Helpmij tegen spyware offensief (deel 6)

  • Onderwerp starter Onderwerp starter m@rio
  • Startdatum Startdatum
Status
Niet open voor verdere reacties.
Re: Re: Re: first2enter

Geplaatst door Hellie

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/Program%20Files/First2Enter/Portal/portal.html
O4 - HKLM\..\Run: [updmgr] D:\Program Files\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [Open2Enter] D:\WINDOWS\System32\runme2.exe
O4 - HKLM\..\Run: [P2P Networking] D:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
Klik om te vergroten...

Hoi Hellie,

Zou je hier even rustig de tijd voor willen nemen, om precies uit te voeren wat geadviseerd wordt? Want als ik dit log zo zie, is het duidelijk dat je het eerdere advies van Hans niet echt goed hebt gevolgd.

1. Je hebt Internet Explorer nog niet ge-update. (Je vindt me misschien een zeurkous, maar spyware bestrijden op een pc met een IE die niet up-to-date is, dat is water naar de zee dragen.)

2. HijackThis staat nog steeds in een tijdelijke map. Maak er een aparte map voor, anders raken de back-ups gemakkelijk zoek.

3. Zorg dat behalve HijackThis alle vensters gesloten zijn en fix de bovenstaande items (zie quote).

4. Herstart de pc in veilige modus, zorg in de Verkenner via Extra -> Mapopties -> Weergave dat verborgen bestanden en mappen zichtbaar zijn, en verwijder:
de map C:\Program Files\First2Enter
het bestand D:\Program Files\Common files\updmgr\updmgr.exe
het bestand D:\WINDOWS\System32\runme2.exe
het bestand D:\WINDOWS\System32\P2P Networking\P2P Networking.exe

Plaats daarna een nieuw log ter controle.

Groetjes,

Buffy
 
Laatst bewerkt:
Hoi hans

thnx , hoop dat het nu wegblijft , spysweeper vond trouwens op de valreep nog de spyware : purityscan die heb ik via een verwijderings tool op de site van purityscan verwijderd op aanraden van Symantec.
 
Re: Re: Re: Re: first2enter

Geplaatst door buffy


Hoi Hellie,

Zou je hier even rustig de tijd voor willen nemen, om precies uit te voeren wat geadviseerd wordt? Want als ik dit log zo zie, is het duidelijk dat je het eerdere advies van Hans niet echt goed hebt gevolgd.

1. Je hebt Internet Explorer nog niet ge-update. (Je vindt me misschien een zeurkous, maar spyware bestrijden op een pc met een IE die niet up-to-date is, dat is water naar de zee dragen.)



Ik vind je absoluut geen zeur hoor! Maar ... ik heb het naar mijn mening precies zo uitgevoerd. Het rare is dat de PC die updates doet, tenminste .... dat lijkt in ieder geval zo. Maar ik ga het nog een keer proberen ....... weer even rustig de tijd voor nemen.;) .
Klik om te vergroten...
 
He Pieter,

Alle maatregelen van te voren genomen. Hier is logfile. Graag ook alle onnodige opstart**** weg. THANX

Logfile of HijackThis v1.97.7
Scan saved at 21:44:42, on 3-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\S3tray2.exe
C:\Program Files\Compaq\Easy Access Button Support\StartEAK.exe
C:\Program Files\Iomega HotBurn\Autolaunch.exe
C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Program Files\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Conceptronic\Bluetooth Software\BTTray.exe
C:\PROGRA~1\CONCEP~1\BLUETO~1\BTSTAC~1.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zonnet.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.zonnet.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: C:\WINDOWS\lbbho.dll - {E917548E-674B-407D-81FC-DB359C697E5F} - C:\WINDOWS\lbbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\Compaq\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Program Files\Iomega HotBurn\Autolaunch.exe"
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\Run: [Windows Guard] waumgrd.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [Windows Guard] waumgrd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [Windows Guard] waumgrd.exe
O4 - HKLM\..\RunOnce: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" "+b1"
O4 - HKCU\..\RunOnce: [DeleteSlotchBar] rundll32.exe advpack.dll,DelNodeRunDLL32 "C:\Program Files\ISTbar\istbar.dll"
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38170.4696527778
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
 
Re: Hoi hans

Geplaatst door roby
thnx , hoop dat het nu wegblijft , spysweeper vond trouwens op de valreep nog de spyware : purityscan die heb ik via een verwijderings tool op de site van purityscan verwijderd op aanraden van Symantec.
Klik om te vergroten...

Hoi Roby,

Ik zie dit tot twee keer toe bij je lopende processen staan:

C:\WINDOWS\system32\arpa.exe
Klik om te vergroten...

Wat het precies is weet ik niet, maar ik vertrouw het niet. Heb je zelf enig idee?

Groetjes,

Buffy
 
verdwenen startpagina

Hi Hans,

Ik heb beide opties maar geprobeerd en bij Panda kreeg ik de volgende melding:
Virus:Trj/StartPage.FH Disinfected Operating System
Virus:Trj/StartPage.FH Disinfected C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\hijackthis\backups\backup-20040705-221855-659.dll
Virus:Trj/StartPage.FH Disinfected C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\hijackthis\backups\backup-20040705-221927-907.dll
Virus:Trj/StartPage.FH Disinfected C:\Documents and Settings\Ferry\Local Settings\Temp\sp.html
Virus:Trj/StartPage.FH Disinfected C:\Documents and Settings\Marie\Local Settings\Temp\sp.html
Virus:Trj/Virtumonde.A Disinfected C:\Documents and Settings\Marie\Local Settings\Temp\_update.dat
Virus:Trj/Virtumonde.A Disinfected C:\Documents and Settings\Valerie\Local Settings\Temp\_update.dat
Virus:Trj/StartPage.FH Renamed C:\WINDOWS\system32\dmgikaa.dll
Virus:Trj/StartPage.EC Disinfected C:\WINDOWS\system32\mtwirl.dll

Bij Bitdefender werden er 2 virussen verwijderd nl:
Virus:Trj/StartPage.FH Renamed C:\WINDOWS\system32\dmgikaa.dll en 1-tje in wmplayer nogwat.

Wat is nu de bedoeling ???
 
Hallo Pieter. Dit zal wel een leuke worden. Deze comp. wordt op dit moment door mij nagekeken en doorgelicht. ( IS gelukkig niet van mijzelf) Wat ik vind en gevonden heb wil niemand weten. Vol met virussen en spyware. omdat ik niet alle "**** 'kan verwijderen. ik heb Adaware, Spybot en regcleaner al gedraaid. Wil jij hier eens een blik opwerpen? Alvast vriendelijk bedankt.



Logfile of HijackThis v1.97.7
Scan saved at 23:02:13, on 6-7-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Symantec\pcAnywhere\awhost32.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\Norton Internet Security\SymProxySvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Norton Internet Security\NISSERV.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe
C:\PROGRA~1\ANTESP~1\Ace Creative.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Norton Internet Security\IAMAPP.EXE
C:\WINNT\system32\plugin.exe
C:\Program Files\CleanMyPC\Registry Cleaner\RCScheduler.exe
C:\Program Files\Hewlett-Packard\hp officejet v series\bin\hpodev07.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Norton Internet Security\ATRACK.EXE
C:\PROGRA~1\HEWLET~1\HPOFFI~1\bin\hpoevm07.exe
C:\Program Files\Hewlett-Packard\hp officejet v series\bin\HPOSTS07.exe
C:\Program Files\Hewlett-Packard\hp officejet v series\bin\HPOFXM07.exe
C:\WINNT\System32\svchost.exe
C:\My Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/i...:/Program Files/FirstEnter/Portal/portal.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.home.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door @Home
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.0.1:6588;https=192.168.0.1:6588;ftp=192.168.0.1:21;socks=192.168.0.1:1080
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/FirstEnter/Portal/portal.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://start.home.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000000} - (no file)
O2 - BHO: (no name) - {9E3865A2-A43C-8094-F3A0-798410101236} - C:\PROGRA~1\LESSLO~1\ActivePeak.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Viewnounplus - {99660EBB-C8BD-7635-8A78-22F37E961867} - C:\PROGRA~1\LESSLO~1\ActivePeak.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [Data delete] C:\PROGRA~1\ANTESP~1\Ace Creative.exe
O4 - HKLM\..\Run: [Windows Subsys] "C:\WINNT\system32\winload.exe" rundll32.dll,loadsubsys,loadwin32,loadsys,win32
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 3.9\THGuard.exe"
O4 - HKLM\..\Run: [CLSID] C:\WINNT\system32\plugin.exe
O4 - HKLM\..\RunServices: [Windows Subsys] "C:\WINNT\system32\winload.exe" rundll32.dll,loadsubsys,loadwin32,loadsys,win32
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Registry Cleaner Scheduler] "C:\Program Files\CleanMyPC\Registry Cleaner\RCScheduler.exe" /startup
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: HPAiODevice.lnk = C:\Program Files\Hewlett-Packard\hp officejet v series\bin\hpodev07.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Ulead Photo Express 4.0 SE Calendar Checker .lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O12 - Plugin for .UVR: %programfiles%\Internet Explorer\Plugins\NPUPano.dll
O14 - IERESET.INF: START_PAGE_URL=http://start.home.nl/
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} - http://www.oyunfabrikasi.com/nl/last/5/060224nl.exe
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37929.214849537
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game11.zylomgames.com/activex/zylomloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab
 
Hans bedankt voor je snelle reactie! Ik heb je instructies opgevolgd (kon niet alles vinden) en denk dat ik weer helemaal clean ben. Nogmaals dank voor de superservice en hieronder is mijn nieuwe log.

Groet Stefan


Logfile of HijackThis v1.98.0
Scan saved at 22:53:52, on 6-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\Eicon\Diva\DiTask.exe
C:\Program Files\Eicon\Diva\Divamon.exe
C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\MMTray.exe
C:\WINDOWS\System32\MMTray2k.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MMTrayLSI.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Creative\SBLive\PlayCenter2\CTNMRun.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Documents and Settings\Stefan de Heuvel\Mijn documenten\Hijack this\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [DiTask.exe] "C:\Program Files\Eicon\Diva\DiTask.exe"
O4 - HKLM\..\Run: [Divamon.exe] "C:\Program Files\Eicon\Diva\Divamon.exe"
O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [mp3delete] C:\PROGRA~1\Upload Poll Time\junk atom.exe
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NOMAD Detector] "C:\Program Files\Creative\SBLive\PlayCenter2\CTNMRun.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Toevoegen aan Mobiele favorieten - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Toevoegen aan Mobiele favorieten... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
 
Laatst bewerkt:
Geplaatst door john_boy_overbe

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll
O2 - BHO: C:\WINDOWS\lbbho.dll - {E917548E-674B-407D-81FC-DB359C697E5F} - C:\WINDOWS\lbbho.dll
O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\Run: [Windows Guard] waumgrd.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\RunServices: [Windows Guard] waumgrd.exe
O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [Windows Guard] waumgrd.exe
O4 - HKCU\..\RunOnce: [DeleteSlotchBar] rundll32.exe advpack.dll,DelNodeRunDLL32 "C:\Program Files\ISTbar\istbar.dll"
Klik om te vergroten...

Sporen van de Spybot-worm, van Gaobot en nog het één en ander... Geen beste beurt voor AVG Antivirus.

Zorg dat alle vensters behalve HijackThis gesloten zijn en fix bovenstaande items (zie quote).

Herstart de pc in veilige modus, zorg in Verkenner (Extra -> Mapopties -> Weergave) dat verborgen bestanden en mappen worden weergegeven, en verwijder (indien nog aanwezig):
de map C:\Program Files\ISTbar

Scan vervolgens met The Cleaner

Scan daarna bij Housecall

Scan daarna weer met HijackThis en plaats een nieuw log.

Groetjes,

Buffy
 
Geplaatst door slofje

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/i...:/Program Files/FirstEnter/Portal/portal.html[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/FirstEnter/Portal/portal.html
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000000} - (no file)
O2 - BHO: (no name) - {9E3865A2-A43C-8094-F3A0-798410101236} - C:\PROGRA~1\LESSLO~1\ActivePeak.dll
O3 - Toolbar: Viewnounplus - {99660EBB-C8BD-7635-8A78-22F37E961867} - C:\PROGRA~1\LESSLO~1\ActivePeak.dll
O4 - HKLM\..\Run: [Windows Subsys] "C:\WINNT\system32\winload.exe" rundll32.dll,loadsubsys,loadwin32,loadsys,win32
O4 - HKLM\..\Run: [CLSID] C:\WINNT\system32\plugin.exe
O4 - HKLM\..\RunServices: [Windows Subsys] "C:\WINNT\system32\winload.exe" rundll32.dll,loadsubsys,loadwin32,loadsys,win32
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O12 - Plugin for .UVR: %programfiles%\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} - http://www.oyunfabrikasi.com/nl/last/5/060224nl.exe
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game11.zylomgames.com/activex/zylomloader.cab
Klik om te vergroten...

Hoi Slofje,

Pieter heeft het een beetje druk in real life, dus je zult het even met een ander moeten doen.

Zorg dat alle vensters behalve HijackThis zijn gesloten en fix de bovenstaande items (zie quote).

Herstart de pc in veilige modus, zorg in Verkenner (Extra -> Mapopties -> Weergave) dat verborgen bestanden en mappen worden weergegeven, en verwijder (indien nog aanwezig):
het bestand C:\WINNT\system32\plugin.exe
de map C:\Program Files\First2Enter
het bestand C:\WINNT\system32\winload.exe
het bestand C:\WINNT\system32\plugin.exe

Plaats daarna een nieuw log.

Groetjes,

Buffy
 
Geplaatst door Stefan68
Logfile of HijackThis v1.98.0
Scan saved at 22:53:52, on 6-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
...
Klik om te vergroten...

Hoi Stefan68,

dat ziet er wel netjes uit, alleen heb ik gerede twijfels over deze:

O4 - HKLM\..\Run: [mp3delete] C:\PROGRA~1\Upload Poll Time\junk atom.exe
Klik om te vergroten...

Heb jij zelf enig idee wat dat is?

Groetjes,

Buffy
 
Toch nog even schrikken

Mensen van de hulp,

Ik schrok mij in de avond van 6 juli toen ik op m'n vaders computer zat en gewoon naar deze site kon en andere. Ik sloot toen de internet explorer af en weer op toen opende hij ineens met about:blank en een popup. Weer die coolwebsearch dus. Na ad-aware en spybot de boel te hebben laten opruimen doet ie het weer goed. Logfile ook inorder. Nu vraag ik jullie, denken jullie dat dit vaker gaat voorkomen dat ie toch nog toeslaat en dat ik het dan eenvoudig weer kan weghalen met ad-aware en spybot?
Dit is wel heel raar, heel de dag doet ie het goed en ineens in de avond doet ie weer raar.

Moet ik er maar mee leven dat ik af en toe ad-aware en spybot de boel moet laten opruimen of kunnen programma's als spywareblaster en spywareguard misschien helpen?
 
Hoi,

zeer:love: met de hele snelle reactie op mijn log.
Maar het moet blijkbaar met horten en stoten.

Ik heb genoemde zaken met Hijack verwijderd, maar kan de map 'PSDtools' niet vinden, ook niet via de optie 'zoeken'.

Hoewel bij Trendmicro vermeld wordt dat je tot een kwartier zou kunnen wachten, heb ik inmiddels een half uur naar een groot wit vak met linksboven een klein rood kruisje, gekeken. Dat gaat dus niet goed.
(NB. Ik neem aan dat je de handel niet hoeft te downloaden; ik krijg - op dat witte vak na - wel de goede pagina.)

Graag reactie,
 
Re: Toch nog even schrikken

Geplaatst door NaturesVoice
Mensen van de hulp,

Ik schrok mij in de avond van 6 juli toen ik op m'n vaders computer zat en gewoon naar deze site kon en andere. Ik sloot toen de internet explorer af en weer op toen opende hij ineens met about:blank en een popup. Weer die coolwebsearch dus. Na ad-aware en spybot de boel te hebben laten opruimen doet ie het weer goed. Logfile ook inorder. Nu vraag ik jullie, denken jullie dat dit vaker gaat voorkomen dat ie toch nog toeslaat en dat ik het dan eenvoudig weer kan weghalen met ad-aware en spybot?
Dit is wel heel raar, heel de dag doet ie het goed en ineens in de avond doet ie weer raar.

Moet ik er maar mee leven dat ik af en toe ad-aware en spybot de boel moet laten opruimen of kunnen programma's als spywareblaster en spywareguard misschien helpen?
Klik om te vergroten...

Ik durf het antwoord niet echt te geven. Het laatste log dat je plaatste was echt helemaal schoon, geen spoor van CWS te bekennen. (Overigens wil ik je niet ongerust maken, maar er bestaat inmiddels een CWS-variant die helemaal niet in HijackThis-logs te zien is.:( )

Zolang AdAware en Spybot het probleem voor een poos verhelpen, lijkt het mij niet zo'n ramp. Maar als het weer erger wordt, dan moet je (vader) misschien toch eens aan een 'schone lei' gaan denken - format en schone windowsinstallatie dus...

SpywareBlaster en SpywareGuard installeren is sowieso een goed idee, dat zorgt er in ieder geval voor dat er niet al te veel nieuwe spyware meer op je vaders pc binnenkomt. Je moet hem dan natuurlijk wel even leren die programma's te updaten. Helemaal waterdicht is die beveiliging natuurlijk niet, deels omdat de programmamakers natuurlijk altijd een beetje achterlopen op de criminelen (want die term mag je in het geval van CWS rustig gebruiken) die de spyware maken en verspreiden. Maar deze twee programma's kunnen toch heel wat ellende voorkomen.
 
Laatst bewerkt:
johnny 54

Geplaatst door johnny 54
Hoi,

zeer:love: met de hele snelle reactie op mijn log.
Maar het moet blijkbaar met horten en stoten.

Ik heb genoemde zaken met Hijack verwijderd, maar kan de map 'PSDtools' niet vinden, ook niet via de optie 'zoeken'.

Hoewel bij Trendmicro vermeld wordt dat je tot een kwartier zou kunnen wachten, heb ik inmiddels een half uur naar een groot wit vak met linksboven een klein rood kruisje, gekeken. Dat gaat dus niet goed.
(NB. Ik neem aan dat je de handel niet hoeft te downloaden; ik krijg - op dat witte vak na - wel de goede pagina.)

Graag reactie,
Klik om te vergroten...

Hoi Johnnie 54,

Probeer deze online-scan dan even: http://www.pandasoftware.com/activescan/com/activescan_principal.htm

Zou je ook even opnieuw willen scannen met HijackThis en het nieuwe log willen plaatsen?

Groetjes,

Buffy
 
SpywareBlaster

Ik krijg op m'n pa z'n computer SpywareBlaster niet aan de praat. Hij zegt bij het opstarten van het programma: cannot start bad cluster or virus, of iets in die richting.
Zit ad-aware, spybot of echt een virus in de weg?
 
Re: SpywareBlaster

Geplaatst door NaturesVoice
Ik krijg op m'n pa z'n computer SpywareBlaster niet aan de praat. Hij zegt bij het opstarten van het programma: cannot start bad cluster or virus, of iets in die richting.
Zit ad-aware, spybot of echt een virus in de weg?
Klik om te vergroten...

Het zit jou niet mee, met die computer van je pa.:confused:
Dit probleem is bekend, maar er is nog geen oplossing voor. Javacool belooft dat het in SpywareBlaster 3.2 zal zijn opgelost.
Hier een uitgebreid maar nogal onsamenhangend topic erover: http://www.wilderssecurity.com/showthread.php?t=26534.

EDIT - july 8th, 2004: SpywareBlaster 3.2 is nu beschikbaar: http://www.javacoolsoftware.com/sbdownload.html
 
Laatst bewerkt:
mijn log mensen

Logfile of HijackThis v1.98.0
Scan saved at 2:00:18, on 7/07/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAM FILES\ORL\VNC\WINVNC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\HPZTSB07.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\MMTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RUNME2.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\IMESH\CLIENT\IMESHCLIENT.EXE
C:\PROGRAM FILES\SONY CORPORATION\IMAGE TRANSFER\SONYTRAY.EXE
C:\PROGRAM FILES\SPYWAREGUARD\SGMAIN.EXE
C:\PROGRAM FILES\SPYWAREGUARD\SGBHP.EXE
C:\DOWNLOAD\SPYWAREPROGS\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/First2Enter/Portal/portal.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pac.pandora.be:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.pandora.be:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\WINDOWS\SYSTEM\IEHelper.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\PROGRAM FILES\SPYWAREGUARD\DLPROTECT.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb07.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [CloneCDTray] C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [errordupe] C:\PROGRA~1\DRVBOD~1\Basethunk.exe
O4 - HKLM\..\Run: [ZingSpooler] C:\Program Files\Common Files\Zing\ZingSpooler.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMANTEC\LIVEUP~1\SNDMON.EXE
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [Open2Enter] C:\WINDOWS\SYSTEM\RUNME2.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [WinVNC] "C:\PROGRAM FILES\ORL\VNC\WINVNC.EXE" -service
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: iMesh.lnk = C:\Program Files\iMesh\Client\iMeshClient.exe
O4 - Startup: Image Transfer.lnk = C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb029
O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {421A63BA-4632-43E0-A942-3B4AB645BE51} - http://64.156.188.99/iwasher/pptproactauth/internetwasherpro.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9FC87BC7-7963-4B70-8485-B1A41034C9A1} (CSonyPicturesGameDownloaderCtl Object) - http://www.shockwave.com/content/angelx/SonyPicturesGameDownloader.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/27f01dcbd0717063b914/netzip/RdxIE601_it.cab
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://ttc.lcp.be/msrdp.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {E3802230-F0E2-4A75-9947-EAB78DD8153F} (InstallerX Class) - http://www.euroklik.nl/cab/EasyWebInstaller.cab
O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) - http://www.contenidospc.com/ruboskizo2.cab
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.7adpower.com/dialer/A091BEL.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {5E943D9C-F8DC-4258-8E3F-A61BB3405A33} (ZingBatchAXDwnl Class) - http://www.imagestation.com/common/classes/batchdwnl.cab?version=4,3,2,20802
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28177.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: ConferenceRoom Java Client - http://java.irc.liveharmony.org:8080/java/cr.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = pandora.be
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 195.130.132.17,195.130.132.18
 
Ondanks alle inspanningen van jullie heb ik nog steeds last van irritante startpagina's en po-ups die mirakuleus weer verdwijnen nadat ze drie seconden aanwezig zijn geweest :confused:
Ik heb ze allemaal verwijderd op een hele hardnekkige na: www.coolsearch.biz...
Ik krijg hem op de een of andere manier niet weg. En MSXMIDI.EXE schijnt om het uur ook weer aanwezig te zijn :confused: .
Ik hoop niet dat ik jullie lastig val met nog een ander log, maar ik kan het zelf niet oplossen. Hoewel ik er steeds handiger in wordt :rolleyes: NOT! :p

Ik heb eerst gescand met AdAware 6, deze vond 8 bestanden waaronder 4 .exe's. Ze zijn in quarantaine gezet waarna ik ze verwijderd heb.

Hier dus mijn Hijack This logje... (Internet Explorer doet het weer helemaal by the way. Hartelijk dank daarvoor!)

Logfile of HijackThis v1.97.7
Scan saved at 2:16:50, on 7-7-04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\MOUSE\TRUST-MOUSE\TAMOMOUS.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\SCANSOFT\OMNIPAGESE\OPWARE32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\QRMEKRL.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
C:\PROGRAM FILES\SPYWAREGUARD\SGMAIN.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\SPYWAREGUARD\SGBHP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\HIJACK THIS\ANTI-SPYWARE.****\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.altavista.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door chello broadband n.v.
F1 - win.ini: run=C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\PROGRAM FILES\SPYWAREGUARD\DLPROTECT.DLL
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\MXTARGET.DLL
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN TOOLBAR\01.01.1629.0\NL\MSNTB.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Multimedia Keyboard] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [Onscreen Display] C:\Program Files\Netropa\Onscreen Display\OSD.exe
O4 - HKLM\..\Run: [gnetmous] c:\mouse\trust-mouse\TAMOMOUS.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Omnipage] c:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - HKLM\..\Run: [sfgzqblr] C:\WINDOWS\SYSTEM\QRMEKRL.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [Norman ZANDA] C:\NORMAN\NVC\BIN\ZANDA.EXE /LOAD
O4 - HKCU\..\Run: [Shareaza] "C:\SHAREAZA\SHAREAZA.EXE" -tray
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O9 - Extra button: RealGuide (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {C58EFA10-2CC0-4C50-8C77-B326555EC1B7} (clsDefault Class) - http://quickfix2.chello.nl/quickfix2/asp/LaunchApp.CAB
O16 - DPF: {1D185838-009D-47C8-824B-B65B4854430E} (Installer Class) - http://quickfix2.chello.nl/QuickFix2/asp/chelloInstall.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38172.6999652778
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab


Ik hoop dat jullie nog iets kunnen vinden, want met om de drie seconden een Spyware Guard bericht is ook niet alles. Ik zou haast zeggen 'Keep new Value'.

Bij voorbaat bedankt

- Kaioh Shin
 
Re: mijn log mensen

Geplaatst door boheem

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/First2Enter/Portal/portal.html
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [errordupe] C:\PROGRA~1\DRVBOD~1\Basethunk.exe
O4 - HKLM\..\Run: [Open2Enter] C:\WINDOWS\SYSTEM\RUNME2.EXE
O16 - DPF: {9FC87BC7-7963-4B70-8485-B1A41034C9A1} (CSonyPicturesGameDownloaderCtl Object) - http://www.shockwave.com/content/angelx/SonyPicturesGameDownloader.cab
O16 - DPF: {E3802230-F0E2-4A75-9947-EAB78DD8153F} (InstallerX Class) - http://www.euroklik.nl/cab/EasyWebInstaller.cab
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.7adpower.com/dialer/A091BEL.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {5E943D9C-F8DC-4258-8E3F-A61BB3405A33} (ZingBatchAXDwnl Class) - http://www.imagestation.com/common/classes/batchdwnl.cab?version=4,3,2,20802
Klik om te vergroten...

Hallo Boheem,

Zorg dat alle vensters behalve HijackThis gesloten zijn en fix de bovenstaande items (zie quote).

Herstart de pc in veilige modus, zorg in de Verkenner via Extra -> Mapopties -> Weergave dat verborgen bestanden en mappen worden weergegeven, en verwijder:
het bestand C:\WINDOWS\SYSTEM\RUNME2.EXE
de map C:\Program Files\First2Enter

Maak een nieuw HijackThis-log ter controle.

Groetjes,

Buffy
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan