Helpmij tegen spyware offensief (deel 6)

  • Onderwerp starter Onderwerp starter m@rio
  • Startdatum Startdatum
Status
Niet open voor verdere reacties.
yep maar kryg servicepack1 niet geinstaleerd omdat ik waarschijnlijk geen legale xp heb en de rest doe ik altyd update via windows site en autom updates maar blijkt nie voldoende te zijn maar ik ga der nog es nachtje over slape trusteeeee en thnxs
greetzzzzz cool
ps morge zal ik es verder kijke kee en trusteeee
 
Re: heinzfaust

Geplaatst door buffy



Hallo Heinzfaust,


Daar ben ik alweer.:) Laten we dit eens proberen:


1. Download en installeer Advanced Process Manipulation (APM): http://www.diamondcs.com.au/index.php?page=apm (alleen downloaden en installeren dus, nog niet gebruiken)

2. Scan opnieuw met HijackThis, sluit alle vensters behalve HijackThis zelf en fix dit item:

O20 - AppInit_DLLs: C:\WINDOWS\System32\resmo.dll

3. Start APM.
Selecteer in het bovenste venster explorer.exe.
Zoek in het onderste venster naar resmo.dll, klik erop met de rechtermuisknop en selecteer unload.dll; klik "OK" bij de meldingen die vervolgens verschijnen.

4. Herstart de pc.

5. Scan met AdAware, maak een nieuw HijackThis-log en kijk op die 020 regel er nu nog is.


Ik hoop dat het werkt.


Groetjes,

Buffy

Resmo.dll verschijnt niet bij APM.... (c:\windows\explorer.exe)

Sorry............:(
 
Re: Re: heinzfaust

Geplaatst door Heinzfaust


Resmo.dll verschijnt niet bij APM.... (c:\windows\explorer.exe)

Sorry............:(

En als je in het bovenste venster C:\Program Files\Internet Explorer\iexplore.exe kiest?


EDIT: lees ook mijn antwoord op johnnie 54 even, drie berichten verderop.
 
Laatst bewerkt:
Hans, bedankt voor het kijken, dat van dat McAfee is waar maar het is ook wel uitgebreid.
Heb virusscanner en firewall aanstaan maar werkt fantastisch.
Maar wel veel ja.... In ieder geval geen troep ertussen staan, bedankt.
Ben nu aan het updaten, mocht wel weer een keer jah:D
 
Hoi Hans, Buffy en de rest,

Bijna helemaal verlost van Coolweb & BrowserHijack handel (die enkele fix ik maar handmatig), heb ik nu weer iets moois (niet dus).

'k Heb de hele avond al last van Nortonmeldingen over een virus. 't Gaat om een (voor hen oude bekende) Backdoor.trojan. Als ik de aanwijzingen van Symantic Security opvolg, kom ik niet verder dan stap 4: scannen, want dan wordt er niets gevonden. Ook een halve minuut computer en stroom af helpt niet.

Ik krijg steeds de melding dat in system32 een LOGPHF.DLL én logphf.dll bestand zit (inderdaad met en zonder hoofdletters) en dat dit niet gerepareerd kan worden en dat de toegang geweigerd wordt). En dat steeds twee keer, dus na 8 boodschappen ben ik weer bij het begin.

Op geen enkele manier kan ik dit (deze) bestand(en) op mijn PC vinden, ook niet in Veilige modus.
In mijn HJT-log kom ik 'm wel tegen onder 020, dus dat belooft weinig goeds. Maar gewoon fixen helpt niet, even later zit hij er weer in.

Ik heb inmiddels de gewoonte ontwikkeld om af en toe de system32 map door te scrollen op zoek naar mogelijk gespuis. Ik kwam helemaal aan het eind (toevallig?) ook het twee weken geleden gemaakte bestand ZPORT4AS.dll tegen. Via zoeken op google kwam ik op een engelstalige site met ook veel HJT-logs waar ik volgens mij lees dat dit ook irritante SPYtroep is.

Of het allemaal met elkaar te maken heeft?
Hebben jullie wat aan deze info?
Krijg ik die LOGPHF-handel weg?

Logfile of HijackThis v1.98.0
Scan saved at 1:02:22, on 19-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\FILTER~1\filtergate.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\twain_32\SCSI600\WATCH.EXE
C:\MSCAN\Msoffice\panel.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\hijackthis 1.98\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [QD FastAndSafe] C:\PROGRA~1\NORTON~1\NORTON~2\QDCSFS.exe /scheduler
O4 - HKLM\..\Run: [FilterGate] C:\PROGRA~1\FILTER~1\filtergate.exe /ASK
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Microsoft Office Snelzoeken.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office Opstarten.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\SCSI600\WATCH.EXE
O8 - Extra context menu item: Linked Ima&ges - C:\Program Files\IEimage\IEimage.htm
O9 - Extra button: Linked Images - {D8980DE8-9D4C-4fb0-8FB4-95B1FA4125AD} - C:\Program Files\IEimage\IEimage.htm
O9 - Extra 'Tools' menuitem: Linked Ima&ges - {D8980DE8-9D4C-4fb0-8FB4-95B1FA4125AD} - C:\Program Files\IEimage\IEimage.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\logphf.dll

Succes en tot lezens,
 
johnny 54

Geplaatst door johnny 54
Hoi Hans, Buffy en de rest,

Bijna helemaal verlost van Coolweb & BrowserHijack handel (die enkele fix ik maar handmatig), heb ik nu weer iets moois (niet dus).

'k Heb de hele avond al last van Nortonmeldingen over een virus. 't Gaat om een (voor hen oude bekende) Backdoor.trojan. Als ik de aanwijzingen van Symantic Security opvolg, kom ik niet verder dan stap 4: scannen, want dan wordt er niets gevonden. Ook een halve minuut computer en stroom af helpt niet.

Ik krijg steeds de melding dat in system32 een LOGPHF.DLL én logphf.dll bestand zit (inderdaad met en zonder hoofdletters) en dat dit niet gerepareerd kan worden en dat de toegang geweigerd wordt). En dat steeds twee keer, dus na 8 boodschappen ben ik weer bij het begin.

Op geen enkele manier kan ik dit (deze) bestand(en) op mijn PC vinden, ook niet in Veilige modus.
In mijn HJT-log kom ik 'm wel tegen onder 020, dus dat belooft weinig goeds. Maar gewoon fixen helpt niet, even later zit hij er weer in.

Ik heb inmiddels de gewoonte ontwikkeld om af en toe de system32 map door te scrollen op zoek naar mogelijk gespuis. Ik kwam helemaal aan het eind (toevallig?) ook het twee weken geleden gemaakte bestand ZPORT4AS.dll tegen. Via zoeken op google kwam ik op een engelstalige site met ook veel HJT-logs waar ik volgens mij lees dat dit ook irritante SPYtroep is.

Of het allemaal met elkaar te maken heeft?
Hebben jullie wat aan deze info?
Krijg ik die LOGPHF-handel weg?

Logfile of HijackThis v1.98.0
Scan saved at 1:02:22, on 19-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

O20 - AppInit_DLLs: C:\WINDOWS\System32\logphf.dll


Hoi johnny 54,

Toevallig ben ik vanavond al met precies hetzelfde probleem bezig geweest, al heette het foute *.dll- bestand in dat geval resmo.dll. Exact hetzelfde probleem: Norton meldt het voortdurend, fixen van het 020-item in HijackThis helpt niet en het bestand is in system32 niet te vinden, en ook in dat geval was eerder een CWS-variant verwijderd.

Wat het 020 item in jouw log betekent, is dat logphf.dll in het geheugen van je pc wordt geladen als je inlogt en dat blijft totdat jij uitlogt. Dit komt slechts bij een zeer klein aantal legitieme programma's voor en logphf.dll hoort beslist niet bij één van die legitieme programma's. Het kan dus bijna niet anders of het heeft te maken met een trojan of browserhijacker - waarschijnlijk CWS.

Het volgende is de moeite van het proberen waard, denk ik. Ik citeer het uit de oplossing voor een bekende CWS-variant, die ook met zo'n verborgen *.dll-bestand werkt:

Download appinit.bat.
Run het bestand niet uit de zip-map, maar unzip het naar je desktop.
Even verschijnt er een dosbox en dan wordt er een bestandje aangemaakt dat windows.txt heet. Dit bestandje bevat de naam van de verborgen DLL. Deze DLL noemen we vanaf nu xxxx.dll.
Download CWShredder maar gebruik het programma nog niet.
Download hiving.bat.
Lees ook dit even door: Eigenaar worden van een map of bestand.
Verbreek de connectie met het internet tot de verwijderprocedure achter de rug is.
Dubbelklik op hiving.bat om het te starten. Na een reboot zou de verborgen installer (xxxx.dll) die we met appinit.bat opgespoord hebben, zichtbaar moeten zijn.
Zoek het bestand c:\Windows\System32\xxxx.dll op via de verkenner en maak jezelf eigenaar van dit bestand.
Dit geldt enkel voor gebruikers van het NTFS-bestandsysteem. Gebruik je FAT32 als bestandssysteem dan moet het volstaan om het Alleen lezen attribuut uit te schakelen.
Hernoem het bestand xxxx.dll naar noxxxx.txt en verwijder dit bestand.
(Lukt het niet dan kan je deze procedure herhalen in veilige modus.)
Run CWShredder.
Reboot de computer in normale modus. Run HijackThis en laat eventuele verwijzingen naar about:blank nog fixen.
bron

Mocht dat 020 dan ook nog verschijnen in je log, fix dat dan ook even.

Ik hoop dat het werkt. Begrijp goed dat ik hier zelf geen ervaring mee heb en dus geen garanties kan geven. Maak voordat je begint even een herstelpunt aan.


Groetjes,

Buffy
 
Hoi Buffy,

't klinkt inderdaad niet goed als ik zo snel je antwoord zie. Mede gezien het tijdstip van de huidige dag, ga ik er morgen mee aan de slag.
Een herstelpunt maken? Dat gaat normaliter toch vanzelf met Windows restore? Hoe doe je dat actief (in de hoop dat het een niet al te domme vraag is)?:o
 
Geplaatst door johnny 54
Hoi Buffy,

't klinkt inderdaad niet goed als ik zo snel je antwoord zie. Mede gezien het tijdstip van de huidige dag, ga ik er morgen mee aan de slag.
Een herstelpunt maken? Dat gaat normaliter toch vanzelf met Windows restore? Hoe doe je dat actief (in de hoop dat het een niet al te domme vraag is)?:o

XP maakt inderdaad ook automatisch herstelpunten aan (tenzij systeemherstel is uitgeschakeld). Maar je kunt voor de zekerheid ook zelf een extra herstelpunt aanmaken, via Start -> Alle Programma's -> Bureau-accessoires -> Systeemwerkset -> Systeemherstel, dan een vinkje zetten voor "Een herstelpunt maken".
 
Thnxs Buffy voor het herstelpuntverhaal.

Heb je (jullie) overigens nog iets aan dat ZPORT4AS verhaal? Heeft dat er mee te maken? Of staat het er los van?

Till tomorrow.
 
trojan

Oké, hier is mijn log.
Heb inderdaad ook last van ongewenste startpagina's
Succes!

Logfile of HijackThis v1.97.7
Scan saved at 7:43:01, on 19-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\a2\a2guard.exe
C:\Program Files\Hewlett-Packard\HP OfficeJet T Series\Bin\HPOstr05.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Hewlett-Packard\HP OfficeJet T Series\bin\HPOVDX05.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Wijker\Mijn documenten\Hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.marktplaats.nl/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"
O4 - Global Startup: HP OfficeJet T Series Opstartmenu.lnk = C:\Program Files\Hewlett-Packard\HP OfficeJet T Series\Bin\HPOstr05.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: MaxSpeed (HKLM)
O9 - Extra button: Create Mobile Favorite (HKLM)
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37929.3190972222
O16 - DPF: {B0A2C7FC-8666-44D6-A990-2FCE3B933341} (ING Bank Autorisatiescherm) - http://secure.ingbank.nl/download/DigiSign.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
 
Geplaatst door Wim1960

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com

O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll

O4 - HKCU\..\Run: [RealPopup] "D:\Program Files\RealPopup\RealPopup.exe" BOOT

O16 - DPF: {03C543A1-C090-418F-A1D0-FB96380D601D} (preload control) - http://www.thepaymentcentre.com/build/preload.cab
O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://kr.pristontale.com/nprotect/nprotect/npx.cab

Hoi Wim,

Ben je echt zo wild van Yahoo? :confused:

1) Vink bovenstaande aan in HijackTHis, sluit alle vensters behalve HijackThis en klik op FIx Checked.

2) Start opnieuw op in veilige modus, en verwijder:
C:\WINDOWS\2_0_1browserhelper2.dll << bestand
D:\Program Files\RealPopup << map

3) reboot weer in normale modus.
 
Laatst bewerkt:
Geplaatst door guevara
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

Allereerst wil ik je aanraden HijackThis in een eigen map te zetten. Dit in verband met backups die dit programma maakt.

Je logje is schoon, maar bovenstaande kunnen het opstarten vertragen, dus weg ermee.

1) Vink bovenstaande aan in HijackThis, sluit alle vensters behalve HijackThis en klik op Fix Checked.

2) Start opnieuw op.

Je zult de oplossing dus ergens anders moeten zoeken, aan spyware ligt het iig niet.
 
zeer traag internet

Hallo,

Mijn internet verbinding is sinds enige tijd supertraag.
Nadat internet voortdurend bleef uitvallen heb ik de installatie met gebruikmaking van een ghost teruggezet naar de beginstand na de installatie van WindowsXP.
Sindsdien doet ie het wel maar dus zeer traag en af en toe slaat ie zomaar af. Ik heb firefox geinstalleerd en die doet net zo langzaam als IE.
Ik zou zeer dankbaar zijn als iemand een oplossing weet. Ik heb gescand met AdAware en S&D.
Hieronder het HijackThis logfile.

groeten,

Orbea

Logfile of HijackThis v1.98.0
Scan saved at 11:15:22, on 19-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\Program Files\Norton Internet Security\IAMAPP.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Norton Internet Security\SymProxySvc.exe
C:\ScanPanel\ScnPanel.exe
C:\Program Files\Norton Internet Security\NISSERV.EXE
C:\Program Files\Norton Internet Security\ATRACK.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.planet.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C409D6FE-AD58-426B-8EB4-9C859E37F762}: NameServer = 195.121.1.34 195.121.1.66
 
Geplaatst door H@NsiePanzzzer


Hoi Wim,

Ben je echt zo wild van Yahoo? :confused:

1) Vink bovenstaande aan in HijackTHis, sluit alle vensters behalve HijackThis en klik op FIx Checked.

2) Start opnieuw op in veilige modus, en verwijder:
C:\WINDOWS\2_0_1browserhelper2.dll << bestand
D:\Program Files\RealPopup << map


Hans,

Laat je niet van de wijs brengen door de naam van een programma. RealPopup is een keurig programma voor het versturen van berichtjes over een netwerk. Geen spyware of andere narigheid dus.


Groetjes,

Buffy
 
dial prog

Hallo!

Zou je mijn log eens na willen kijken? Mijn virus scanner vind een dial programma en kan deze niet verwijderen!
Logfile of HijackThis v1.97.7
Scan saved at 11:47:06, on 19-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Trust\250S Series\lwbwheel.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1629.0\nl\msntb.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Trust\250S Series\lwbwheel.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38056.4712615741
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Alvast bedankt!!
 
spyware

Logfile of HijackThis v1.98.0
Scan saved at 11:50:38, on 19/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\TouchPadNF\TPTray.exe
C:\WINDOWS\System32\CePMTray.exe
C:\PROGRA~1\EzButton\CPATR10.EXE
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\srv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\USR WLAN\USR USB Adapter\USRSTA.exe
C:\WINDOWS\System32\WScript.exe
C:\Program Files\Kazaa Lite K++\KazaaLite.kpp
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/First2Enter/Portal/portal.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/First2Enter/Portal/portal.html
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1629.0\nl\msntb.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Classes] C:\WINDOWS\System32\srv.exe
 
thetrain

Geplaatst door thetrain
Oké, hier is mijn log.
Heb inderdaad ook last van ongewenste startpagina's
Succes!

Logfile of HijackThis v1.97.7
Scan saved at 7:43:01, on 19-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
.....


Hallo Thetrain,

In je log is niets te zien. Die ongewenste pagina, is dat iets van real-yellowpage.com, drxcount.biz, list2004.com, linklist.cc of iets dergelijks? Zo ja, dan heb je een CWS-variant te pakken die niet in HijackThis-logs te zien is en waartegen CWShredder niet is opgewassen. Kijk in dat geval of je iets kunt met de verwijderinstructies uit het tweede bericht op de volgende pagina: http://www.wilderssecurity.com/showthread.php?t=28658


Groetjes,

Buffy
 
orbea

Geplaatst door orbea
Hallo,

Mijn internet verbinding is sinds enige tijd supertraag.
Nadat internet voortdurend bleef uitvallen heb ik de installatie met gebruikmaking van een ghost teruggezet naar de beginstand na de installatie van WindowsXP.
Sindsdien doet ie het wel maar dus zeer traag en af en toe slaat ie zomaar af. Ik heb firefox geinstalleerd en die doet net zo langzaam als IE.
Ik zou zeer dankbaar zijn als iemand een oplossing weet. Ik heb gescand met AdAware en S&D.
Hieronder het HijackThis logfile.

groeten,

Orbea

Logfile of HijackThis v1.98.0
Scan saved at 11:15:22, on 19-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
.....


Hallo Orbea,

Geen spyware of andere narigheid te bekennen, dus je zult de oorzaak van je probleem elders moeten zoeken.


Groetjes,

Buffy
 
marjan20

Geplaatst door marjan20
Hallo!

Zou je mijn log eens na willen kijken? Mijn virus scanner vind een dial programma en kan deze niet verwijderen!
Logfile of HijackThis v1.97.7
Scan saved at 11:47:06, on 19-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
.....


Hallo Martan20,

Je log is schoon hoor. Mocht er nog iets van een dialer op je pc stan, dan is die in ieder geval niet actief.

Wat krijg je precies voor melding van Norton?


Groetjes,

Buffy
 
Status
Niet open voor verdere reacties.
Terug
Bovenaan Onderaan