Helpmij tegen spyware offensief (deel 5)

[jamba]

Na het uitvoeren van bovenstaande procedure

Logfile of HijackThis v1.97.7
Scan saved at 22:36:55, on 6-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\msconfg.exe
C:\WINDOWS\System32\moonie.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Kazaa Lite K++\KazaaLite.kpp
C:\Program Files\Spybot\SpybotSD.exe
C:\Program Files\Internet Explorer\iexplore.exe
F:\Mijn Documenten\programma's\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] moonie.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] moonie.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] moonie.exe
O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38144.1669212963

 

[Olav]

Geplaatst door roosmi
Hallo,

Alleereerst bedankt voor deze service, ik hoorde dit via de helpdesk van RaboInternetbankieren.
Graag ook contrôle op overbodige startup.

O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN **
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe **

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe **
O4 - HKLM\..\Run: [eDonkey2000] C:\Program Files\eDonkey2000\eDonkey2000.exe -t **

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe **
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime **
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot **

O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe **

O4 - Startup: Outlook Express.lnk = C:\Program Files\Outlook Express\msimn.exe **
O4 - Startup: Snelkoppeling naar SharpReader.exe.lnk = F:\Util2\RSS\SharpReader.exe **

O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe **

O16 - DPF: ChatSpace Full Java Client 4.0.0.301 - http://62.251.19.241/Java/cfs40301.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

Bedankt,
Ralph

Hallo Ralph,
in principe vrij van spy- of adware.

Ik weet je probleem niet precies, maar gezien je opening zal het iets te maken hebben met internet bankieren.

De bovenstaande items zijn niet echt nodig. De items met een ** zijn onnodige opstarts. De andere 2 zijn niet echt bijzonder of gevaarlijk, maar zouden een potentieel gevaar kunnen worden in de toekomst.
Je hebt ze waarschijnlijk ook niet echt nodig.

Wat je moet doen om ze te fixen is het volgende,
Vink in Hijack This de hierbovenstaande items, of die gene die jij niet opgestart wilt hebben, aan in Hijack This. Sluit alle schermen behalve Hijack This zelf. Klik vervolgens op de knop "Fix Checked".
Herstart daarna de PC weer.

Problemen met Internet bankieren kunnen ook veroorzaakt worden door te hoge beveiligings instellingen van je browser of door een firewall.

Succes,
Olav

 

[Olav]

Geplaatst door Glenn22
eerst adaware en dan spybot sd gerunt en dit is mijn log van hijackthis :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchweb2.com/searchbar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Onlinedirect/Portal/portal.html

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)

O4 - HKLM\..\Run: [tgcmd] "C:\Program Files\Support.com\bin\tgcmd.exe" /server /startmonitor

O4 - HKLM\..\Run: [helper.dll] C:\WINNT\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [jmrrhoaac] C:\WINNT\system32\qxmtpzdq.exe
O4 - HKLM\..\Run: [alchem] C:\WINNT\alchem.exe

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocach...etup1.0.0.8.cab

O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} - http://dialxs.nl/install/dialxs.ocx alvast Bedankt

Hallo Glenn22,
Op de eerste plaats download CWShredder.

In Hijack This, vink de bovenstaande items aan.
Sluit alle schermen, behalve Hijack This.
Klik op Fix Checked.

Start CWShredder op en klik op Fix Lees de aanwijzingen en volg ze op.

herstart in Velig modus en verwijder:
C:/Program Files/Onlinedirect/ <-- Hele map
C:\PROGRAM FILES\3721\ <-- Hele map
C:\Program Files\Support.com\ <-- Hele map

C:\WINNT\system32\qxmtpzdq.exe <-- Bestand
C:\WINNT\alchem.exe <-- Bestand

Herstart daarna de PC weer gewoon op.
Succes,
Olav.

 

[Olav]

Geplaatst door luffelen

Hallo luffelen,
Zou je mij het volgende bestand kunnen sturen op dit email adres?

Verder is je log schoon.
Ik wil alleen dat bestand nog even controleren voor de zekerheid.

