Helpmij tegen spyware offensief (deel 7)

[crash]

Re: Re: brombeer (moet het zo)

Geplaatst door buffy
Hallo Dell,

Wie noem je nu een "brombeer"?

Komt waarschijnlijk nog van de titel van deze topic;
http://www.helpmij.nl/forum/showthread.php?s=&threadid=173051

 

[Dell]

Re: Re: brombeer (moet het zo)

Geplaatst door buffy



Hallo Dell,

Wie noem je nu een "brombeer"? Wees blij dat we mensen die er zo'n ongelooflijk zootje van maken op hun pc als jij hebt gedaan, toch nog proberen te helpen. Of dit in jouw geval nog gaat lukken is wel de vraag trouwens, dus zorg dat je goede back-ups hebt van belangrijke data.


Doe allereerst dit:

1. Ga naar Configuratiescherm -> Software en verwijder:
Kazaa
Altnet
P2P Networking

2. Scan met Spybot - Search & Destroy; zorg dat dit programma up-to-date is en verwijder alles wat wordt gevonden.

3. Scan online op virussen en trojans bij Housecall en/of BitDefender.

4. Scan met CWShredder; gebruik de "Fix" knop en let goed op de aanwijzingen die het programma geeft.

5. Scan met AdAware; zorg dat dit programma up-to-date is en verwijder alles wat wordt gevonden.

Heb je dat allemaal gedaan, maak dan een nieuw HijackThis-log en plaats dat hier. Dan kunnen we zien of er nog iets te redden valt.


Groetjes,

Buffy

Die brombeer slaat op de man naast mij, waar de pc van is, EN ZEKER NIET OP LEDEN VAN HET FORUM!!!!!!!!! DIE IEMAND HELPEN.
we gaan er mee aan de slag en laten het je weten.
Sorry voor het niet goed plaatsen van het eerste bericht.
Alvast bedankt:thumb:

 

[Jer0nim0]

aangezien niemand reageert op men nieuwste log veronderstel ik dat hij ok is?

bedankt voor al jullie hulp :thumb:

 

[buffy]

Geplaatst door Jer0nim0
aangezien niemand reageert op men nieuwste log veronderstel ik dat hij ok is?

bedankt voor al jullie hulp :thumb:

Jer0nim0,


Zou je even op je beurt willen wachten? Het log van Dell (Brombeer) was eerder geplaatst. Nu is Jannetwiel aan de beurt. Jouw log is daarna geplaatst, dus wordt ook daarna behandeld. Okee?


Groetjes,

Buffy

 

[buffy]

jannetwiel

Geplaatst door jannetwiel

Hierbij de HijackThis log-file van een computer waarmee ik:
geen updates van MS kan downloaden en
in IE geen tweede venster kan openen (venster opent wel, maar er komt niets in te staan, terwijl onderin wel 'gereed' staat).

Ik heb op spyware/adware gescand met Ad-aware 6 en Spybot en de gevonden 'ware' verwijderd, maar dit heeft het probleem niet opgelost.


Logfile of HijackThis v1.98.1
Scan saved at 10:42:08, on 6-8-04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
.....

Hallo Jannetwiel,


Aan spyware ligt het niet. Je log ziet er keurig uit.

Ik heb zo'n vermoeden dat IE-Fix jouw probleem wel kan oplossen: http://www.mvps.org/sramesh2k/IEFIX.htm

Zo niet, installeer IE dan even opnieuw.


Groetjes,

Buffy

 

[buffy]

Jer0nim0

Geplaatst door Jer0nim0

Logfile of HijackThis v1.98.1
Scan saved at 11:28:50, on 6/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
..........

Jer0nim0,


Zorg dat het zo blijft: http://home.planet.nl/~kleyn080/Spywareinfonl.html#voorkomen


Groetjes,

Buffy

 

[Jer0nim0]

Bedankt Buffy
dat probeer ik heus ook , denk maar niet dat ik express spyware op mijn pc probeer te halen , ik gebruik ad aware en spybot minstens 1maal per dag en ik heb ook psyblaster , ik scan men pc ook bijna elke dag met men virsuscanner en met nog 3 andere online scanners...

wat een online scanner gaf :
C:\Documents and Settings\Jerre\Local Settings\Temp\rs.exe=>(Upx) infected: Trojan.Adware.BuddyLinks.A
C:\Documents and Settings\Jerre\Local Settings\Temp\rs.exe deleted
C:\Documents and Settings\Jerre\Local Settings\Temp\THI1F78.tmp\preInsTT.exe infected: Adware.Serchentrix.A
C:\Documents and Settings\Jerre\Local Settings\Temp\THI1F78.tmp\preInsTT.exe deleted
C:\Documents and Settings\Jerre\Local Settings\Temp\THI25CE.tmp\preInsTT.exe infected: Adware.Serchentrix.A
C:\Documents and Settings\Jerre\Local Settings\Temp\THI25CE.tmp\preInsTT.exe deleted
C:\Documents and Settings\Jerre\Local Settings\Temp\THI3003.tmp\preInsTT.exe infected: Adware.Serchentrix.A
C:\Documents and Settings\Jerre\Local Settings\Temp\THI3003.tmp\preInsTT.exe deleted


wat voor files zijn dit??? trojans??

moet ik me zorgen maken ?

 

[bintang]

trojan ecure

Hi Buffy,

Hierbij mijn logfile:
Logfile of HijackThis v1.98.0
Scan saved at 12:47:25, on 6-8-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\PackethSvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\svchost.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\Program Files\Windows NT\Bureau-accessoires\wordpad.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.home.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 38.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA880F} - C:\WINDOWS\EliteBar\EliteBar version 38.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 3.9\THGuard.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4373/mcfscan.cab

 

[crash]

Geplaatst door Jer0nim0
wat een online scanner gaf :
C:\Documents and Settings\Jerre\Local Settings\Temp\rs.exe=>(Upx) infected: Trojan.Adware.BuddyLinks.A
C:\Documents and Settings\Jerre\Local Settings\Temp\rs.exe deleted
C:\Documents and Settings\Jerre\Local Settings\Temp\THI1F78.tmp\preInsTT.exe infected: Adware.Serchentrix.A
C:\Documents and Settings\Jerre\Local Settings\Temp\THI1F78.tmp\preInsTT.exe deleted
C:\Documents and Settings\Jerre\Local Settings\Temp\THI25CE.tmp\preInsTT.exe infected: Adware.Serchentrix.A
C:\Documents and Settings\Jerre\Local Settings\Temp\THI25CE.tmp\preInsTT.exe deleted
C:\Documents and Settings\Jerre\Local Settings\Temp\THI3003.tmp\preInsTT.exe infected: Adware.Serchentrix.A
C:\Documents and Settings\Jerre\Local Settings\Temp\THI3003.tmp\preInsTT.exe deleted


wat voor files zijn dit??? trojans??

moet ik me zorgen maken ?

Deze staan in je Temp map.
Deze map kun je leegmaken, je vind hem in;
C:\Documents and Settings\Jerre\Local Settings\Temp\

Niet de map verwijderen, alleen leegmaken!!!

Let op,
Local settings is een verborgen map, om deze zichtbaar te maken moet je in verkenner naar;
Extra>mapopties>weergave>vinkje neerzetten bij "verborgen bestanden en mappen weergeven".
Klik op toepassen en daarna op OK.

 

[buffy]

Jer0nim0

Geplaatst door Jer0nim0
Bedankt Buffy
dat probeer ik heus ook , denk maar niet dat ik express spyware op mijn pc probeer te halen , ik gebruik ad aware en spybot minstens 1maal per dag en ik heb ook psyblaster , ik scan men pc ook bijna elke dag met men virsuscanner en met nog 3 andere online scanners...

wat een online scanner gaf :
C:\Documents and Settings\Jerre\Local Settings\Temp\rs.exe=>(Upx) infected: Trojan.Adware.BuddyLinks.A
C:\Documents and Settings\Jerre\Local Settings\Temp\rs.exe deleted
C:\Documents and Settings\Jerre\Local Settings\Temp\THI1F78.tmp\preInsTT.exe infected: Adware.Serchentrix.A
C:\Documents and Settings\Jerre\Local Settings\Temp\THI1F78.tmp\preInsTT.exe deleted
C:\Documents and Settings\Jerre\Local Settings\Temp\THI25CE.tmp\preInsTT.exe infected: Adware.Serchentrix.A
C:\Documents and Settings\Jerre\Local Settings\Temp\THI25CE.tmp\preInsTT.exe deleted
C:\Documents and Settings\Jerre\Local Settings\Temp\THI3003.tmp\preInsTT.exe infected: Adware.Serchentrix.A
C:\Documents and Settings\Jerre\Local Settings\Temp\THI3003.tmp\preInsTT.exe deleted


wat voor files zijn dit??? trojans??

moet ik me zorgen maken ?

Alleen maar restjes in tijdelijke mappen. Doe eens schijfopruiming: Start -> Alle programma's -> Bureau-accessoires -> Systeemwerkset -> Schijfopruiming. Het berekenen kan even duren. Vink alle opties aan.

En nog even voor de duidelijkheid: als het om spyware gaat moet je scannen met AdAware of Spybot; virusscanners zijn voor virussen.


Groetjes,

Buffy

 

[Jer0nim0]

de scanner vond zonet deze ook (de online scanner)

C:\RECYCLER\S-1-5-21-2614448645-1467171906-3357876234-500\Dc1.exe infected: Trojan.Downloader.Agent.AE
C:\RECYCLER\S-1-5-21-2614448645-1467171906-3357876234-500\Dc1.exe deleted

klinkt niet zo goed , trojan downloader

*slik*

 

[Duprie]

Hallo,

Daar zijn we weer.
Al 2 pc helemaal schoon,percefte service van jullie.
Nu komt hier mijn 3e pc,uiteraard eerst weer alles geupdate en gescant.


Logfile of HijackThis v1.98.1
Scan saved at 13:01:49, on 6-8-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Ben Kruithof\Bureaublad\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.nl/0SENLNL/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alternate.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.startpagina.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\nl\msntb.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [DrvListnr] C:\Program Files\Analog Devices\SoundMAX\DrvListnr.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.alternate.nl
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst0401.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab

Groetjes Duprie

 

[buffy]

Re: trojan ecure

Geplaatst door bintang

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 38.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA880F} - C:\WINDOWS\EliteBar\EliteBar version 38.dll

O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab

Hoi Bintang,

Volgens welke scanner zou Trojan.ecure op jouw pc staan? Die is hier echt niet te zien. Ik zie alleen EliteBar (spyware).

Heb je ook last van ongewenste zoek- en startpagina's of redirects? (Dat is namelijk een symptoom van deze trojan-infectie.) Zo ja, draai dan CWShredder (gebruik de "Fix" knop en let goed op de aanwijzingen die het programma geeft).



1. Scan opnieuw met HijackThis, vink de bovenstaande items (zie quote) aan, sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

2. Herstart de pc in veilige modus. Als je niet weet hoe dat moet, kijk dan hier.

Zorg dat in de Verkenner, via Extra -> Mapopties -> Weergave, is ingesteld dat verborgen bestanden en mappen moeten worden weergegeven.

Verwijder nu, in veilige modus dus, de volgende map:

C:\WINDOWS\EliteBar <- die map

3. Herstart de pc in 'normale modus'.


Groetjes,

Buffy

 

[mheuvel9]

Hier is mijn 2e post.
Alvast bedankt voor de moeite!

Groet, Mel


Logfile of HijackThis v1.98.0
Scan saved at 12:34:09, on 6-8-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
D:\iTouch\iTouch.exe
D:\SYSTEM\EM_EXEC.EXE
C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Altnet\Points Manager\Points Manager.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\PROGRA~1\Support.com\bin\tgcmd.exe
C:\Program Files\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\webshots.scr
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Program Files\Microsoft Office\Office\Winword.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\Outlook Express\msimn.exe
C:\DOCUME~1\Cyrus\LOCALS~1\Temp\Rar$EX00.512\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.geocities.com/melvinheuvel/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = http://www.microsoft.com/Msoffice/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door chello broadband n.v.
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [zBrowser Launcher] D:\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] D:\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] D:\iTunesHelper.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [updmgr] C:\Program Files\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Ad-aware] "D:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [tgcmd] "C:\PROGRA~1\Support.com\bin\tgcmd.exe" /server /startmonitor /deaf
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [LDM] C:\Program Files\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O4 - Startup: Office Opstarten.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Office Snelzoeken.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Sitecom Wireless LAN Utility.lnk = C:\Program Files\Sitecom Wireless LAN\WLANUTL.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {1D185838-009D-47C8-824B-B65B4854430E} (Installer Class) - http://quickfix2.chello.nl/quickfix2/asp/chelloInstall.CAB
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C} (MiniBugTransporterX Class) - http://download.weatherbug.com/minibug/tricklers/AWS/MiniBugTransporter.cab?
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/22cacbffc3f952fd9715/netzip/RdxIE601.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://virusscan.zdnet.nl/housecall/xscan53.cab
O16 - DPF: {C58EFA10-2CC0-4C50-8C77-B326555EC1B7} (clsDefault Class) - http://quickfix2.chello.nl/quickfix2/asp/LaunchApp.CAB
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab
O16 - DPF: {FD07AC3E-89BC-4EA5-AFCA-19AD8C6C896B} (ShellObj Class) - http://download.mgame.com/Webexe/webexe.cab

 

[buffy]

Duprie

Geplaatst door Duprie

R3 - Default URLSearchHook is missing

O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\nl\msntb.dll (file missing)

O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst0401.cab

Hoi Duprie,

Hoeveel pc's heb jij?


1. Scan opnieuw met HijackThis, vink de bovenstaande items (zie quote) aan, sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

Opmerking 1: voor zover de R0 en R1 items verwijzen naar start- en zoekpagina's die je níet wilt, dan mag je die items ook fixen.

Opmerking 2: dat item van MSN Toolbar laat ik fixen omdat je die toolbar blijkbaar van deze pc hebt verwijderd.

2. Herstart de pc in veilige modus. Als je niet weet hoe dat moet, kijk dan hier.

Zorg dat in de Verkenner, via Extra -> Mapopties -> Weergave, is ingesteld dat verborgen bestanden en mappen moeten worden weergegeven.

Verwijder nu, in veilige modus dus, de volgende map:

C:\Program Files\VVSN <- die map

3. Herstart de pc in 'normale modus'.


Groetjes,

Buffy

 

[Dell]

Re: Re: Re: brombeer (moet het zo)

Geplaatst door Dell


Die brombeer slaat op de man naast mij, waar de pc van is, EN ZEKER NIET OP LEDEN VAN HET FORUM!!!!!!!!! DIE IEMAND HELPEN.
we gaan er mee aan de slag en laten het je weten.
Sorry voor het niet goed plaatsen van het eerste bericht.
Alvast bedankt:thumb:

Hallo Buffy,

We hebben het een en ander gedaan wat je voorgeschreven het aantal meldingen wat overweldigend.
Op de onheil die voorspelde hebben niet verder gewacht.
We hebben data veiliggesteld en gekozen voor de alles reinigende FORMAT C:
Dank je voor de medewerking en tot een volgende keer:thumb: :thumb:
Dell

 

[Duprie]

Re: Duprie

Geplaatst door buffy



Hoi Duprie,

Hoeveel pc's heb jij?


Groot gezin met vele pc
Er komen er steeds meer bij (pc)
Maar ff een vraagje tusen door.
1 pc is met win 98 se,kan ik van deze ook log bestand plaatsen?
Voor de rest lever je goed werk Buffy :thumb: :thumb:
Bedankt

 

[bintang]

Trojan Ecure

Hi Buffy,

Ik heb jouw voorgeschreven acties uitgevoerd (Hijack + verwijderen Elitebar).
Historie:
Op een gegeven moment kreeg ik mijn startpagina niet meer maar een html (secure.html) waarin beschreven stond dat ik besmet was met een virus. Ik heb toen de online scan van Symantec uit laten voeren en die gaf aan dat m'n pc besmet was met de Trojan Ecure virus en wel in de c:|windows\system32. Aangezien de startpagina vervangen was door een andere html en bij het afsluiten hiervan linkte hij door naar een pornosite, gezien ik 2 kleine dochters heb die regelmatig achter de pc zitten............Vandaar mijn "noodkreet".

Verder nog tips of ben ik er nog niet geheel van af (en hoe controleer ik dit) ???

Alvast bedankt !!!!!

 

[buffy]

mheuvel9

Geplaatst door mheuvel9

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL

F0 - system.ini: Shell=

O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [updmgr] C:\Program Files\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C} (MiniBugTransporterX Class) - http://download.weatherbug.com/minibug/tricklers/AWS/MiniBugTransporter.cab?
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/22cacbffc3f952fd9715/netzip/RdxIE601.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab
O16 - DPF: {FD07AC3E-89BC-4EA5-AFCA-19AD8C6C896B} (ShellObj Class) - http://download.mgame.com/Webexe/webexe.cab

Hallo mheuvel9,


Het spijt me dit te moeten zeggen, maar ik heb niet de indruk dat je erg veel hebt gedaan met de adviezen die Hans je gaf naar aanleiding van je eerste log. XP en IE zijn nog niet van de dringend noodzakelijke updates voorzien, HijackThis draait nog steeds vanuit een tijdelijke map, en alle bestanden en mappen die je moest verwijderen zijn nog aanwezig. Wij helpen graag, maar als de adviezen niet worden opgevolgd kunnen wij natuurlijk weinig voor je betekenen.



1. Nog veel sporen van Kazaa, Grokster, BearShare, iMesh of een ander 'vuil' p2p-programma, zie ik. Het betreffende programma heb je inmiddels verwijderd, neem ik aan? Zo nee, doe dat dan meteen. En als je dan toch in Configuratiescherm -> Software bent, kijk dan ook of de volgende programma's daar nog staan:
Altnet
P2P Networking
Zo ja, verwijder die dan ook (gewoon via programma's toevoegen/verwijderen).

2. Ga alsjeblieft bij WindowsUpdate langs om XP en IE te updaten. Om veiligheidsredenen is het écht onverantwoord om nog te internetten met de verouderde versies die jij gebruikt.

3. Plaats HijackThis.exe in een eigen map (bijv. C:\Program Files\HijackThis). Je draait het programma nu vanuit een tijdelijke map en zo raken de back-ups gemakkelijk zoek.

4. Scan opnieuw met HijackThis, vink alle bovenstaande items (zie quote) aan, sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

5. Herstart de pc in veilige modus. Als je niet weet hoe dat moet, kijk dan hier.

Zorg dat in de Verkenner, via Extra -> Mapopties -> Weergave, is ingesteld dat verborgen bestanden en mappen moeten worden weergegeven.

Verwijder nu, in veilige modus dus, de volgende bestanden en mappen:

Dit bestand:
C:\WINDOWS\SYSTEM\blank.htm

Al deze mappen:
C:\Program Files\Altnet
C:\Program Files\PerfectNav
C:\WINDOWS\System32\P2P Networking
C:\Program Files\Common files\updmgr
C:\Program Files\Common Files\GMT

6. Herstart de pc in 'normale modus'.

7. Scan nog eens met AdAware.

8. Maak een nieuw HijackThis-log en plaats dat hier.


Groetjes,

Buffy

 

[buffy]

Re: Re: Re: Re: brombeer (moet het zo)

Geplaatst door Dell


Hallo Buffy,

We hebben het een en ander gedaan wat je voorgeschreven het aantal meldingen wat overweldigend.
Op de onheil die voorspelde hebben niet verder gewacht.
We hebben data veiliggesteld en gekozen voor de alles reinigende FORMAT C:
Dank je voor de medewerking en tot een volgende keer:thumb: :thumb:
Dell

Hoi Dell,

Dat verbaast me helemaal niet. Al die spyware die met Kazaa was meegekomen hadden we nog wel vrij eenvoudig kunnen verwijderen, maar die CWS-variant die ik in het log zag (met items als "res://usufr.dll/index.html#96676") is echt een ramp - zelfs met HijackThis en CWShredder krijg je die niet verwijderd.

Brombeer moet natuurlijk niet op zijn schone pc straks meteen weer Kazaa gaan installeren. Kies dan liever Kazaa Lite of een andere spywarevrije variant. En laat Brombeer dit ook even lezen: http://home.planet.nl/~kleyn080/Spywareinfonl.html#voorkomen

Groetjes,

Buffy