt:
Geplaatst door H@NsiePanzzzer


*** zijn naar mijn mening en enkele bekende sites overbodig.

Vink bovenstaande items aan in HijackThis, sluit alle vensters behalve HijackThis en klik op Fix Checked.

Start hierna opnieuw op.
Klik om te vergroten...

Verwijder daarna ook de hele map
C:\Program Files\Common Files\GMT\

Olav
 
Re: startpagina-probleem

Geplaatst door de muziekleraar
Hallo,

omdat mijn probleem na adaware, spybot, regclean en hijacjthis nog niet is opgelost:

ik kan mijn startpagina niet meer veranderen en krijg een foutmelding: "bewerking geannuleerd wegens beperkingen op uw systeem"

en ik ook zojuist met trendmicro 4 trojan bestanden heb gedeleted vraag ik jullie nog eens naar mijn nieuwe hijack-log te kijken:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
Klik om te vergroten...
Hoi de muziekleraar,

In Hijack This, vink alle bovenstaande items (zie quote) aan.
Sluit alle schermen, behalve Hijack This zelf.
Klik vervolgens op "Fix Checked"

Herstart de PC opnieuw op.

Succes,
Olav
 
N.a.v. een eerdere log (29juni04) heb ik een aantal zaken verwijderd zoals angegeven door Hans.
Op verzoek van Hans hier de nieuwe log die met Pieter gecheckt moest worden. Graag advies. gr Gert

Logfile of HijackThis v1.97.7
Scan saved at 0:34:52, on 1-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\carpserv.exe
C:\Program Files\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ssoftsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\taskmgn.exe
C:\WINDOWS\System32\rundll.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\unzipped\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.arnhem.chello.nl:8080
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.startpagina.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\COMMON~1\Real\Toolbar\realbar.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\COMMON~1\Real\Toolbar\realbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Program Files\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
O4 - HKLM\..\Run: [IW_ControlCenter] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37718.344375
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
 
Re: Re: bedankt

Geplaatst door Olav


Hoi jabo10,
Download ??????
In Hijack This, vink alle bovenstaande items (zie quote) aan.
Sluit alle schermen, behalve Hijack This zelf.
(...)
Olav
Klik om te vergroten...

Hoi Olav, bedoel je op die plaats van ???? CWShredder? (post van je bovenaan deze pagina)
 
Geplaatst door Önder
Hans,

Ik weet niet of dit het goeie plek ervoor is maar je linkepagina in je handetekening doet het niet. Wilde het effe melden.;)
Klik om te vergroten...


Klopt ja, ben er druk mee bezig ;)

Heb hem daarom even offline gehaald:)
 
Re: Re: startpagina-probleem

Geplaatst door Olav

Hoi de muziekleraar,

In Hijack This, vink alle bovenstaande items (zie quote) aan.
Sluit alle schermen, behalve Hijack This zelf.
Klik vervolgens op "Fix Checked"

Herstart de PC opnieuw op.

Succes,
Olav
Klik om te vergroten...


Ik heb eerst alleen de bovenste twee verwijderd en dat werkte al! Bedankt, Olaf!
 
Re: Re: Re: bedankt

Geplaatst door H@NsiePanzzzer


Hoi Olav, bedoel je op die plaats van ???? CWShredder? (post van je bovenaan deze pagina)
Klik om te vergroten...

Oeps, nee, die hoorde er niet in.
Olav
 
Geplaatst door gmooij
N.a.v. een eerdere log (29juni04) heb ik een aantal zaken verwijderd zoals angegeven door Hans.
Op verzoek van Hans hier de nieuwe log die met Pieter gecheckt moest worden. Graag advies. gr Gert
Klik om te vergroten...

Hallo gmooij,
Helemaal schoon :thumb:

Olav
 
Re: startpagina-probleem

Geplaatst door de muziekleraar

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
Klik om te vergroten...
Als je die Fixed zijn de beperkingen weg.
Maar die heb je waarschijnlijk zelf ingesteld.
(Spybot S&D, SpywareBlaster en nog wat andere programma's bieden die mogelijkheid)
http://www.wilderssecurity.com/showthread.php?t=17397

Groetjes,

Pieter
 
Goede morgen Pieter

Ik heb gisteren onder het voetballen even geCWSest op een test computer
Ik dacht even about:blank te krijgen maar dat is weer niet gelukt
Hij kwam wel 2 keer met about:blank maar dat kon weer veranderen
Je zult wel denken wat een oen

Wel werden er door mijn virusscanner (je weet wel,dat aftreksel ) 4 Trojans gevonden en 1 spyware item
In C:\Windows\70000041-Trojan Dropper W32.drodos.
In C:Windows\Showhelpmesgebox-Trojan W32.Dialer.u
In C:\Windows\Alchem.exe-Trojandownloader.W32.Alchemic.
In C:\Programfiles\crack.zip-Trojandownloader.W32.Small.na
In C:\Windows\Preinstt.exe-AdvWare Bispy
En onder Software-Bridge en een programma met de naam
Windows SR 2.0
Toen ik Windows SR 2.0 wilde verwijderen kwam de volgende mededeling:
1.Relevancy of search results
2.Improved Windows Search Capabilities
3.Spamfree search Results

In HJ logfile stond alleen xxxtoolbar. als een cab file
Ad-aware vond 11 items en ook online Pestscan vond nog het nodige in het register

En nu komt de vraag natuurlijk waarom doetie dat nou allemaal
Kennis opdoen
 
reactie

Logfile of HijackThis v1.98.0
Scan saved at 11:28:01, on 1-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\appfo32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\riauapdk.exe
C:\Program Files\WindowsSA\omniscient.exe
C:\WINDOWS\system32\ntcv.exe
C:\PROGRA~1\Bind32Build\Test regs.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\services.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOCUME~1\Willem\LOCALS~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xszta.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://xszta.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xszta.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xszta.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xszta.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xszta.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {F25C11A7-4B1F-5738-A16E-7A1B2A977B88} - C:\WINDOWS\system32\apppx32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [CleanEasyImg] c:\apps\easydvd\cleanall.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TaskMon] C:\WINDOWS\System32\taskmon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Documents and Settings\Mario\Bureaublad\overig\MsgPlus.exe"
O4 - HKLM\..\Run: [jkizkxajm] C:\WINDOWS\System32\riauapdk.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [ntcv.exe] C:\WINDOWS\system32\ntcv.exe
O4 - HKLM\..\Run: [meow knob] C:\PROGRA~1\Bind32Build\Test regs.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunOnce: [appfo32.exe] C:\WINDOWS\appfo32.exe
O4 - HKLM\..\RunOnce: [sdknt.exe] C:\WINDOWS\sdknt.exe
O4 - HKLM\..\RunOnce: [atltn32.exe] C:\WINDOWS\atltn32.exe
O4 - HKLM\..\RunOnce: [addcm32.exe] C:\WINDOWS\addcm32.exe
O4 - HKLM\..\RunOnce: [netdp32.exe] C:\WINDOWS\netdp32.exe
O4 - HKLM\..\RunOnce: [appbc32.exe] C:\WINDOWS\system32\appbc32.exe
O4 - HKLM\..\RunOnce: [iewb32.exe] C:\WINDOWS\system32\iewb32.exe
O4 - HKLM\..\RunOnce: [apirp32.exe] C:\WINDOWS\system32\apirp32.exe
O4 - HKLM\..\RunOnce: [mfcck.exe] C:\WINDOWS\mfcck.exe
O4 - HKLM\..\RunOnce: [ntuv.exe] C:\WINDOWS\system32\ntuv.exe
O4 - HKLM\..\RunOnce: [addng32.exe] C:\WINDOWS\addng32.exe
O4 - HKLM\..\RunOnce: [javarq.exe] C:\WINDOWS\javarq.exe
O4 - HKLM\..\RunOnce: [ntfj32.exe] C:\WINDOWS\ntfj32.exe
O4 - HKLM\..\RunOnce: [d3nb.exe] C:\WINDOWS\system32\d3nb.exe
O4 - HKLM\..\RunOnce: [syszy32.exe] C:\WINDOWS\syszy32.exe
O4 - HKLM\..\RunOnce: [iput32.exe] C:\WINDOWS\system32\iput32.exe
O4 - HKLM\..\RunOnce: [atltu32.exe] C:\WINDOWS\system32\atltu32.exe
O4 - HKLM\..\RunOnce: [ipab.exe] C:\WINDOWS\ipab.exe
O4 - HKLM\..\RunOnce: [netlu32.exe] C:\WINDOWS\netlu32.exe
O4 - HKLM\..\RunOnce: [sdkzu32.exe] C:\WINDOWS\system32\sdkzu32.exe
O4 - HKLM\..\RunOnce: [d3sf.exe] C:\WINDOWS\d3sf.exe
O4 - HKLM\..\RunOnce: [winux.exe] C:\WINDOWS\winux.exe
O4 - HKLM\..\RunOnce: [addwb.exe] C:\WINDOWS\addwb.exe
O4 - HKLM\..\RunOnce: [winvj.exe] C:\WINDOWS\winvj.exe
O4 - HKLM\..\RunOnce: [javazh32.exe] C:\WINDOWS\system32\javazh32.exe
O4 - HKLM\..\RunOnce: [javaie32.exe] C:\WINDOWS\javaie32.exe
O4 - HKLM\..\RunOnce: [netcc.exe] C:\WINDOWS\system32\netcc.exe
O4 - HKLM\..\RunOnce: [ieui32.exe] C:\WINDOWS\system32\ieui32.exe
O4 - HKLM\..\RunOnce: [sysys.exe] C:\WINDOWS\sysys.exe
O4 - HKLM\..\RunOnce: [sysep32.exe] C:\WINDOWS\sysep32.exe
O4 - HKLM\..\RunOnce: [sysae32.exe] C:\WINDOWS\system32\sysae32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [services.exe] "C:\WINDOWS\services.exe"
O4 - HKCU\..\RunOnce: [Demo.exe] "C:\Program Files\ABEX\Demo\Demo.exe"
O4 - Startup: Demo.lnk = C:\Program Files\ABEX\Demo\Demo.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Free Surfer - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - C:\Program Files\Free Surfer\FS20.exe
O9 - Extra 'Tools' menuitem: Free Surfer - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - C:\Program Files\Free Surfer\FS20.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\nl.htm
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - C0A14556272C} (Checkers Class) - [url]http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {B0A2C7FC-8666-44D6-A990-O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - 0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll

Hopelijk is het goed gegaan Pieter,

alvast dank
tis de 1ste keer.....
 
Laatst bewerkt:
Re: reactie

Geplaatst door Guillermo

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xszta.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://xszta.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xszta.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xszta.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xszta.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xszta.dll/index.html#96676

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,

O2 - BHO: (no name) - {F25C11A7-4B1F-5738-A16E-7A1B2A977B88} - C:\WINDOWS\system32\apppx32.dll

O4 - HKLM\..\Run: [jkizkxajm] C:\WINDOWS\System32\riauapdk.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [ntcv.exe] C:\WINDOWS\system32\ntcv.exe
O4 - HKLM\..\Run: [meow knob] C:\PROGRA~1\Bind32Build\Test regs.exe

O4 - HKLM\..\RunOnce: [appfo32.exe] C:\WINDOWS\appfo32.exe
O4 - HKLM\..\RunOnce: [sdknt.exe] C:\WINDOWS\sdknt.exe
O4 - HKLM\..\RunOnce: [atltn32.exe] C:\WINDOWS\atltn32.exe
O4 - HKLM\..\RunOnce: [addcm32.exe] C:\WINDOWS\addcm32.exe
O4 - HKLM\..\RunOnce: [netdp32.exe] C:\WINDOWS\netdp32.exe
O4 - HKLM\..\RunOnce: [appbc32.exe] C:\WINDOWS\system32\appbc32.exe
O4 - HKLM\..\RunOnce: [iewb32.exe] C:\WINDOWS\system32\iewb32.exe
O4 - HKLM\..\RunOnce: [apirp32.exe] C:\WINDOWS\system32\apirp32.exe
O4 - HKLM\..\RunOnce: [mfcck.exe] C:\WINDOWS\mfcck.exe
O4 - HKLM\..\RunOnce: [ntuv.exe] C:\WINDOWS\system32\ntuv.exe
O4 - HKLM\..\RunOnce: [addng32.exe] C:\WINDOWS\addng32.exe
O4 - HKLM\..\RunOnce: [javarq.exe] C:\WINDOWS\javarq.exe
O4 - HKLM\..\RunOnce: [ntfj32.exe] C:\WINDOWS\ntfj32.exe
O4 - HKLM\..\RunOnce: [d3nb.exe] C:\WINDOWS\system32\d3nb.exe
O4 - HKLM\..\RunOnce: [syszy32.exe] C:\WINDOWS\syszy32.exe
O4 - HKLM\..\RunOnce: [iput32.exe] C:\WINDOWS\system32\iput32.exe
O4 - HKLM\..\RunOnce: [atltu32.exe] C:\WINDOWS\system32\atltu32.exe
O4 - HKLM\..\RunOnce: [ipab.exe] C:\WINDOWS\ipab.exe
O4 - HKLM\..\RunOnce: [netlu32.exe] C:\WINDOWS\netlu32.exe
O4 - HKLM\..\RunOnce: [sdkzu32.exe] C:\WINDOWS\system32\sdkzu32.exe
O4 - HKLM\..\RunOnce: [d3sf.exe] C:\WINDOWS\d3sf.exe
O4 - HKLM\..\RunOnce: [winux.exe] C:\WINDOWS\winux.exe
O4 - HKLM\..\RunOnce: [addwb.exe] C:\WINDOWS\addwb.exe
O4 - HKLM\..\RunOnce: [winvj.exe] C:\WINDOWS\winvj.exe
O4 - HKLM\..\RunOnce: [javazh32.exe] C:\WINDOWS\system32\javazh32.exe
O4 - HKLM\..\RunOnce: [javaie32.exe] C:\WINDOWS\javaie32.exe
O4 - HKLM\..\RunOnce: [netcc.exe] C:\WINDOWS\system32\netcc.exe
O4 - HKLM\..\RunOnce: [ieui32.exe] C:\WINDOWS\system32\ieui32.exe
O4 - HKLM\..\RunOnce: [sysys.exe] C:\WINDOWS\sysys.exe
O4 - HKLM\..\RunOnce: [sysep32.exe] C:\WINDOWS\sysep32.exe
O4 - HKLM\..\RunOnce: [sysae32.exe] C:\WINDOWS\system32\sysae32.exe