Voor jouw probleem zou je ook CWShredder kunnen downloaden.
Start hem op en klik op de knop "Fix" volg de aanwijzingen nauwkeurig op.
Herstart daarna je PC

Groeten,
Olav

 

[Olav]

Geplaatst door BK4LiFe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.realguide.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.realguide.com/

O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Hallo BK4LiFe,
Op de eerste plaats wil je dringend aanraden Hijack This in een eigen, aparte map te plaatsen. Hijack This maakt backups van de items die hij fix in de map warin hij draait. Bij jouw komen de backups dus op je buroblad.

Vink in Hijack This de bovenstaande items aan.
Letop: Dit item:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

Staat 2x in je lijst, je hoeft er maar 1 weg te halen.
Sluit alle schermen behalve Hijack This zelf.
Klik vervolgens op Fix Checked.

Herstart de PC.
Succes,
Olav

 

[Olav]

Geplaatst door realmitch
hoi

C:\Documents and Settings\Roelofsen\Local Settings\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about :blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank

O2 - BHO: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - C:\WINDOWS\dealhlpr.dll

O3 - Toolbar: Band Class - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - C:\WINDOWS\dealhlpr.dll

O4 - HKLM\..\Run: [vuzur] C:\WINDOWS\vuzur.exe
O4 - HKLM\..\Run: [DealHelperUpdate] C:\WINDOWS\DHUpdt.exe
O4 - HKLM\..\Run: [DealHelperBrwsr] C:\WINDOWS\dhbrwsr.exe

O16 - DPF: {018A066F-584A-422F-AC4C-0B1F5FE5C040} (VacPro.olanda_ver3) - http://www.advnt01.com/dialer/olanda_ver3.CAB

O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
alvast bedankt :thumb:

Hallo realmitch,
Download CWShredder of van de link in het eerste bericht. (de link die ik gaf kan af en toe down zijn door foute "spelletjes" van spyware leveranciers.

Vink in Hijack This de bovenstaande items aan.
Sluit alle schermen behalve Hijack This zelf.
Klik vervolgens op "Fix Checked"

Start CWShredder op en klik op de knop "Fix"
Volg de aanwijzingen op.

Herstart de PC in veilige modus en verwijder, mits aanwezig:
C:\WINDOWS\dealhlpr.dll
C:\WINDOWS\dealhlpr.dll
C:\WINDOWS\vuzur.exe
C:\WINDOWS\DHUpdt.exe
C:\WINDOWS\dhbrwsr.exe

Leeg daarna de prullenbak.
Herstart de PC weer gewoon op.

Stuur mij dan het volgende bestand aub op:
C:\WINDOWS\dhsvr.exe
naar dit email adres.

Succes,
Olav

 

[Olav]

Geplaatst door Saartje
Nog maar eens een logje plaatsen... Hoe kan ik eigenlijk zelf uitzoeken wat weg kan? Of is dat iets te moeilijk om te leren?

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Startportal/Portal/portal.html

R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)

O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\2.bin\MYBAR.DLL

O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\2.bin\MYBAR.DLL

O4 - HKCU\..\Run: [Pulse] C:\Program Files\Pulse\Pulse.exe -splash

O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

Hallo Saartje,
Je speelt met vuur. Je hebt behoorlijke stukken spyware, gebruikt Kazaa, niet eens Kazaa lite, je gebruikt geen virusscanner en je bankiert via internet met dezelfde computer.
Dadelijk is in eens je bank rekening leeg!
Om een voorbeeld te geven, er bestaat spyware die aan keylogging doen, die registreren dus alles wat je typt, welke websites je bezoekt en welke passwoorden je gebruikt.

Om je te leren wat er allemaal weg kan of niet, zou nu te veel tijd kosten. Maar laat ik het zo zeggen, het is een combinatie van gezonde achterdocht, kennis en ervaring. Daarnaast... "Google is your best friend".

Vink in Hijack This de bovenstaande items (zie quote) aan en sluit alle schermen.
Klik op de knop "Fix Checked"

Herstart de PC in veilige modus en verwijder:
C:\Program Files\Startportal\ <-- Hele map
C:\PROGRA~1\PERFEC~1\ <-- Hele map
C:\Program Files\MyWay\ <-- Hele map
C:\Program Files\Pulse\ <-- Hele map
C:\Program Files\Common Files\GMT\ <-- Hele map

Herstart daarna de PC weer normaal en verwijder Kazaa van je PC. Kazaa is namelijk de grootste boosdoener van de ellende op jouw pc.
Wil je toch een p2 programma gebruiken, gebruik dan Kazaa Lite, voor download links verwijs ik je naar de p2p sub-sectie in de sectie software van helpmij.nl. Daar staat die een aantal keer vermeld.

Scan daarna nogmaals je PC met Hijack This en plaats je log nog eens. Dan kunnen we de eventueel achtergebleven onderdelen van kazaa ook verwijderen.

Olav

 

[Olav]

Re: geen startpagina meer

Geplaatst door jaikke
op verzoek van Hansiepanzzer:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mysearchnow.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html

O2 - BHO: (no name) - {BE87D9C7-7A7F-7781-A265-0367B1E8B3F0} - C:\PROGRA~1\DASHBO~1\Startmeta.dll

O3 - Toolbar: ooze acid - {E3BA248F-14D9-A4BD-7ACB-0F8979FD2584} - C:\PROGRA~1\DASHBO~1\Startmeta.dll

O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_EN_XP.cab

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab

O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/winxp/CheckDVD.cab

O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.napster.com/client/isetup.cab

O16 - DPF: {A51DEDCD-20F7-11D4-98A5-00C0CA130748} (Tintel Class) - http://exe.dialer.tintel.nl/tcw.cab

O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} (EGP2ECOM Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1013_EN_XP.cab

O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_EN_XP.cab

O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/dlaccell.CAB

Hallo jaikke,
Op de eerste plaats moet ik zeggen dat ik 2 zaken tegen kom waarvan ik niet weet wat het zijn:

een programma genaamd: KindCompView (C:\PROGRA~1\That Manager\KINDCOMPVIEW.exe)
Weet je zelf wat het is? Zo ja, kan je het me dan vertellen zodat ik weet wat ik er voortaan mee moet doen

en een dll, p2esocks_1013.dll
Hier kan ik niets over vinden. Zou je mij die kunnen sturen op dit email adres?

Ten tweede wil ik je dringend aanraden om Hijack This in een eigen aparte map te plaatsen, bijvoorbeeld C:\Hijack This\hijackthis.exe
Dit omdat Hijack This backups maakt, in de map van waar uit hij wordt gedraaid, van de items die hij fixt. Bij jou komen die dus in je temp folder. Daar raak je al gauw het overzicht kwijt en wordt de temp map nog al makkelijk en snel geleegd.

Dowload nu eerst CWShredder.

Vervolgens:
Vink in Hijack This de bovenstaande items (zie quote) aan en sluit alle vensters behalve Hijack This zelf.
Klik vervolgens op de knop "Fix Checked"

Start nu CWShredder op en klik op de knop "Fix". Volg de aanwijzingen nauwkeurig.

Herstart de PC in veilige modus op en verwijder, mits aanwezig:
C:\PROGRAM FILES\DASHBO~1\ <-- hele map

Herstart de PC weer normaal en update je Windows XP en Internet explorer. Hiermee voorkom je al een deel van de ellende.

Succes,
Olav

 

[Olav]

Re: SVCHOST.EXE piekt om de 5 à 10 sec

Geplaatst door ambiorix2
Hallo,

O16 - DPF: VanBredaOnline Security Applet - https://www.vanbredaonline.be/applets/ema.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MT..._my_car_pop.jsp

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
O16 - DPF: {6FB1D10C-6D30-4940-80F6-4F5F9D314976} (Prefill.UC) - https://postbox.be/activex/Prefill.cab

O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - http://pentonevents.webex.com/clien...ent/ieatgpc.cab
[/url]

Hallo Ambiorix2,
Redelijk schone log, alleen wat onnodige troep in je downloaden program files.
In Hijack This vink de bovenstaande items (zie quote)aan. Klik of Fix checked.

Verder voor jouw probleem is het misschien ook handig om onnodige starups en services uit te schakelen.

Op de eerste plaats, gebruik je winfax?
Zo nee, dan open services :
Start --> Uitvoeren
typ daar services.msc en klik op Ok
Zoek het proces met de naam Fax-Service
stop het proces door er met rechts op te klikken en kies voor "Stoppen"
Klik er nogmaals met rechts op en kies voor Eigenschappen.
Zet bij opstarttype "Handmatig"
Klik op Ok om te bevestigen. Sluit services af.

In Hijack This vink de volgende items aan:
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe

Sluit alle vensters en klik op fix checked.
Herstart de PC.

Scan online vervolgens je hele PC op virussen.

Succes,
Olav

 

[Olav]

Re: Na het uitvoeren van bovenstaande procedure

Geplaatst door jamba
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] moonie.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] moonie.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] moonie.exe
O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe

Hallo jamba,
Voor je begint, zou je deze 2 files kunnen zippen en aan mij sturen op dit email adres?
C:\WINDOWS\System32\moonie.exe
C:\WINDOWS\System32\msconfg.exe

Vink in Hijack This de bovenstaande items aan.
Sluit alle schermen behalve Hijack This en klik op "Fix Checked"

Herstart daarna de PC en controleer of de 4 items zijn verdwenen.

(gooi de backups NIET weg voor het geval ik mij vergis)
Olav

 

[paniekfreak]

Hoi Pieter

Allereerst wil ik me verontschuldigen dat jij voor mij overbodig hebt moeten zitten werken. Nadat ik hier mijn log had neer gezet had ik zo veel problemen met mijn pc (netwerk) dat ik de boel wederom (had het pas gedaan) geformateerd had en opnieuw geinstalleerd.

Ik hoop dat je het niet erg vind dat ik mijn nieuwe log weer even hier zet.

Logfile of HijackThis v1.97.7
Scan saved at 9:23:58, on 7-6-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\System32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Alcatel\Dragdiag.exe
E:\WINDOWS\System32\wmmon32.exe
E:\WINDOWS\SOUNDMAN.EXE
E:\Program Files\ZoneAlarm\zlclient.exe
E:\WINDOWS\System32\ctfmon.exe
E:\WINDOWS\System32\inetsrv\inetinfo.exe
E:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
E:\WINDOWS\system32\pctspk.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\PROGRA~1\SYMANT~1\DefWatch.exe
E:\PROGRA~1\SYMANT~1\Rtvscan.exe
E:\PROGRA~1\SYMANT~1\vptray.exe
E:\Program Files\Internet Explorer\IEXPLORE.EXE
E:\WINDOWS\System32\dllhost.exe
E:\Program Files\IncrediMail\bin\IncMail.exe
E:\PROGRA~1\INCRED~1\bin\IMApp.exe
E:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - E:\Program Files\WS_FTP Pro\wsbho2K0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] E:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "E:\Program Files\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WSSAConfiguration] wmmon32.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [vptray] E:\Program Files\Symantec AntiVirus\vptray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Program Files\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [win updates] wugrds.exe
O4 - HKLM\..\RunServices: [WSSAConfiguration] wmmon32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - E:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38144.6104282407
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0EFFF706-2E0C-4780-9E22-A1EF292FA550}: NameServer = 195.241.48.33 195.241.49.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{0EFFF706-2E0C-4780-9E22-A1EF292FA550}: NameServer = 195.241.48.33 195.241.49.33

Alvast bedankt.
Groetjes
Corina

 

[Pieter Arntz]

Geplaatst door paniekfreak
Hoi Pieter

Allereerst wil ik me verontschuldigen dat jij voor mij overbodig hebt moeten zitten werken. Nadat ik hier mijn log had neer gezet had ik zo veel problemen met mijn pc (netwerk) dat ik de boel wederom (had het pas gedaan) geformateerd had en opnieuw geinstalleerd.

Ik hoop dat je het niet erg vind dat ik mijn nieuwe log weer even hier zet.

Hoi Corina,

Zonder Windows updates en goed ingestelde firewall het internet opgaan is fataal.
Vink in Hijack This de onderstaande items aan en sluit alle schermen.
Klik op de knop "Fix Checked"
O4 - HKLM\..\Run: [WSSAConfiguration] wmmon32.exe

O4 - HKLM\..\RunServices: [win updates] wugrds.exe
O4 - HKLM\..\RunServices: [WSSAConfiguration] wmmon32.exe

Start dan op in veilige modus en verwijder:
E:\WINDOWS\System32\wmmon32.exe
wugrds.exe

Installeer dan zo snel mogelijk alle updates.

Groetjes,

Pieter

 

[paniekfreak]

Geplaatst door Pieter Arntz


Hoi Corina,

Zonder Windows updates en goed ingestelde firewall het internet opgaan is fataal.
Vink in Hijack This de onderstaande items aan en sluit alle schermen.
Klik op de knop "Fix Checked"
O4 - HKLM\..\Run: [WSSAConfiguration] wmmon32.exe

O4 - HKLM\..\RunServices: [win updates] wugrds.exe
O4 - HKLM\..\RunServices: [WSSAConfiguration] wmmon32.exe

Start dan op in veilige modus en verwijder:
E:\WINDOWS\System32\wmmon32.exe
wugrds.exe

Installeer dan zo snel mogelijk alle updates.

Groetjes,

Pieter

Hi Pieter

Ik kan het bestand wugrds.exe nergens op mijn pc vinden.

Ik surf niet zonder firewall hoor. Ik heb zonealarm geinstalleerd. En ook heb ik de updates van windows (behalve servicepack 1 want wil niet installeren) geinstalleerd.

 

[H@ns]

(behalve servicepack 1 want wil niet installeren)

wel legale windows versie?

 

[Saartje]

Geplaatst door Olav


Hallo Saartje,
Je speelt met vuur. Je hebt behoorlijke stukken spyware, gebruikt Kazaa, niet eens Kazaa lite, je gebruikt geen virusscanner en je bankiert via internet met dezelfde computer.
Dadelijk is in eens je bank rekening leeg!
Om een voorbeeld te geven, er bestaat spyware die aan keylogging doen, die registreren dus alles wat je typt, welke websites je bezoekt en welke passwoorden je gebruikt.

Om je te leren wat er allemaal weg kan of niet, zou nu te veel tijd kosten. Maar laat ik het zo zeggen, het is een combinatie van gezonde achterdocht, kennis en ervaring. Daarnaast... "Google is your best friend".

Vink in Hijack This de bovenstaande items (zie quote) aan en sluit alle schermen.
Klik op de knop "Fix Checked"

Herstart de PC in veilige modus en verwijder:
C:\Program Files\Startportal\ <-- Hele map
C:\PROGRA~1\PERFEC~1\ <-- Hele map
C:\Program Files\MyWay\ <-- Hele map
C:\Program Files\Pulse\ <-- Hele map
C:\Program Files\Common Files\GMT\ <-- Hele map

Herstart daarna de PC weer normaal en verwijder Kazaa van je PC. Kazaa is namelijk de grootste boosdoener van de ellende op jouw pc.
Wil je toch een p2 programma gebruiken, gebruik dan Kazaa Lite, voor download links verwijs ik je naar de p2p sub-sectie in de sectie software van helpmij.nl. Daar staat die een aantal keer vermeld.

Scan daarna nogmaals je PC met Hijack This en plaats je log nog eens. Dan kunnen we de eventueel achtergebleven onderdelen van kazaa ook verwijderen.

Olav

Blame it on the little sister. Ik zal haar eens boos aankijken. Want ik ben zelf anti-kazaa.

Logfile of HijackThis v1.97.7
Scan saved at 16:24:21, on 7-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\DC1300\DCMnt1_0\DC1300mi.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Rabotwin\RaboComm\RaboSessionMon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\RaboCommSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\HijackThis Logs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mailserv.cc.kuleuven.ac.be/se_adv_nl.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=ZillaPopupKiller:8100
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DC1300 Monitor] C:\Program Files\DC1300\DCMnt1_0\DC1300mi.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Rabo Session Monitor.lnk = C:\Program Files\Rabotwin\RaboComm\RaboSessionMon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/nl/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab

 

[Coochi]

Hartstikke bedankt iedereen ;, is opgelost met Hyjack en updates.

coochi

 

[willempie]

ben benieuwd even een logje in verband probleem in andere sectie.

ogfile of HijackThis v1.97.7
Scan saved at 18:01:04, on 7-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
D:\Zipped\Nieuwe map\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.ertronix.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.ertronix.nl/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .bmp: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37869.4970717593
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab

 

[pieter2]

Beste mensen,
Ik heb gescand met Spybot-Search & Destroy 1.3
Kunnen jullie onnodige start up items voor mij ook verwijderen?
Thanks,
Pieter 2

Logfile of HijackThis v1.97.7
Scan saved at 19:22:31, on 7-6-04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCPROXY.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAM FILES\QUICK CONTROLS\ASTROTOOLBAR.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\TASKMAN.EXE
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\RBENHANCE\RBENH.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\WINZIP\WINZIP32.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\PKB.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\PKB.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\PKB.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\PKB.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\PKB.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\PKB.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door @Home
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy:8080
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://bzz.ru/ds.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://bzz.ru/ds.html
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {FFCBEECE-FB0C-11D2-AB16-00104B9BBBD2} - C:\WINDOWS\SYSTEM\AHIEHELP.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {C77E900A-FF55-400E-9BAA-E042C8212898} - (no file)
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\COMMON~1\REAL\TOOLBAR\REALBAR.DLL
O2 - BHO: (no name) - {B8B2DADF-813E-0BDF-0604-02895D06FC6A} - C:\windows\system\ziolndut.dll (file missing)
O2 - BHO: (no name) - {5800F370-7ABB-D63D-C6E3-2140FEAAC2B9} - C:\windows\system\cuxwrrox.dll (file missing)
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
O2 - BHO: (no name) - {C5941EE5-6DFA-11D8-86B0-0002441A9695} - C:\WINDOWS\3_0_1browserhelper3.dll
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - (no file)
O2 - BHO: (no name) - {CF021F40-3E14-23A5-CBA2-71766C641306} - C:\WINDOWS\SYSTEM\VLD1306.DLL
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {F6200864-7824-40F5-B115-5D66134EDA86} - C:\WINDOWS\SYSTEM\PKB.DLL
O2 - BHO: (no name) - {BCF96FB4-5F1B-497B-AECC-910304A55011} - (no file)
O2 - BHO: OsbornTech Popup Blocker - {FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1043,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\COMMON~1\REAL\TOOLBAR\REALBAR.DLL
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FWN Toolbar - {3D0BDAB3-12F4-471C-8966-E35A2C6C7DE7} - C:\WINDOWS\SYSTEM\FWNTOOLBAR.DLL
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Quick Controls] C:\Program Files\Quick Controls\ASTROTOOLBAR.EXE
O4 - HKLM\..\Run: [ALCHEM] C:\WINDOWS\ALCHEM.exe
O4 - HKLM\..\Run: [WebScan] C:\PROGRAM FILES\ACCELERATION SOFTWARE\ANTI-VIRUS\DEFSCANGUI.EXE -k
O4 - HKLM\..\Run: [rbenh ml046e] "c:\program files\RBEnhance\rbenh.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\COMMON~1\SYMANT~1\CCPROXY.EXE
O4 - HKCU\..\Run: [System Update4] c:\windows\system\taskman.exe
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www/
O16 - DPF: {7B656808-A402-4108-9CDC-0E08E26A2A24} (ContentCleanup2X Control) - http://a840.g.akamai.net/7/840/5805...com/cleanup/includes/ContentCleanup2Proj1.cab
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://www.onderdwang.nl/plugin/onderdwangnl001.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {234B7457-1A7E-4268-BA71-9936F0C78BEC} (ContentCleanup3X Control) - http://a840.g.akamai.net/7/840/5805...com/cleanup/includes/ContentCleanup3Proj1.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/ProductUpdates/content/opuc.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2002121801/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {CD17FAAA-17B4-4736-AAEF-436EDC304C8C} (ContentAuditX Control) - http://a840.g.akamai.net/7/840/5805...ch.com/audit/includes/ContentAuditControl.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.es/activescan/as/asinst.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://www.p3.postbank.nl/GTO/PBGNX.cab
O16 - DPF: {78C5B15B-644F-4F6F-A407-C314E229678F} (PreloaderX Control) - http://www.easybar.nl/directdownload/PreloaderX.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37894.2114236111
O16 - DPF: {11111111-1111-1111-1111-111111111112} - http://www.latenight.nl/launcher.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/237133ac2962d2deff06/netzip/RdxIE601.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://super-gals.com/scj/rotation/templates/s/x.chm::/ad.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...le.com/saba/nl/win/QuickTimeFullInstaller.exe
O19 - User stylesheet: (file missing)

 

[Olav]

Geplaatst door Saartje


Blame it on the little sister. Ik zal haar eens boos aankijken. Want ik ben zelf anti-kazaa.

Hallo Saartje,
Prima en schoon weer
:thumb:

Olav

 

[Olav]

Geplaatst door willempie
ben benieuwd even een logje in verband probleem in andere sectie.

Hallo Willempie,
ook jouw log is helemaal schoon van spy- en ad-ware.

Succes,
Olav