Helpmij tegen spyware offensief (deel 5)

[Pieter Arntz]

Geplaatst door Önder
Hoi ik heb alles gedaan wat je vroeg maar ik ben nog steeds niet van Kernel32.dll error af. Dit is de precieze foutcode, ik zou eigenlijk in een andere sectie moeten zitten maar ze zeiden dat het spyware was dus kwam ik maar hier:

AppName: iexplore.exe AppVer: 6.0.2800.1106 ModName: kernel32.dll
ModVer: 5.1.2600.1106 Offset: 00016b97

Hoi Önder,

Klik Start > uitvoeren > sfc /scannow (LET OP de spatie tussen sfc en /scannow) > OK
Windows loopt alle systeembestanden na om te zien of ze verouderd zijn of beschadigd of wellicht helemaal verdwenen.
Als het zo'n bestand moet vervangen vraagt het om de Windows CD, dus zorg dat je die bij de hand hebt.

Groetjes,

Pieter

 

[Rick_Klein]

HijackThis Log,
Eerst gescand met Ad-Aware.
Heb mijn Log voorige week ook al geplaatst maar ik heb nu al weer last van die irritante, hardnekkige, mysearchnow toolbar

Zou iemand deze kunnen nakijken? en hoe voorkom je die 'mysearchnow toolbar'?



Logfile of HijackThis v1.97.7
Scan saved at 22:29:38, on 25-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\PROGRA~1\gram owns surf\GplList.exe
C:\Documents and Settings\Rick\Bureaublad\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {22C8CB23-7A92-AB0C-3DE8-B12DA527D55C} - C:\PROGRA~1\CORNPR~1\GlueEach.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1629.0\nl\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Team Mail Ball - {168BA080-4D00-3C36-5829-36C17DE5C700} - C:\PROGRA~1\CORNPR~1\GlueEach.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [admin nurb] C:\PROGRA~1\gram owns surf\GplList.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {0D5AAD20-C9EF-11D4-B5D3-00C04F163665} (CBSBiB.iPCRClickMap) - http://www.cbs.nl/nl/cijfers/buurt-in-beeld/klikkaart.CAB
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {6211AC26-A1B4-422A-AC52-1E70B7D24465} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/nl/filesharingctrl.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - https://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

 

[H@ns]

Rick_Klein vertelde hierboven:

Heb mijn Log voorige week ook al geplaatst maar ik heb nu al weer last van die irritante, hardnekkige, mysearchnow toolbar

Download SpywareBlaster om te voorkomen dat spyware je PC weer binnendringt. (werkt dus preventief)

 

[bruno-01]

reaktie op bericht.

Pieter,
Notepad.com heb ik aangetroffen. jsconsole.dll NIET.

 

[Pieter Arntz]

Geplaatst door Rick_Klein
HijackThis Log,
Eerst gescand met Ad-Aware.
Heb mijn Log voorige week ook al geplaatst maar ik heb nu al weer last van die irritante, hardnekkige, mysearchnow toolbar

Zou iemand deze kunnen nakijken? en hoe voorkom je die 'mysearchnow toolbar'?

Blijf van MessengerPlus af. Dat is de meest voorkomende reden voor Lop/C2Media.
Op nummer twee staat het zoeken naar illegale muziek en cracks, maar dat doet natuurrlijk niemand hier.

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html

O2 - BHO: (no name) - {22C8CB23-7A92-AB0C-3DE8-B12DA527D55C} - C:\PROGRA~1\CORNPR~1\GlueEach.dll

O3 - Toolbar: Team Mail Ball - {168BA080-4D00-3C36-5829-36C17DE5C700} - C:\PROGRA~1\CORNPR~1\GlueEach.dll

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [admin nurb] C:\PROGRA~1\gram owns surf\GplList.exe

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op in veilige modus en verwijder:
C:\PROGRAM FILES\CORNPR~1 <= de hele map met het bestand GlueEach.dll er in
C:\PROGRAM FILES\gram owns surf <= de hele map

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door H@NsiePanzzzer


Download SpywareBlaster om te voorkomen dat spyware je PC weer binnendringt. (werkt dus preventief)

Niet tegen lop Hans.

lop gebruikt random CLSID's en daar kan SpywareBlaster helaas niets tegen beginnen.

Groetjes,

Pieter

 

[Pieter Arntz]

Re: reaktie op bericht.

Geplaatst door bruno-01
Pieter,
Notepad.com heb ik aangetroffen. jsconsole.dll NIET.

Hernoem dat bestand naar notepad.bak en stuur een kopie op svp.
Liefst gezipt naar =>dit adres (Klik hier)<=

Groetjes,

Pieter

 

[H@ns]

Pieter, daar heb je wel gelijk in, maar het houdt wel de meeste rotzooi tegen.

Ik hoop dat Spywareblaster nog iets gaat ontwikkelen tegen de nieuwe CWS varianten enzo... The time will it learn

 

[Pieter Arntz]

Geplaatst door H@NsiePanzzzer


Ik hoop dat Spywareblaster nog iets gaat ontwikkelen tegen de nieuwe CWS varianten enzo... The time will it learn

Ik ben al blij als Merijn weer een paar van die nieuwe varianten aan CWShredder kan toevoegen.

Ook CWS gebruikt random CLSID's voor de meeste varianten. De andere zitten al in Spywareblaster.
Start SpywareBlaster > Protection > Internet Explorer >
rechtsklik in het venster met Item name > kies Find > zoek op Coolwebsearch, klik Find Next, etc, etc. Als je kramp krijgt mag je ophouden.

Groetjes,

Pieter

 

[bruno-01]

Attentie Pieter !!

Ik heb het bestandje weggedaan maar krijg een melding van mijn mailserver dat dat bestand besmet zou zijn ?????????????
( heb zo',n melding nog nooit gehad ???)

 

[Pieter Arntz]

Re: Attentie Pieter !!

Geplaatst door bruno-01
Ik heb het bestandje weggedaan maar krijg een melding van mijn mailserver dat dat bestand besmet zou zijn ?????????????
( heb zo',n melding nog nooit gehad ???)

Klopt. Mysterie opgelost:

Kaspersky: notepad.com INFECTED TrojanDownloader.Win32.Small.lq

Verwijder het bestand en start opnieuw op.

Groetjes,

Pieter

 

[H@ns]

Geplaatst door Pieter Arntz


Ik ben al blij als Merijn weer een paar van die nieuwe varianten aan CWShredder kan toevoegen.

Ook CWS gebruikt random CLSID's voor de meeste varianten. De andere zitten al in Spywareblaster.
Start SpywareBlaster > Protection > Internet Explorer >
rechtsklik in het venster met Item name > kies Find > zoek op Coolwebsearch, klik Find Next, etc, etc. Als je kramp krijgt mag je ophouden.

Groetjes,

Pieter

Inderdaad, keek er kortgeleden eens in (die lijst).. wat schetst mijn verbazing... ca. 1000 CWS varianten :8-0: Ben blij dat merijn bestaat :thumb:

en laten we jou vooral niet vergeten :thumb:

 

[Önder]

Beste pieter ik heb nog steeds Kernel32.dll error ik kan er niet meer tegen Please Help

 

[bekking]

Geplaatst door Pieter Arntz


Een paar opties die ik zou proberen:

- Probeer even een patroon te vinden in de sites die je niet kunt bereiken.
Bv. alles dat niet met www begint.
- Probeer een andere DNS server dan die van je provider
- Start een thread in een ander gedeelte van het forum aangezien het niet aan de spyware lag.

Groetjes,

Pieter

Hoi Pieter,

Een andere thread heb ik al gestart maar daar komt niet veel respons op.
Inmiddels zijn er al weer meer sites die ik weer kan bereiken zonder dat ik iets gedaan heb.
Ik ga verder zoeken heel erg bedankt voor al je moeite.

Groetjes Bekking

 

[bruno-01]

Notepad.com

Pieter,
het bestand laat zich niet verwijderen ??

 

[Önder]

btw
Dit is mijn nieuwe log en ik heb iets ondekt:

Logfile of HijackThis v1.97.7
Scan saved at 23:14:17, on 25-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\rnathchk.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Packard Bell EverSafe\TrayControl.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN\MSNCoreFiles\msn6.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Önder.SN031290320512.001\Mijn documenten\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = /4.3.7
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = /4.3.7
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = /4.3.7
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = /4.3.7
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.gazetenioku.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NECLaunch] C:\Windows\System32\REC05.HTA
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NovaNet-WEB Tray Control] C:\Program Files\Packard Bell EverSafe\TrayControl.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKLM\..\RunOnce: [mfcda32.exe] C:\WINDOWS\mfcda32.exe
O4 - Global Startup: Packard Bell EverSafe Tray Control.lnk = C:\Program Files\Packard Bell EverSafe\TrayControl.exe
O9 - Extra button: MS-KB (HKLM)
O9 - Extra 'Tools' menuitem: MS-KB (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\nl.htm
O16 - DPF: ConferenceRoom Java Client - http://207.218.219.226:8000/java/cr.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB
O16 - DPF: {498A0AC2-A3AC-11D4-80A9-0050DA680987} (HearMe (Firewall) Voice Control) - http://www.ne-nerede.com/oyunlar/sesli_oyun/hmvcfe.cab
O16 - DPF: {68459DB3-59C9-449D-815B-65F729385C16} (VoiceSecure Control) - http://www.voice4web.com/vs.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://E:\Content\include\msSecUcd.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38140.1927314815
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E862C832-3A5F-4CEB-BFAA-167B22010A71} (InfosFinder2.InfosFinder) - http://support.packardbell.com/files/activex/InfosFinder2.CAB


ALs ik
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = /4.3.7
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = /4.3.7
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = /4.3.7
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = /4.3.7
Aanklik en wegdoe gaat internet explorer weer normaal doen maar na een tijdje gaat komen deze 4 terug. En ik kan geen muziek meer draaien kazaa doet het ook niet.

 

[Pieter Arntz]

Re: Notepad.com

Geplaatst door bruno-01
Pieter,
het bestand laat zich niet verwijderen ??

Probeer het eens in veilige modus.
En doe eens een online scan www.housecall.nl of zo
TrojanDownloader betekent meestal dat het andere zooi binnenhaalt.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door Önder
btw
Dit is mijn nieuwe log en ik heb iets ondekt:
ALs ik
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = /4.3.7
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = /4.3.7
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = /4.3.7
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = /4.3.7
Aanklik en wegdoe gaat internet explorer weer normaal doen maar na een tijdje gaat komen deze 4 terug. En ik kan geen muziek meer draaien kazaa doet het ook niet.

Hoi Önder,

Wat hebben ze nu weer bedacht?
Klik Start > uitvoeren >
regedit /e c:\startpg.txt "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" > OK

Zoek dan het bestand dat hierdoor gemaakt wordt c:\startpg.txt en plats de inhoud ervan.

Groetjes,

Pieter

 

[Önder]

Beste pieter,

Als ik dat doe (wat jij zegt) in het plekje uitvoeren gebeurt er letterlijk helemaal niks ik moet ook niet op ok klikken ofzo als ik dan zoeken naar die ene bestand bestaat hij wel maar ik kan hem niet openen.

 

[assie32]

hoi

Zou je even naar mijn logfile willen kijken. Ik heb adaware laten scannen en daarna hijack. Allebei met de juiste versies.

Logfile of HijackThis v1.97.7
Scan saved at 0:54:31, on 26-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Sygate\SPF\smc.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\drivers\CDAC11BA.EXE
D:\WINDOWS\System32\VetMsgNT.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\CTHELPER.EXE
D:\Program Files\QuickTime\qttask.exe
D:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
D:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
D:\WINDOWS\System32\ctfmon.exe
D:\WINDOWS\System32\devldr32.exe
D:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\Steinberg\Cubase SX\Cubasesx.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\CTHELPER.EXE
D:\Program Files\QuickTime\qttask.exe
D:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
D:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\MSN Messenger\msnmsgr.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\CTHELPER.EXE
D:\Program Files\QuickTime\qttask.exe
D:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
D:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\Outlook Express\msimn.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Program Files\Mil Incorporated\Mil Shield\ShieldService.exe
D:\Program Files\Mil Incorporated\Mil Shield\ShieldWorker.exe
D:\Documents and Settings\Astrid\Mijn documenten\Mijn ontvangen bestanden\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.nl/0SENLNL/SAOS01
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: (no name) - {09F0F280-FB9A-481B-B69A-CB00DC44D027} - D:\PROGRA~1\ADVANC~1\POPUPJ~1.DLL
O2 - BHO: (no name) - {77712A64-F30B-47C8-A363-CDA1CEC7DC1B} - D:\PROGRA~1\ADVANC~1\ADVANC~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\MSN Toolbar\01.01.1629.0\nl\msntb.dll
O4 - HKLM\..\Run: [AudioHQ] D:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "D:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [VetTray] D:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
O4 - HKLM\..\Run: [MilShieldSlave] "D:\Program Files\Mil Incorporated\Mil Shield\ShieldWorker.exe" -logon
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKLM\..\RunOnce: [Ad-aware] "D:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" "+b1"
O4 - Global Startup: GStartup.lnk = D:\Program Files\Common Files\GMT\GMT.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: Toki Toki Boom - http://download.games.yahoo.com/games/clients/y/vtn_x.cab
O16 - DPF: Tornado 21 - http://download.games.yahoo.com/games/clients/y/t21t0_x.cab
O16 - DPF: Yahoo! Bingo - http://download.games.yahoo.com/games/clients/y/xt0_x.cab
O16 - DPF: Yahoo! Blackjack - http://download.games.yahoo.com/games/clients/y/jt0_x.cab
O16 - DPF: Yahoo! Dice - http://download.games.yahoo.com/games/clients/y/dct2_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/clients/y/dot7_x.cab
O16 - DPF: Yahoo! Go - http://download.games.yahoo.com/games/clients/y/gt2_x.cab
O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/games/clients/y/grt5_x.cab
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt2_x.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/clients/y/mjst3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potd_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/clients/y/pyt1_x.cab
O16 - DPF: Yahoo! Spelldown - http://download.games.yahoo.com/games/clients/y/sdt1_x.cab
O16 - DPF: Yahoo! Word Racer - http://download.games.yahoo.com/games/clients/y/wt0_x.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {62969CF2-0F7A-433B-A221-FD8818C06C2F} (Blockwerx Control) - http://mirror.worldwinner.com/games/v46/blockwerx/blockwerx.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://www.planet.nl/exent/classes/ExentCtl.ocx
O16 - DPF: {94299420-321F-4FF9-A247-62A23EBB640B} (WordMojo Control) - http://mirror.worldwinner.com/games/v45/wordmojo/wordmojo.cab
O16 - DPF: {CA797B15-445F-4AA9-9828-8A88502F560F} (Uninstall Control) - http://www.worldwinner.com/games/shared/uninstall.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab


Alvast heel erg bedankt.....Astrid