O4 - HKCU\..\Run: [services.exe] "C:\WINDOWS\services.exe"

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab

O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx

O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll
Klik om te vergroten...

Hoi Guillermo,

Unzip hijackthis.exe eerst naar een aparte map. Het programma maakt backups in de map waar de .exe zich bevindt. In een Temp map verdwijnen die nogal gemakkelijk.

Open TaakBeheer en stop deze twee processen:
C:\WINDOWS\appfo32.exe
C:\WINDOWS\system32\ntcv.exe

Klik Start > Uitvoeren > services.msc > OK
In het scherm met services zoek je naar Network Security Service.
Rechtsklik erop en Stop deze service.
Zet hem dan ook op Uitgeschakeld onder Eigenschappen > Tabblad Algemeen > Opstarttype.

Vink dan de bovenstaande aan in HijackThis, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start dan opnieuw op in veilige modus en verwijder:
C:\WINDOWS\appfo32.exe
C:\WINDOWS\system32\ntcv.exe
C:\WINDOWS\system32\xszta.dll
C:\WINDOWS\system32\apppx32.dat
C:\Windows\System32\wsaupdater.exe
C:\Program Files\WindowsSA <= de hele map
C:\Program Files\Bind32Build <= de hele map
C:\WINDOWS\services.exe <= LET OP: de echte services.exe staat in je System32 map

Scan daarna nog met AdAware en lees http://www.helpmij.nl/forum/showthread.php?threadid=167599

Groetjes,

Pieter
 
Log

Hey Pieter,
wil je deze log eens nakijken:D

Logfile of HijackThis v1.98.0
Scan saved at 12:24:57, on 1/07/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Support.com\bin\tgcmd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\BearShare\BearShare.exe
C:\Program Files\BearShare\BearShare.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\tom derekx\Local Settings\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.skynet.be/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.skippies.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [tgcmd] "C:\Program Files\Support.com\bin\tgcmd.exe" /server /startmonitor
O4 - HKLM\..\Run: [SexCams_be] C:\Program Files\SCom\Dialers\SexCams_be\SexCams_be.exe /dontdial
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunOnce: [hhctrl.ocx] C:\WINDOWS\System32\regsvr32 /s C:\WINDOWS\System32\hhctrl.ocx
O4 - HKLM\..\RunOnce: [Register urlmon.dll] C:\WINDOWS\System32\regsvr32.exe /s C:\WINDOWS\System32\urlmon.dll
O4 - HKLM\..\RunOnce: [Register hlink.dll] C:\WINDOWS\System32\regsvr32.exe /s C:\WINDOWS\System32\hlink.dll
O4 - HKLM\..\RunOnce: [Register oleaut32.dll] C:\WINDOWS\System32\regsvr32.exe /s C:\WINDOWS\System32\oleaut32.dll
O4 - HKLM\..\RunOnce: [IE 3.0 RegSvr schannel.dll] C:\WINDOWS\System32\regsvr32.exe /s C:\WINDOWS\System32\schannel.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Microsoft Office Shortcut Bar.lnk = C:\Program Files\Microsoft Office\Office\MSOFFICE.EXE
O4 - Global Startup: Office Startup.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{42854725-9BA1-4F00-A0D2-EFF5A032E4E8}: NameServer = 195.238.2.21 195.238.2.22
O17 - HKLM\System\CS1\Services\Tcpip\..\{42854725-9BA1-4F00-A0D2-EFF5A032E4E8}: NameServer = 195.238.2.21 195.238.2.22

Thx :thumb:
Greetz Eltommo
 
Hoi Pieter/Olav

Ik trof dit logje aan op een PC van een vriend van me... ik had aangegeven de eerste te verwijderen (R0) maar hij bleef terugkomen. Zie ik iets over het hoofd in dit log?

Logfile of HijackThis v1.97.7
Scan saved at 12:27:35, on 1-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\internet once build\16 phone glue.exe
C:\Program Files\MSN Messenger\MsgPlus.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\rmctrl.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Kazaa Lite K++\KazaaLite.kpp
C:\Program Files\Internet Explorer\iexplore.exe
C:\downloads\windows xp\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Kazaa Lite K++\avipreview.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearchnow.com/passthrough/index.html?http://about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security Professional\UrlLstCk.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [global deaf] C:\PROGRA~1\internet once build\16 phone glue.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MSN Messenger\MsgPlus.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Free WebSite Tools.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38148.5768865741
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A8DB43A-F6F8-4CEC-A09C-E2EA0808630E}: NameServer = 195.121.1.34 195.121.1.66
 
Re: Log

Geplaatst door eltommo

O4 - HKLM\..\Run: [SexCams_be] C:\Program Files\SCom\Dialers\SexCams_be\SexCams_be.exe /dontdial
Klik om te vergroten...

Hoi eltommo,

De volgende keer met ee geupdate Windows graag.

Vink de bovenstaande aan in HijackThis, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start dan opnieuw op in veilige modus en verwijder:
C:\Program Files\SCom\Dialers <= de hele map

Groetjes,

Pieter
 
Re: Re: reactie

Geplaatst door Pieter Arntz


Hoi Guillermo,

Unzip hijackthis.exe eerst naar een aparte map. Het programma maakt backups in de map waar de .exe zich bevindt. In een Temp map verdwijnen die nogal gemakkelijk.

Open TaakBeheer en stop deze twee processen:
C:\WINDOWS\appfo32.exe
C:\WINDOWS\system32\ntcv.exe

Klik Start > Uitvoeren > services.msc > OK
In het scherm met services zoek je naar Network Security Service.
Rechtsklik erop en Stop deze service.
Zet hem dan ook op Uitgeschakeld onder Eigenschappen > Tabblad Algemeen > Opstarttype.

Vink dan de bovenstaande aan in HijackThis, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start dan opnieuw op in veilige modus en verwijder:
C:\WINDOWS\appfo32.exe
C:\WINDOWS\system32\ntcv.exe
C:\WINDOWS\system32\xszta.dll
C:\WINDOWS\system32\apppx32.dat
C:\Windows\System32\wsaupdater.exe
C:\Program Files\WindowsSA <= de hele map
C:\Program Files\Bind32Build <= de hele map
C:\WINDOWS\services.exe <= LET OP: de echte services.exe staat in je System32 map

Scan daarna nog met AdAware en lees http://www.helpmij.nl/forum/showthread.php?threadid=167599

Groetjes,

Pieter
Klik om te vergroten...

Hallo Pieter,

bedankt voor de snelle reactie.

vor ik nu in "fixed it"op de knop druk maak ik me (uit onwetendheid) zorgen, moet ik alles aanvinken en Fixen??

Krijg er en waarschuwing bij.

Groet Guillermo
 
Geplaatst door H@NsiePanzzzer
Ik trof dit logje aan op een PC van een vriend van me... ik had aangegeven de eerste te verwijderen (R0) maar hij bleef terugkomen. Zie ik iets over het hoofd in dit log?

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearchnow.com/passthrough/...p://about :blank

O4 - HKLM\..\Run: [global deaf] C:\PROGRA~1\internet once build\16 phone glue.exe
Klik om te vergroten...

Yup. Lop.

C:\PROGRA~1\internet once build\16 phone glue.exe

De hele map C:\PROGRAM FILES\internet once build verwijderen in veilige modus na het fixen van bovenstaande twee regels.

Groetjes,

Pieter
 
Re: Re: Re: reactie

Geplaatst door Guillermo


Hallo Pieter,

bedankt voor de snelle reactie.

vor ik nu in "fixed it"op de knop druk maak ik me (uit onwetendheid) zorgen, moet ik alles aanvinken en Fixen??

Krijg er en waarschuwing bij.

Groet Guillermo
Klik om te vergroten...

Hoi Guillermo,

Alles wat in de quote van Pieter staat moet/mag je aanvinken, ALLE VENSTERS BEHALVE HIJACKTHIS SLUITEN en klikken op "Fix Checked". dit kun je veilig doen :)
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan