Helpmij tegen spyware offensief (deel 5)

[zozo]

Geplaatst door Pieter Arntz


Hoi zozo,

Download en run: http://www.wilderssecurity.net/specialinfo/rapidblaster.html

Vink de bovenstaande aan in HijackThis, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start dan opnieuw op in veilige modus en verwijder:
C:\PROGRAM FILES\INCREDIFIND <= de hele map
C:\TV MEDIA <= de hele map
C:\WINDOWS\BXXS5.DLL

Groetjes,

Pieter

Kheb nu alles gedaan, maar als ik nu opstart komt windows met de foutmelding dat hij BXXS5.DLL niet kan vinden? Maar deze moest toch verwijderd worden?

 

[camel1980]

wie kan helpen?

Logfile of HijackThis v1.97.7
Scan saved at 19:39:36, on 22-06-2004
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
D:\PROGRAMMA'S\ADOBE ACROBAT\DISTILLR\ACROTRAY.EXE
C:\WINDOWS\SYSTEM\MSWHEEL.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
D:\DOWNLOAD\HIJACK THIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/bookmark/7_1/home.html"); (C:\WINDOWS\Application Data\Mozilla\Profiles\default\dwfs04aj.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CPROGRAM%20FILES%5CNETSCAPE%5CNETSCAPE%206%5Csearchplugins%5CSBWeb_01.src"); (C:\WINDOWS\Application Data\Mozilla\Profiles\default\dwfs04aj.slt\prefs.js)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programma's\Norton Antivirus\NavShExt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\DOWNLOAD\ACROBAT READER\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {8A0D1201-C480-11D8-ABE7-00A00D192355} - C:\WINDOWS\SYSTEM\FLMN.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programma's\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [POINTER] C:\PROGRA~1\MICROS~2\point32.exe
O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - Startup: Acrobat Assistant.lnk = D:\Programma's\Adobe Acrobat\Distillr\AcroTray.exe
O8 - Extra context menu item: &Download with &DAP - D:\DOWNLOAD\DAP\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\DOWNLOAD\DAP\DAP\dapextie2.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {4FDD0CE2-5B46-4945-BD7D-E9D89B15E538} (ReVampMain Control) - http://kitcentral.wanadoo.nl/download/install/win32/nl/revamp/revamp.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38128.1326273148
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab

 

[Pieter Arntz]

Geplaatst door Santoro
heej pieter het is gelukt, niet door jou maar iemand anders

Ik had dit gedaan:

In IE : extra -> internet opties -> tabblad geadvanceerd
en dan de volgende dingen uitschakelen;
- Installatie op afroep inschakelen (overige)
- Browser extenties van derden inschakelen

(die moet je allebij WEGvinken)

en dan nog alleen internet explorer afsluiten en weer
opstarten

Maar in ieder geval bedankt pieter voor je hulp :thumb:

Hoi Santoro,

Ik snap wel waarom dat werkt, maar wat gebeurd er als je de browser extensies weer inschakeld?
Moest je de bestanden niet verwijderen?

Groetjes,

Pieter

 

[bastiano]

sniksnik

Ik heb adaware gebruikt, en heb nog steeds last van de about:blanc, wat mag er af (ook andere troep!).
Alvast bedankt, groetjes Bas

Logfile of HijackThis v1.97.7
Scan saved at 19:56:50, on 22-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\System32\gearsec.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\KODAK\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\CASIO\Photo Loader\Plauto.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\BASART~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\BASART~1\LOCALS~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\BASART~1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\BASART~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\BASART~1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\BASART~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A0802DFF-DF61-4B32-B99E-A449EEFC7B1A} - C:\WINDOWS\System32\gobbbka.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [InstantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Program Files\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Photo Loader supervisory.lnk = C:\Program Files\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Onderzoek (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.paradigit.nl
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {D3D83E08-54D1-4E9D-8EAF-9F979D139294} (MaxisSimCityScapeTeleX Control) - http://simcity.ea.com/scape/teleport/MaxisSimCityScapeTeleX.cab

 

[Pieter Arntz]

Re: Re: Re: Re: Re: Het probleem is weer terug: Ongewenste about:blanc search for .... en reclame po

Geplaatst door gertvdgriendt
Telkens lijkt een ander *.dll (ompo, imf) het probleem te veroorzaken, of is dit weer een domme opmerking? Al verschillende keren je eerdere instructies uitgeprobeerd op deze vreemde dll-bestandjes. Na een laatste schoonmaak een log gemaakt. Zit er nog iets verstopt?

Zo te zien is het nu niet actief.
Scan nog even met AdAware links voor download en uitleg kun je op mijn site vinden.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door Keeshg
Bedankt Pieter.
Hijack wilde eerst niet verwijderen, maar nadat ik het proces had gedeactiveerd met behulp van Process Viewer (klein maar fijn programma en heel behulpzaam als Taakbeheer niet meer in te kijken is!) lukte het wel.
msvc32 bleek niet meer in de map mssvc16 te zitten(door hijack verwijderd?) Ik heb wel iexplore volgens de aanwijzingen verwijderd en

nu werkt alles weer zoals het hoort.

De map mssvc16 is leeg, maar niet te verwijderen.

Wel ontdekte ik onder windows nog een map met tientallen onbekende exe-files: cracks en serials lijken het wel. De map heet ms32c. Ze hebben bijna allemaal een grootte van 1119kb. Die kan ik gevoeglijk verwijderen lijkt me.

Hartelijk dank:thumb:

Zo te horen had je alleen maar een voorzetje nodig en red je jezelf best.

Kijk hier nog even.
http://www.petri.co.il/delete_undeletable_files.htm

Laat een van die bestandjes even voor de zekerheid scannen op:
http://www.kaspersky.com/scanforvirus
Dan weet je zeker of het weg moet.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door 52Frans


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mysearchnow.com

O2 - BHO: (no name) - {0164B705-C96F-0C7C-94C2-97EF911DCFAC} - C:\PROGRAM FILES\HOLDBOWS\TICK AXIS.DLL

O3 - Toolbar: LiesCdrom - {CA679F6A-979E-B400-FE65-105CBE399123} - C:\PROGRAM FILES\HOLDBOWS\TICK AXIS.DLL

O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [ThirdInternet] C:\PROGRA~1\default pure new\Livemanagerlogo.exe

O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Application Data\Microsoft\Installer\{00030413-78E1-11D2-B60F-006097C998E7}\misc.exe

O11 - Options group: [TOEGANKELIJKHEID] Toegankelijkheid

O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} - http://www.oyunfabrikasi.com/nl/last/4/060223nl.exe
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab

Hoi 52Frans,

Vink de bovenstaande aan in HijackThis, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start dan opnieuw op in veilige modus en verwijder:
C:\PROGRAM FILES\HOLDBOWS <= de hele map
C:\PROGRAM FILES\default pure new <= de hele map

Groetjes,

Pieter

 

[thegooze]

hoi pieter wil je even kijken bij het bericht 22-6-2004 17:58

 

[Nickdaan]

Goeienavond Pieter, bedankt voor het bekijken van mijn log en de probleem oplossing.
Nickdaan.

 

[Pieter Arntz]

Geplaatst door nordie
StartupList report, 22/06/2004, 17:29:08
StartupList version: 1.52

Hoi nordie,

Kun je eens kijken of je één van deze bestanden op je computer kunt vinden:
HPCMDTY.DLL
c_10230.dll
system32.dll
Laat me even weten waar je ze vindt en van welke datum ze zijn.

Oh en is het alweer terug?

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door Guus abc

Heb afgelopen zaterdag via Regedit, Register exporteren nog wel een registerbackup gemaakt. Zou het zinvol zijn die weer te importeren?

Als je na die tijd niets belangrijks meer geinstalleerd hebt, is dat een poging waard. Je krijgt dan wel de registerverwijzingen van de Google bar ook weer terug.
Even over nadenken dus.

Groetjes,

Pieter

 

[Guus abc †]

Geplaatst door Pieter Arntz
Als je na die tijd niets belangrijks meer geinstalleerd hebt, is dat een poging waard. Je krijgt dan wel de registerverwijzingen van de Google bar ook weer terug.
Even over nadenken dus.

Groetjes,

Pieter

Bij nader inzien laat ik het maar zo. Zoals gezegd werkt alles prima. Heb begin dit jaar bij een ander (veel ernstiger) probleem het register ook teruggezet en na een hele hoop gedoe uiteindelijk een hele nieuwe installatie moeten uitvoeren.
Als er problemen gaan optreden weet ik dit topic wel weer te vinden.

In ieder geval bedankt voor je hulp.:thumb:

Guus

 

[Pieter Arntz]

Geplaatst door Dutchbull

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Bryan\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Bryan\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Bryan\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Bryan\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Bryan\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Bryan\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
O2 - BHO: IE Agent - {00000000-0000-0000-0000-000000000221} - C:\Program Files\ClearSearch\CSIE.DLL
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll

O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\System32\bridge.dll

O2 - BHO: (no name) - {FD9FD624-C9F7-40F1-BF8E-7676E5CE67F9} - C:\WINDOWS\System32\cbieepa.dll

O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll (file missing)

O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load

O4 - HKCU\..\Run: [WNST] C:\WINDOWS\System32\wnsapisv.exe

O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab

O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.217.29.115/cax.cab
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1015_EN_XP.cab
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://hard-virgins.com/dkvaget/x.chm::/load.exe
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_cracks.cab

O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab
O16 - DPF: {2AEEAC34-FD74-4142-B891-4B05C0C03C87} - http://akamai.downloadv3.com/binaries/DialHTML/EGCOMSERVICE_1042_pack_XP.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab

O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://stream.pussyharem.com/stream/mmp.cab
O16 - DPF: {8F24DE00-0D66-4F93-9405-3F21E97AEE99} (TestingCtl Control) - http://esb.alcena.com/ESBAdultInstaller.ocx
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/CDTInc/bridge-c1.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

O16 - DPF: {A51DEDCD-20F7-11D4-98A5-00C0CA130748} (Tintel Class) - http://exe.dialer.tintel.nl/tcw.cab

O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} (loader Class) - http://dload.ipbill.com/del/loader.cab
O16 - DPF: {B2C5C996-F1B2-4373-9823-74D9072615E6} (Privat-X Client) - http://download.privat-x.com/px_client.cab
O16 - DPF: {B73BC7C7-858B-49FA-BBDB-74DD77D1D9F3} ({B73BC7C7-858B-49FA-BBDB-74DD77D1D9F3}) - http://camz.tintel.nl/installcab.php
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab
O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} (EGP2ECOM Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1012_EN_XP.cab

O16 - DPF: {E795CA75-530A-4981-80F2-0C9EF7CF0F58} (vcload) - http://secure.goodthinxx.com/select/SelectGoodthinxx/vcloadgt.cab
O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006_cracks.cab


Hoop dat u ermee uit de voeten kunt en ik hoor graag weer van u!!!

Alvast hartelijk dank!!

Hoi Dutchbull,

Dialers gespaard?

Download en installeer APM van: http://www.diamondcs.com.au/index.php?page=apm

Vink de bovenstaande aan in HijackThis, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start APM en selecteer in het bovenste venster explorer.exe
In het onderste venster vind en rechtsklik je op C:\WINDOWS\System32\cbieepa.dll Selecteer Unload DLL en klik OK op de prompts die je krijgt.

Start dan opnieuw op in veilige modus en verwijder:
C:\Windows\System32\wsaupdater.exe
C:\WINDOWS\System32\wnsapisv.exe

De onderstaande lijken bij elkaar te horen, maar ik heb geen idee waar het vandaan komt:
O2 - BHO: Curl - {A78CC2FF-6E4E-4556-B27C-D7C3A70D7A50} - C:\WINDOWS\System32\NDrv.dll

O4 - HKCU\..\Run: [NDrv] C:\WINDOWS\System32\NDrv.exe

Groetjes,

Pieter

 

[SpronkersM]

IGOMNU.exe

Volgens mij ben ik de ongelukkige bezitter van IGOMNU.exe. Kunnen jullie mij please vertellen wat ik moet verwijderen om hier vanaf te komen?

Kunnen jullie tevens kijken of ik "in het bezit" ben van nog meer ballast? Ik heb in mijn IE in ieder geval wel een ongewenste search-bar.

Ik heb gescand met AdAware 6 en hieronder mijn logfile:
========================================

Logfile of HijackThis v1.97.7
Scan saved at 20:03:12, on 22-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\PROGRA~1\Camp Byte Hide\Joy Log.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\M. Spronkers\Mijn documenten\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchmn.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchcs.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {D2373A59-6001-FDAC-1A86-2FDA9425624F} - C:\PROGRA~1\KEEPRO~1\Pure2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: bat jump meet - {FC00054A-5DED-7B71-3E3D-9BE68129FA9A} - C:\PROGRA~1\KEEPRO~1\Pure2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [mpeg logo] C:\PROGRA~1\Camp Byte Hide\Joy Log.exe
O4 - HKCU\..\Run: [Wanadoo Menu] C:\Program Files\Wanadoo\NL\Mnu\IGOMNU.EXE /S:T
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.informatique.nl
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

[Pieter Arntz]

Geplaatst door Watchnut78

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\vaxvw.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vaxvw.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vaxvw.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\vaxvw.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vaxvw.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\vaxvw.dll/sp.html#37049

O2 - BHO: (no name) - {81927C18-B1B0-DD31-58EC-D74A2FB1C698} - C:\WINNT\mfcsp.dll

O4 - HKLM\..\Run: [mslg32.exe] C:\WINNT\mslg32.exe

Hoi Jaap,

Laten we dan eens een variant op Santoro zijn methode proberen.

In IE : extra -> internet opties -> tabblad geadvanceerd
en dan de volgende dingen uitschakelen;
- Installatie op afroep inschakelen (overige)
- Browser extenties van derden inschakelen
hier moet je dus bij alledrie de vinkjes weghalen

Dan moeten we dit proces stoppen:
C:\WINNT\mslg32.exe
Dat doe je zo:
Ctrl - Alt - Del indrukken en je krijgt Taakbeheer.
OP het tabblad processen zie je een lijst met bestandsnamen in de eerste kolom.
Vindt mslg32.exe en klik er op.
Rechtsonder zie je een knop Proces beeindigen. Klik daar op zodra je de goede geselecteerd hebt.
Je krijgt dan een waarschuwing, klik gewoon Ja.

Vink dan in HijackThis de bovenstaande aan, internet explorer afsluiten en de computer weer opnieuw starten.

Dan moeten we bestanden verwijderen.
We doen alleen de belangrijkste:
C:\WINNT\vaxvw.dll
C:\WINNT\mslg32.exe

Dubbelklik op Deze computer
Dubbelklik op C: schijf
Dubbelklik op de WINNT map
In de rij met mappen en bestanden zoek je vaxvw.dll en mslg32.exe op (Tip: als je op de v klikt vindt verkenner het eerste bestand dat met een v begint voor je)
Rechtsklik op de gevonden bestanden en kies verwijderen.

Succes,

Pieter

 

[Pieter Arntz]

Geplaatst door thegooze


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearchnow.com/passthrough/index.html?[url]http://about:blank[/url]

Hoi thegooze,

Voor je begint wil ik je aanraden om HijackThis naar een aparte map uit te pakken. Het programma maakt backups in de map waar het staat en
zoals jij het nu draait (uit de zipmap) gaat dat niet.

Vink dan de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door zozo



Kheb nu alles gedaan, maar als ik nu opstart komt windows met de foutmelding dat hij BXXS5.DLL niet kan vinden? Maar deze moest toch verwijderd worden?

Klopt. Waarschijnlijk is één van ons tweeën deze regel vergeten:
O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINDOWS\BXXS5.DLL,DllRun

Fix die alsnog in HijackThis.

Groetjes,

Pieter

 

[Pieter Arntz]

Re: wie kan helpen?

Geplaatst door camel1980

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {8A0D1201-C480-11D8-ABE7-00A00D192355} - C:\WINDOWS\SYSTEM\FLMN.DLL

Hoi camel1980,

Download en installeer APM van: http://www.diamondcs.com.au/index.php?page=apm

Vink de bovenstaande aan in HijackThis, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start APM en selecteer in het bovenste venster explorer.exe
In het onderste venster vind en rechtsklik je op C:\WINDOWS\SYSTEM\FLMN.DLL
Selecteer Unload DLL en klik OK op de prompts die je krijgt.

Start dan opnieuw op in veilige modus en verwijder de totale INHOUD van deze map:
C:\WINDOWS\TEMP <= dus niet de map zelf

Groetjes,

Pieter

 

[Pieter Arntz]

Re: sniksnik

Geplaatst door bastiano

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\BASART~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\BASART~1\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\BASART~1\LOCALS~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\BASART~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\BASART~1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\BASART~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {A0802DFF-DF61-4B32-B99E-A449EEFC7B1A} - C:\WINDOWS\System32\gobbbka.dll

Hoi bastiano,

Download en installeer APM van: http://www.diamondcs.com.au/index.php?page=apm

Vink de bovenstaande aan in HijackThis, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start APM en selecteer in het bovenste venster explorer.exe
In het onderste venster vind en rechtsklik je op C:\WINDOWS\System32\gobbbka.dll
Selecteer Unload DLL en klik OK op de prompts die je krijgt.

Start dan opnieuw op en scan nog een keer met AdAware.

Groetjes,

Pieter

 

[Pieter Arntz]

Re: IGOMNU.exe

Geplaatst door SpronkersM

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchmn.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchcs.htm

O2 - BHO: (no name) - {D2373A59-6001-FDAC-1A86-2FDA9425624F} - C:\PROGRA~1\KEEPRO~1\Pure2.dll

O3 - Toolbar: bat jump meet - {FC00054A-5DED-7B71-3E3D-9BE68129FA9A} - C:\PROGRA~1\KEEPRO~1\Pure2.dll

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [mpeg logo] C:\PROGRA~1\Camp Byte Hide\Joy Log.exe

Hoi SpronkersM,

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op in veilige modus en verwijder:
C:\PROGRAM FILES\Camp Byte Hide <= de hele map
C:\PROGRAM FILES\KEEPRO~1 <= de hele map met het bestand Pure2.dll er in

Je klaagde over deze:
O4 - HKCU\..\Run: [Wanadoo Menu] C:\Program Files\Wanadoo\NL\Mnu\IGOMNU.EXE /S:T
Is er iets wat ik daarover zou moeten weten, behalve dat het een typisch ongewenst stuk software van een provider is?

Groetjes,

Pieter