Helpmij tegen spyware offensief (deel 5)

Status
Niet open voor verdere reacties.
Geplaatst door epse

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchweb2.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchweb2.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = searchweb2.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchweb2.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchweb2.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchweb2.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchweb2.com/searchbar.html

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: (no name) - {021BB032-80A8-4FB6-B3D5-CF27B1553B95} - C:\WINDOWS\mslagent\4b_1,0,1,0_mslagent.dll (file missing)

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL

O2 - BHO: (no name) - {C472BF33-703E-7E29-AE82-0CD10BAFF9EC} - C:\PROGRA~1\MATH32~1\part mix.dll
O2 - BHO: (no name) - {CD9CB366-4121-4698-ABD4-A2B5668C21B6} - C:\WINDOWS\dbsiychvc.dll

O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL

O3 - Toolbar: flaw corn vga - {89F85052-7DEA-2ACE-D976-D0A23841F6D8} - C:\PROGRA~1\MATH32~1\part mix.dll

O4 - HKLM\..\Run: [KAZAA] "C:\Program Files\Kazaa Lite K++\kpp.exe" "C:\Program Files\Kazaa Lite K++\KazaaLite.kpp" /SYSTRAY
4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [wwnwnmcf] C:\WINDOWS\xlfbuvd.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [warn more] C:\PROGRA~1\16drv\Global remote.exe

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [mslagent] C:\WINDOWS\mslagent\mslagent.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1014.dll,InstantAccess

O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE

O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb029

O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1014_EN_XP.cab
O16 - DPF: {11111111-1111-1111-1111-113304981909} - mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f10213.exe

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab

O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} - http://www.x0.nl/install2/dialxs.ocx

O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} (EGP2ECOM Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1012_EN_XP.cab

O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.roings.com/cabs/serialzip.cab
O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_EN_XP.cab
Klik om te vergroten...

Hoi Epse,

Installeer SpywareBlaster voor je daar weg gaat. ;)

Vink de bovenstaande aan in HijackThis, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start dan opnieuw op in veilige modus en verwijder:
C:\WINDOWS\mslagent <= hele map
C:\Program Files\MyWebSearch <= hele map
C:\WINDOWS\xlfbuvd.exe
C:\Program Files\webHancer <= hele map
C:\PROGRAM FILES\16drv <= hele map
p2esocks_1014.dll <= waarschijnlijk in C:\WINDOWS\System32

Groetjes,

Pieter
 
Hoi Pieter.

Waar moet ik deze vinden?

Zet hem dan ook op Uitgeschakeld onder Eigenschappen > Tabblad Algemeen > Opstarttype.

BVD

GuessWHo
 
Geplaatst door guesswho
Hoi Pieter.

Waar moet ik deze vinden?

Zet hem dan ook op Uitgeschakeld onder Eigenschappen > Tabblad Algemeen > Opstarttype.

BVD

GuessWHo
Klik om te vergroten...

Als je rechtsklikt op een service (in services.msc) zie je "Eigenschappen" staan. Klik hierop en volg de verdere instructies :)
 
Hoi Pieter,

Ik heb je bericht gelezen, als ik opnieuw scan doe en de hokjes aan wil kruisen die je hebt aangegeven kan ik deze niet meer terugvinden. Inmiddels zijn de bnafrm titels vervangen door file C: windows temp titels. Moet ik deze gewoon aankruisen? ruud
 
Geplaatst door gjwiggers
Hoi Pieter,

Ik heb je bericht gelezen, als ik opnieuw scan doe en de hokjes aan wil kruisen die je hebt aangegeven kan ik deze niet meer terugvinden. Inmiddels zijn de bnafrm titels vervangen door file C: windows temp titels. Moet ik deze gewoon aankruisen? ruud
Klik om te vergroten...

Plaats maar even een nieuw log voor de zekerheid.

Lijkt me veiliger dan gokken. :)

Groetjes,

Pieter
 
Hoi Pieter.

sdkoc.dat is niet aanwezig, wel een sdkoc.dll en deze heb ik verwijderd.
gwvxy.dll is ook niet aanwezig.
Verder alle aanwijzigingen op gevolgd maar mijn dailer detect komt nog steeds met mededelingen over registerveanderingen en pogingen om de startpagina te veranderen.(gqmuq.dll)
Tevens verschijnt er nog steeds een pop up genaamd Only The Best.

BVD

GuessWho
 
dit is hem dan

Hoi Pieter,

Op verzoek heb ik nog een log gemaakt van de nieuwe scan:Logfile of HijackThis v1.97.7
Scan saved at 13:42:54, on 17-6-04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\HIJACKTHIS2\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://all-find.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {07989E4D-BFC3-11D8-A9CB-00505D24B7C2} - C:\WINDOWS\SYSTEM\PFP.DLL
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSCSHELLEXTENSION.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SpyBotSnD] "C:\SPYBOT - SEARCH & DESTROY 1.1\SPYBOTSD.EXE" /autoclose
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [LiveSrv] rundll32.exe C:\WINDOWS\SYSTEM\LIVESERVICE_5.DLL,GoService
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
 
Geplaatst door guesswho
Hoi Pieter.

sdkoc.dat is niet aanwezig, wel een sdkoc.dll en deze heb ik verwijderd.
gwvxy.dll is ook niet aanwezig.
Verder alle aanwijzigingen op gevolgd maar mijn dailer detect komt nog steeds met mededelingen over registerveanderingen en pogingen om de startpagina te veranderen.(gqmuq.dll)
Tevens verschijnt er nog steeds een pop up genaamd Only The Best.

BVD

GuessWho
Klik om te vergroten...

Nieuw log svp.

Pieter
 
Re: dit is hem dan

Geplaatst door gjwiggers

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://all-find.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {07989E4D-BFC3-11D8-A9CB-00505D24B7C2} - C:\WINDOWS\SYSTEM\PFP.DLL
Klik om te vergroten...

Vink de bovenstaande aan in HijackThis, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start dan opnieuw op en gebruik de Schijfopruiming om al je Tijdelijke mappen leeg te maken voor je IE opent.

Groetjes,

Pieter
 
HEEL ERG MOOI PIETER!!

He pieter,

heb loopt bij mij ook weer als een trein :D. Heel erg mooi en bedankt voor je werk!! :thumb:

groetjes ruud
 
Gekke google

Hallo Pieter,

Bedankt voor je snelle reactie. Ik heb alles gedaan, wat je adviseerde en de problemen zijn verholpen : hulde !!

Ik houd nog één opstartprobleem over : ik krijg een venster "kies inbelverbinding" met de mededeling : "U of een programma heeft info aangevraagd bij Toshiba. Welke verbinding wilt u gebruiken...."



Help je hier ook nog vanaf ?

Nogmaals bedankt en vriendelijke groeten

Docwell
Jos
Docwell@zeelandnet.nl
 
bescheiden vraagje

Hoi Pieter,

'k heb nog 1 vraagje: met welk programma kan ik m'n pc elke keer het beste opschonen. Heb MacAfee home edision en Ad Aware 6.0 als ik dat allebei doe kom het dan goed, of is er 1 programma die het allebei kan.

groetjes van een heel tevreden ruud (m'n dag is nu al weer goed)
 
Re: bescheiden vraagje

Geplaatst door gjwiggers
Hoi Pieter,

'k heb nog 1 vraagje: met welk programma kan ik m'n pc elke keer het beste opschonen. Heb MacAfee home edision en Ad Aware 6.0 als ik dat allebei doe kom het dan goed, of is er 1 programma die het allebei kan.

groetjes van een heel tevreden ruud (m'n dag is nu al weer goed)
Klik om te vergroten...

zo'n programma bestaat bij mijn weten (nog) niet. McAfee is inderdaad een goede AV, en met Ad Aware blijf je schoon genoeg van spyware.

SpywareBlaster is een handig programma, wat voorkomt dat de spyware zich op de PC kan installeren. Is dus wat anders dan Ad Aware, Ad Aware verwijdert de troep die al op de PC gekomen is, Spywareblaster probeert zoveel mogelijk troep tegen te houden.

Edit: de nieuwste Norton (2004) verwijdert wel verschillende spyware maar lang niet zoveel als Ad Aware doet ;)
 
Re: Gekke google

Geplaatst door Docwell
Ik houd nog één opstartprobleem over : ik krijg een venster "kies inbelverbinding" met de mededeling : "U of een programma heeft info aangevraagd bij Toshiba. Welke verbinding wilt u gebruiken...."

Help je hier ook nog vanaf ?
Klik om te vergroten...

Ik zie hem in je opstartlijst niet staan. Kijk eens in IE onder Extra > internet-opties > tabblad Verbindingen
Als daar iets van Toshiba staat kun je dat gewoon weghalen.

Groetjes,

Pieter
 
Re: bescheiden vraagje

Geplaatst door gjwiggers
Hoi Pieter,

'k heb nog 1 vraagje: met welk programma kan ik m'n pc elke keer het beste opschonen. Heb MacAfee home edision en Ad Aware 6.0 als ik dat allebei doe kom het dan goed, of is er 1 programma die het allebei kan.

groetjes van een heel tevreden ruud (m'n dag is nu al weer goed)
Klik om te vergroten...

Zelfs als het programma wel al bestond zou ik het niet gebruiken.
Als één virus het programma plat gooit hebje meteen de hele zwik binnen. :evil:

Leesvoer: http://home.planet.nl/~kleyn080/Spywareinfonl.html

Groetjes,

Pieter
 
Oef te vroeg gejuigd :(

Eerder leek alles ok.
Nu 2 uur later heeft "het" zich weer hersteld. (Direct bij het openen vd i browser, krijg ik de melding van spysweeper of mijn startpagina aangepast moet worden)

Ik heb opnieuw gescand met spybot en een log gemaakt maar inhoudelijk is hij anders als de 1e log.

Ik hoop dat je er nog een keer naar wil kijken.

Logfile of HijackThis v1.97.7
Scan saved at 15:23:34, on 17-6-04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCPROXY.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
D:\PROGRAMS\DIRECTCD.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\ICSMGR.EXE
C:\PROGRAM FILES\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
E:\MIJN DOCUMENTEN\MIJN ONTVANGEN BESTANDEN\NIEUWE MAP\NIEUWE MAP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door @Home
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F1 - win.ini: run=hpfsched
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {22D2A853-3C6F-44CA-A07C-B5F8DAFCE8A0} - C:\WINDOWS\SYSTEM\IFICHGA.DLL
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ATIGART] c:\ati\gart\atigart.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaaa.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [Adaptec DirectCD] d:\PROGRAMS\DIRECTCD.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] D:\Program Files\UrlLstCk.exe
O4 - HKLM\..\Run: [ICSMGR] ICSMGR.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMANTEC\LIVEUP~1\SNDMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\COMMON~1\SYMANT~1\CCPROXY.EXE
O4 - HKCU\..\Run: [SpySweeper] C:\Program Files\Webroot\Spy Sweeper\SPYSWEEPER.EXE /0
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37919.7755439815
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4320/mcfscan.cab

Groetjes Grace
 
Geplaatst door gr@ce

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html

O2 - BHO: (no name) - {22D2A853-3C6F-44CA-A07C-B5F8DAFCE8A0} - C:\WINDOWS\SYSTEM\IFICHGA.DLL
Klik om te vergroten...

Hoi gr@ce,

Vink de bovenstaande aan in HijackThis, sluit alle vensters behalve HijackThis en klik op Fix checked.

Download dan Startdreck van: http://members.blackbox.net/hp_links/21/nikolaus.rameis/download/startdreck.htm
Dubbelklik: 'StartDreck.exe'
Hit: config
Hit: Unmark all
Zet een vinkje in deze vakjes:
Registry->run keys
System/drivers> Running processes
Hit >ok

Post het log dat het maakt.

Groetjes,

Pieter
 
gelukt

StartDreck (build 2.1.5 public BETA) - 2004-06-17 @ 16:38:36
Platform: Windows 98 SE (Win 4.10.2222 A)

»Registry
»Run Keys
»Current User
»Run
*ATI Launchpad=
*SpySweeper=C:\Program Files\Webroot\Spy Sweeper\SPYSWEEPER.EXE /0
»RunOnce
»Default User
»Run
*ATI Launchpad=
*SpySweeper=C:\Program Files\Webroot\Spy Sweeper\SPYSWEEPER.EXE /0
»RunOnce
»Local Machine
»Run
*ScanRegistry=C:\WINDOWS\scanregw.exe /autorun
*Taakcontrole=C:\WINDOWS\taskmon.exe
*SystemTray=SysTray.Exe
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*ATIGART=c:\ati\gart\atigart.exe
*AtiPTA=Atiptaaa.exe
*AtiCwd32=Aticwd32.exe
*AtiQiPcl=AtiQiPcl.exe
*Adaptec DirectCD=d:\PROGRAMS\DIRECTCD.EXE
*LoadQM=loadqm.exe
*ccApp="C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
*URLLSTCK.exe=D:\Program Files\UrlLstCk.exe
*ICSMGR=ICSMGR.EXE
*Symantec NetDriver Monitor=C:\PROGRA~1\SYMANTEC\LIVEUP~1\SNDMON.EXE
»RunOnce
»RunServices
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*SchedulingAgent=mstask.exe
*ccSetMgr="C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe"
*ccEvtMgr="C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"
*ScriptBlocking="C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
*ccProxy=C:\PROGRA~1\COMMON~1\SYMANT~1\CCPROXY.EXE
»RunServicesOnce
**xb=rundll32 C:\WINDOWS\SYSTEM\CTLLIG.DLL,StreamingDeviceSetup
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Running Processes
*FF0F769B=C:\WINDOWS\SYSTEM\KERNEL32.DLL
*FFFF354F=C:\WINDOWS\SYSTEM\MSGSRV32.EXE
*FFFF38FF=C:\WINDOWS\SYSTEM\MPREXE.EXE
*FFFFB917=C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCSETMGR.EXE
*FFFE5D97=C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE
*FFFE4573=C:\WINDOWS\SYSTEM\mmtask.tsk
*FFFE3ACF=C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCPROXY.EXE
*FFF94253=C:\WINDOWS\EXPLORER.EXE
*FFF93623=C:\WINDOWS\RUNDLL32.EXE
*FFF8BE0B=C:\WINDOWS\TASKMON.EXE
*FFF8BF13=C:\WINDOWS\SYSTEM\SYSTRAY.EXE
*FFFB61F3=D:\PROGRAMS\DIRECTCD.EXE
*FFF89FE7=C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE
*FFFBB18F=C:\WINDOWS\SYSTEM\ICSMGR.EXE
*FFF9FCC7=C:\PROGRAM FILES\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE
*FFFA17A7=C:\WINDOWS\SYSTEM\WMIEXE.EXE
*FFF1E663=C:\WINDOWS\SYSTEM\DDHELP.EXE
*FFF1E72B=E:\MIJN DOCUMENTEN\MIJN ONTVANGEN BESTANDEN\NIEUWE MAP\NIEUWE MAP\HIJACKTHIS.EXE
*FFF1CCBF=C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
*FFF27757=G:\WINZIP\WINZIP32.EXE
*FFF357AB=C:\MIJN DOCUMENTEN\STARTDRECK\STARTDRECK.EXE
»Application specific

Grt Grace:)
 
Laatst bewerkt:
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan