Helpmij tegen spyware offensief (deel 6)

[buffy]

Geplaatst door volume
Buffy,

Die windowssvc is er inderdaad niet uit te krijgen, ook niet offline, maar die popup, die is verdwenen

b.t.w. weet jij wat die windowssvc doet ?

In ieder geval bedankt voor je hulp !

Nee, ik weet niet wat windowssvc.exe doet. Ik weet alleen dat het niet op je pc thuishoort. Het aantal zoekresultaten met Google is ook bedroevend laag en nuttige informatie over dit bestand is daarin niet te vinden.

In het log van Thegreenhunter hierboven zit het trouwens óók, ik ben benieuwd of het bij hem ook niet verwijderd kan worden.

Ik blijf voor je zoeken hoor, er moet wel een methode te vinden zijn om dit bestand te verwijderen.

 

[jorism]

misschien nog even handig om te weten Buffy, Cwshredder heeft niets gevonden, behalde dan dat hij de startpagina heeft verandert.
vr gr

 

[buffy]

jorism

Geplaatst door jorism

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\bs5zx7mayvks62.dll

O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE
O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
O4 - HKLM\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe
O4 - HKCU\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe

O20 - AppInit_DLLs: mmsco4edynmrth.tlb

Hoi Jorism,

Die foutmeldingen op Helpmij hebben niets met jouw probleem te maken.

Super-spider.com ís CWS. Ik dacht dat CWShredder die Super-spider-hijack er wel uit zou vissen.

Jouw log ziet er inderdaad niet goed uit. Met name dat O20 - AppInit_DLLs: mmsco4edynmrth.tlb baart zorgen - dat stond er in je vorige log nog niet! Ik heb zoiets ook nog nooit eerder gezien, met een .tlb-extensie. Ik weet dus ook niet of ik je hiermee kan helpen. Maar probeer, op hoop van zegen, het onderstaande nog eens.

1. Vink de bovenstaande items (zie quote) aan in HijackThis, zorg dat alle vensters behalve HijackThis zelf zijn gesloten en klik op Fix checked.

2. Run meteen daarna CWShredder. Gebruik de "Fix" knop en let goed op de aanwijzingen die het programma geeft. (Hij vindt misschien weer niets, maar toch maar proberen.)

3. Herstart meteen daarna de pc in veilige modus.

Zorg er in de Verkenner voor dat er
- géén vinkje staat voor "Beveiligde besturingssysteembestanden verbergen (aanbevolgen)",
- géén vinkje staat voor "Extensies voor bekende bestandstypen verbergen", en
- wél een vinkje voor "Verborgen bestanden en mappen weergeven".

Ga nu, in veilige modus dus, op zoek naar de volgende bestanden en mappen; mocht je ze vinden, verwijder ze dan:

C:\WINDOWS\System32\bs5zx7mayvks62.dll
C:\WINDOWS\System32\SCVHOST.EXE
C:\WINDOWS\System32\REGCPM32.EXE
C:\WINDOWS\System32\matrixhere.exe

4. Herstart in 'normale modus'.

5. Voer schijfopruiming uit (start -> alle programma's -> bureau-accessoires -> systeemwerkset -> schijfopruiming); vink alle opties aan.

6. Maak en plaats een nieuw log.


Geen idee of het werkt, maar wie niet waagt...

Groetjes,

Buffy

 

[Dwarf]

Hey Buffy.
zou je mij ook enig vooruit kunnen helpen?

Heb zojuist weer gescanned met SPYBOT (search and destroy) en dit is het resultaat:

SearchBy: Tracking cookie (Internet Explorer: pc1) (Cookie, nothing done)


DSO Exploit: Data source object exploit (Register-verandering., nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Register-verandering., nothing done)
HKEY_USERS\S-1-5-21-117609710-1275210071-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Register-verandering., nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Register-verandering., nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Register-verandering., nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3


--- Spybot - Search && Destroy version: 1.3 ---
2004-05-12 Includes\Cookies.sbi
2004-05-12 Includes\Dialer.sbi
2004-05-12 Includes\Hijackers.sbi
2004-05-12 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-05-12 Includes\Malware.sbi
2004-05-12 Includes\Revision.sbi
2004-05-12 Includes\Security.sbi
2004-05-12 Includes\Spybots.sbi
2004-05-12 Includes\Tracks.uti
2004-05-12 Includes\Trojans.sbi

En de hijackthis reslutetan zijn dit:
Logfile of HijackThis v1.98.0
Scan saved at 18:21:30, on 30-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Ultimate Popup Killer\Popupkiller.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\AIM\aim.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\pc1\LOCALS~1\Temp\Rar$EX00.610\HijackThis.exe

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\cuw8c14riik.dll

Wat te doen?

Met Vriendelijke Groet,

Theo M

 

[buffy]

Geplaatst door Dwarf
Hey Buffy.
zou je mij ook enig vooruit kunnen helpen?

Hoi Dwarf,

Om die resultaten van Spybot hoef je je in ieder geval geen zorgen te maken. Van een tracking cookie hoef je niet wakker te liggen. Die meldingen van DSO exploits kun je negeren, want dat is een foutje van Spybot.

Met dat HijackThis-log kan ik echter niets, daarvoor heb ik toch echt een volledig log nodig. Nogmaals: weet je zeker dat je het hele log selecteert, via Bewerken -> Alles selecteren of via Ctrl-A?

EDIT: ik heb het nog even gechecked, en dit is nu de derde keer dat je ditzelfde log (gemaakt om 18.21 u.) plaatst. Maak nu een nieuw log en doe dat precies volgens deze uitleg: http://home.planet.nl/~kleyn080/hijackthisuitleg.html


Groetjes,

Buffy

 

[jorism]

helaas, ik zag alweer dat het nog niet verholpen was. Die "roma" en Matrix" blijven maar komen. geen idee waarvan. Ik ga een hapje eten en dan maar C formatteren en XP er op nieuw op. Zie geen andere uitweg. Iigv bedankt Buffy

 

[Dwarf]

hey kijk heb precies gedaan zoals volgens de site die je me gaf staat.

Hier staan er heelveel:

Bij mij staat er maar 1tje en dat is deze:
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\cuw8c14riik.dll

en de log die ik al inmiddels 3 x heb gepost is daarvan hehe.

ingewikkeld zeg.
Groet,

theo M

 

[buffy]

Geplaatst door Dwarf
hey kijk heb precies gedaan zoals volgens de site die je me gaf staat.

Hier staan er heelveel:

Bij mij staat er maar 1tje en dat is deze:
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\cuw8c14riik.dll

en de log die ik al inmiddels 3 x heb gepost is daarvan hehe.

ingewikkeld zeg.
Groet,

theo M

Ik vroeg je een nieuw log te maken en te plaatsen. Steeds weer datzelfde onvolledige logbestand plaatsen heeft natuurlijk geen zin.

Je moet dus opnieuw scannen met HijackThis, en nadat je voor "Save log" hebt gekozen, kiezen voor Bewerken -> Alles selecteren en die selectie dan plakken op het forum (met Ctrl-V of rechtermuisknop -> plakken).

Als je dit nu nog niet begrijpt, dan weet ik het ook niet meer en kan ik je niet helpen.

 

[Kwiebes]

Searchweb verwijderen

Alvast heeeeeeel hartelijk dank voor de reactie, ik wil dolgraag van dat ellendige searchweb af!


Logfile of HijackThis v1.98.0
Scan saved at 21:24:37, on 30-7-04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAM FILES\MESSENGER PLUS! 3\MSGPLUS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\HPZTSB05.EXE
C:\PROGRAM FILES\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\LAVASOFT\AD-AWARE 6\AD-AWARE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\WINZIP\WINZIP32.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/i....com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.cfaocqektip.us/IPnIQAdQ2jiSlualqzRQ8GSc7PLPm4U_cNEfvKdHu4RH3IR39ZVfKyfMux_wgB0x.jsp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nvidia.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {0D1E2654-F1FB-41AA-4013-CA19544FD9F6} - C:\PROGRAM FILES\STOP BALL SAFE\OPEN INFO.EXE
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb05.exe
O4 - HKLM\..\Run: [UP SPAM] C:\PROGRA~1\HOLEDA~1\bore delete user.exe
O4 - HKLM\..\Run: [dumb debug creative support] C:\WINDOWS\Application Data\cdromaimdumbdebug\internetlong.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

 

[buffy]

Re: Searchweb verwijderen

Geplaatst door Kwiebes
Alvast heeeeeeel hartelijk dank voor de reactie, ik wil dolgraag van dat ellendige searchweb af!


Logfile of HijackThis v1.98.0
Scan saved at 21:24:37, on 30-7-04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
....

Hoi Kwiebes,

Volgens mij is dit log niet compleet.

Maak nog eens een nieuw log. Dus nogmaals scannen met HijackThis, dan via "Save log" het log bewaren, dat (in Kladblok) in zijn geheel selecteren m.b.v. Bewerken -> Alles selecteren en dat geselecteerde geheel dan hier plakken.

Groetjes,

Buffy

 

[Mithril]

Hallo, ik ben verwezen naar deze thread, het probleem is dat ik m'n webinstellingen niet kan herstellen. Hier is de voorgeschiedenis:
http://www.helpmij.nl/forum/showthread.php?s=&postid=1143993#post1143993
En hier is m'n logje:
Logfile of HijackThis v1.98.0
Scan saved at 21:43:49, on 30-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\Dit.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\twain_32\CANON\FB310\Scaner32.exe
C:\WINDOWS\DitExp.exe
C:\Program Files\FireTrust\MailWasher Pro\MailWasher.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft Works\WkDStore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Outlook Express\msimn.exe
D:\Mine\Toeltjes\Hijack This!\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\Windows\System32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: MailWasherPro.lnk = C:\Program Files\FireTrust\MailWasher Pro\MailWasher.exe
O4 - Global Startup: CanoScan FB310 Utilities.lnk = C:\WINDOWS\twain_32\CANON\FB310\Scaner32.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4381/mcfscan.cab

 

[buffy]

Mithril

Geplaatst door Mithril

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R3 - URLSearchHook: (no name) - - (no file)

Hoi Mithril,

Uit de voorgeschiedenis wordt niet duidelijk waarom je precies in het register bent gaan rommelen (nou ja, iets met trojans blijkbaar) en wat je dan precies gedaan hebt. Had of heb je ook last van problemen met internetten, bijv. met ongewenste zoek- of startpagina's of redirects?

Fix in ieder geval de bovenstaande items (zie quote) met HijackThis, zorg daarbij dat er géén vensters van browsers (vooral niet van IE) en mailprogramma's open staan. Start daarna opnieuw op.

Let wel: als jij van alles hebt verwijderd uit het register wat je niet had mogen verwijderen, verwacht dan niet dat fixen met HijackThis dat zomaar even oplost. Dan zul je toch echt moeten teruggrijpen op de back-up van het register die je natuurlijk hebt gemaakt voordat je erin ging zitten experimenteren.

Groetjes,

Buffy

 

[Mithril]

Buffy,

Hier het nieuwe logje, nog steeds hetzelfde probleem. Het valt me nu trouwens pas op dat je 'webinstellingen herstellen' ook direct vanuit het extra menu kan kiezen, dacht dat het alleen in de tab programma's stond. Gewoon overheen gekeken blijkbaar.

Logfile of HijackThis v1.98.0
Scan saved at 22:09:54, on 30-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\Dit.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\twain_32\CANON\FB310\Scaner32.exe
C:\Program Files\FireTrust\MailWasher Pro\MailWasher.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\svchost.exe
D:\Mine\Toeltjes\Hijack This!\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F2 - REG:system.ini: UserInit=C:\Windows\System32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: MailWasherPro.lnk = C:\Program Files\FireTrust\MailWasher Pro\MailWasher.exe
O4 - Global Startup: CanoScan FB310 Utilities.lnk = C:\WINDOWS\twain_32\CANON\FB310\Scaner32.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4381/mcfscan.cab

Ik had een hele lijst aan trojans en een aantal virussen die ik verwijderd heb, met behulp van de registry ook sommige, zoals aangegeven op verschillende sites die ik daarover vond. Ik had geen last van redirections, wel van popups en in google een rits aan verwijzingen naar andere search engines voordat ik ook maar een echte hit zag. Dat soort dingen. En *tuurlijk* heb ik backups van de registry , maar 1. dacht misschien dat het op een andere manier op te lossen zou zijn, wie weet bekend probleem, en 2. ik weet niet precies vanaf wanneer die webinstellingen niet meer zijn te herstellen, heb ik niet gecheckt omdat ik geen last had van redirects. Hoe ouder de registry hoe meer kans dat die andere ellende er ook weer in staat.

Maar ik denk dat je waarschijnlijk hier ook niet verder mee komt aangezien m'n log voor de rest goed is?

Groetjes

 

[buffy]

mithril

Geplaatst door Mithril
Buffy,

Hier het nieuwe logje, nog steeds hetzelfde probleem. Het valt me nu trouwens pas op dat je 'webinstellingen herstellen' ook direct vanuit het extra menu kan kiezen, dacht dat het alleen in de tab programma's stond. Gewoon overheen gekeken blijkbaar.

Logfile of HijackThis v1.98.0
Scan saved at 22:09:54, on 30-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
.....

Hoi Mithril,

Je log ziet er inderdaad keurig uit.

Zomaar een idee'tje: zou(den) die SD Helper en/of de Tea Timer van Spybot S&D de functie "webinstellingen herstellen" misschien in de weg zitten?

Groetjes,

Buffy

 

[Mithril]

Ik heb het geprobeerd maar hij blijft hardnekkig weigeren. Is het opnieuw installeren van alleen IE een mogelijkheid?

 

[buffy]

Geplaatst door Mithril
Ik heb het geprobeerd maar hij blijft hardnekkig weigeren. Is het opnieuw installeren van alleen IE een mogelijkheid?

Misschien helpt deze informatie daarbij: http://support.microsoft.com/default.aspx?kbid=318378

 

[ceessomers]

Logfile of HijackThis

in bijlage mijn logfile hopenlijk kunnen jullie mij helpen.
Norton scant bij mij 230 kwaadaardige codes alle van lop.com en ik weet niet hoe ik ze moet verwijderen
met vriendelijke groeten
Cees Somers

 

[buffy]

Re: Logfile of HijackThis

Geplaatst door ceessomers
in bijlage mijn logfile hopenlijk kunnen jullie mij helpen.
Norton scant bij mij 230 kwaadaardige codes alle van lop.com en ik weet niet hoe ik ze moet verwijderen
met vriendelijke groeten
Cees Somers

Hallo Ceessomers,

Je bijlage is niet aangekomen. Maar je moet je HijackThis-log ook niet als bijlage plaatsen; je moet nadat je in HijackThis voor "Save log" hebt gekozen en het log dus in Kladblok is verschenen, kiezen voor Bewerken -> Alles selecteren. Vervolgens moet dat geselecteerde log hier in je bericht plakken (met Ctrl-V of via rechtermuisknop -> plakken/paste). (Het is namelijk erg vervelend voor de helpers als zij steeds bijlagen moeten downloaden om te logs te kunnen zien.)

Plak je log dus even hier in een bericht. Heb je nog meer uitleg nodig, kijk dan hier even: http://home.planet.nl/~kleyn080/hijackthisuitleg.html

Het is wel de bedoeling dat je vóór het maken van het HijackThis-log even scant met AdAware of met Spybot - Search & Destroy en verwijdert wat door het betreffende programma wordt gevonden.

 

[Rado]

Ik ben hiertoe vewezen door XP-PC. Heb ad aware gedraaid en nu ook HiJack. Hieronder het log. Logfile of HijackThis v1.98.0
Scan saved at 10:23:11, on 31-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\srv.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
f:\Documents and Settings\Rado Paulis\Mijn documenten\software\Nieuwe map (3)\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = +s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/Plus18Point/Portal/portal.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Plus18Point/Portal/portal.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\WINDOWS\system32\IEHelper.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Classes] C:\WINDOWS\System32\srv.exe
O4 - HKLM\..\RunOnce: [Q828026] "C:\WINDOWS\INF\unregmp2.exe" /UpdateWMP
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
O4 - HKCU\..\Run: [Washer] C:\Program Files\Washer\washer.exe /0
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SymNetDrv\SNDMon.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp03.photoprintit.de/microsite/5/defaults/activex/XUpload.ocx
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab

Ik hoop dat je me kunt helpen.

 

[volume]

Geplaatst door buffy


Nee, ik weet niet wat windowssvc.exe doet. Ik weet alleen dat het niet op je pc thuishoort. Het aantal zoekresultaten met Google is ook bedroevend laag en nuttige informatie over dit bestand is daarin niet te vinden.

In het log van Thegreenhunter hierboven zit het trouwens óók, ik ben benieuwd of het bij hem ook niet verwijderd kan worden.

Ik blijf voor je zoeken hoor, er moet wel een methode te vinden zijn om dit bestand te verwijderen.

Heel vriendelijk, maar zou je dan wel via PM iets laten weten als er een bereicht is ? want elke dag die tientallen HIjack logs uitpluizen ....