Helpmij tegen spyware offensief (deel 7)

[joepie]

Hierbij het tweede log van de pc van een kennis van me.
Volgens mij is ie niet helemaal clean.
Of iemand hier nog eens naar wil kijken.
Logfile of HijackThis v1.98.2
Scan saved at 16:30:34, on 22-8-2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\F-SECURE\COMMON\FSMA32.EXE
C:\PROGRAM FILES\MESSENGER PLUS! 2\MSGPLUS.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\SYGATE\SPF\SMC.EXE
C:\PROGRAM FILES\F-SECURE\COMMON\FSMB32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAM FILES\F-SECURE\COMMON\FCH32.EXE
C:\PROGRAM FILES\F-SECURE\COMMON\FNRB32.EXE
C:\PROGRAM FILES\F-SECURE\COMMON\FAMEH32.EXE
C:\PROGRAM FILES\F-SECURE\COMMON\FSGK32.EXE
C:\PROGRAM FILES\F-SECURE\COMMON\FIH32.EXE
C:\PROGRAM FILES\F-SECURE\ANTI-VIRUS\FSAV32.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\LTMSG.EXE
C:\PROGRAM FILES\ADAPTEC\DIRECTCD\DIRECTCD.EXE
C:\PROGRAM FILES\F-SECURE\COMMON\FSM32.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\BULLSEYE NETWORK\BIN\BARGAINS.EXE
C:\PROGRAM FILES\F-SECURE\BACKWEB\7681197\PROGRAM\BACKWEB-7681197.EXE
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\HPZSTATX.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\PROGRAM FILES\MICROSOFT WORKS\MSWORKS.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\WINZIP\WINZIP32.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door @Home
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1043,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\RunServices: [F-Secure Management Agent] C:\Program Files\F-Secure\Common\FSMA32.EXE
O4 - HKLM\..\RunServices: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAM FILES\SYGATE\SPF\SMC.EXE
O4 - HKLM\..\RunOnce: [AAW] "C:\PROGRAM FILES\LAVASOFT\AD-AWARE SE PERSONAL\AD-AWARE.EXE" "+b1"
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: Herinneringen van Microsoft Works Agenda.lnk = C:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: backWeb-7681197.lnk = C:\Program Files\F-Secure\BackWeb\7681197\Program\backWeb-7681197.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: FS BackWeb.lnk = C:\Program Files\F-Secure\BackWeb\7681197\Program\backWeb-7681197.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: DownloadFreeMP3 - {76DD9E77-F06C-4471-AB6C-CF03C5C6B5B0} - C:\WINDOWS\SYSTEM\DownloadFreeMP3 (file missing)
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/1d/player.virtools.com/downloads/player/Install2.1/Installer.exe
O16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} - http://acceso.masminutos.com/laaplicacion.cab

 

[ricardovw]

Geplaatst door H@NsiePanzzzer


Hoi Ricardo,

Helemaal schoon weer :thumb:

BEDANKT WEER !!!!

 

[buffy]

joepie

Geplaatst door joepie

O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)

O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe

O9 - Extra button: DownloadFreeMP3 - {76DD9E77-F06C-4471-AB6C-CF03C5C6B5B0} - C:\WINDOWS\SYSTEM\DownloadFreeMP3 (file missing)

O16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} - http://acceso.masminutos.com/laaplicacion.cab

Hallo Joepie,


1. Scan opnieuw met HijackThis, vink de bovenstaande items (zie quote) aan, sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

2. Herstart de pc in veilige modus.
Mocht je niet weten hoe dat moet, kijk dan hier even: http://www.virushelp.nl/veilige_modus.htm

Zorg ervoor dat verborgen bestanden en mappen worden weergegeven.
Hier kun je lezen hoe dat moet: http://users.telenet.be/marcvn/spyware/1117602.htm

Verwijder nu, in veilige modus dus, de volgende bestanden en mappen:

C:\PROGRAM FILES\BULLSEYE NETWORK <- die map

3. Herstart de pc in 'normale modus'.


Groetjes,

Buffy

 

[Nathy]

Re: Re: Re: Nathy

Geplaatst door buffy




Hallo Nathy,


Je log is nu schoon, maar ik wil er nog wel een paar kanttekeningen bij plaatsen.

Aan het log te zien, heb jij geen antivirusprogramma. Dat is echt volstrekt onverantwoord. Installeer zo snel mogelijk een antivirusprogramma. Installeer ook een firewall.

Als je dan toch bezig bent, installeer dan ook SpywareBlaster. Kijk hier voor uitleg van dat programma (en meer handige tips): http://home.planet.nl/~kleyn080/Spywareinfonl.html#voorkomen


Groetjes,

Buffy

Ik heb Norton hier wel liggen hoor, maar vermits ik om de paar maanden formateer (Pc is nog een oud geval, P2, 366 en dan ook nog is een Packard Bell) doe ik meestal de moeite niet om anti virus te installeren, mijn PC loopt zo ie zo al traag genoeg!
Ik ben wel voorzichtig in wat ik download.. wat eigenlijk bijna niks is, buiten een Mp3'tje nu en dan. De site's waar ik surf, zijn meestal dezelfde en ik denk wel dat die "veilig" zijn.

Firewall.. heb ik al van gehoord, maar ik ben niet zeker wat dat doet? Eigenlijk heb ik nooit echt veel problemen met de PC (buiten als mijn ventje erop surft, gelijk nu dus met die startpagina!)

Kan het eigenlijk veel kwaad dat "ze" weten waar ik naartoe surf? En kan ik een virus binnekrijgen als ik nooit iets download? Of mails open met bestanden??

Groetjes
Nathalie

 

[buffy]

Re: Re: Re: Re: Nathy

Geplaatst door Nathy


Ik heb Norton hier wel liggen hoor, maar vermits ik om de paar maanden formateer (Pc is nog een oud geval, P2, 366 en dan ook nog is een Packard Bell) doe ik meestal de moeite niet om anti virus te installeren, mijn PC loopt zo ie zo al traag genoeg!
Ik ben wel voorzichtig in wat ik download.. wat eigenlijk bijna niks is, buiten een Mp3'tje nu en dan. De site's waar ik surf, zijn meestal dezelfde en ik denk wel dat die "veilig" zijn.

Firewall.. heb ik al van gehoord, maar ik ben niet zeker wat dat doet? Eigenlijk heb ik nooit echt veel problemen met de PC (buiten als mijn ventje erop surft, gelijk nu dus met die startpagina!)

Kan het eigenlijk veel kwaad dat "ze" weten waar ik naartoe surf? En kan ik een virus binnekrijgen als ik nooit iets download? Of mails open met bestanden??

Groetjes
Nathalie

Hallo Nathalie,


In je eerste log zag ik dat je iMesh gebruikt. Dan kun je niet meer volhouden dat je voorzichtig bent, want downloaden van iMesh maakt de kans virussen en trojans binnen te halen bijzonder groot. Verder surft jouw 'ventje' blijkbaar naar van die sites waar je Plus18Point oploopt; op dergelijke sites is de kans om virussen of bijvoorbeeld desastreuze CWS-hijacks binnen te halen ook bijzonder groot.

En ja, je kunt zomaar een virus binnenkrijgen zonder dat je iets downloadt of mails opent. Alleen het hebben van internetverbinding is al voldoende om virussen binnen te kunnen krijgen. Bij jou is dat zelfs heel gemakkelijk, aangezien je geen firewall gebruikt en dus bij wijze van spreken alle ramen en deuren wijd open hebt staan.

Dit is echt zeer, zeer onverstandig. Tot dusver heb je gewoon geluk gehad. Je hoeft maar één virus of backdoor trojan binnen te halen, en voor je het weet heb je de grootste problemen.

En dan nog dit: door zonder enige bescherming te internetten, breng je ook de pc's van anderen in gevaar. Zodra jij een virus binnenhaalt, kan dat zich vanuit jouw pc gaan verspreiden naar de pc's van iedereen met wie jij weleens mailt. Het virus kan bij jou dan rustig zijn gang gaan, aangezien jij geen antivirusprogramma hebt dat het virus kan detecteren én geen firewall hebt die het uitgaande verkeer in de gaten houdt. Ook kan jouw pc zonder dat je het merkt gebruikt worden om spam te verspreiden. Wil je dat echt op je geweten hebben?

Norton is een 'zwaar' programma en daarom inderdaad wat minder geschikt voor oudere pc's. Je zou daarom een 'lichtere' virusscanner kunnen gebruiken. Avast Home Edition bijvoorbeeld, die is nog gratis ook: http://www.avast.com/eng/avast_4_home.html

Een firewall is een programma dat jouw pc zoveel mogelijk verbergt voor de boze buitenwereld en jou de mogelijkheid geeft het inkomende en uitgaande verkeer te controleren. Een firewall is tegenwoordig even onmisbaar als een antivirusprogramma.


Groetjes,

Buffy

 

[Nathy]

Re: Re: Re: Re: Re: Nathy

Geplaatst door buffy



Hallo Nathalie,


In je eerste log zag ik dat je iMesh gebruikt. Dan kun je niet meer volhouden dat je voorzichtig bent, want downloaden van iMesh maakt de kans virussen en trojans binnen te halen bijzonder groot. Verder surft jouw 'ventje' blijkbaar naar van die sites waar je Plus18Point oploopt; op dergelijke sites is de kans om virussen of bijvoorbeeld desastreuze CWS-hijacks binnen te halen ook bijzonder groot.

En ja, je kunt zomaar een virus binnenkrijgen zonder dat je iets downloadt of mails opent. Alleen het hebben van internetverbinding is al voldoende om virussen binnen te kunnen krijgen. Bij jou is dat zelfs heel gemakkelijk, aangezien je geen firewall gebruikt en dus bij wijze van spreken alle ramen en deuren wijd open hebt staan.

Dit is echt zeer, zeer onverstandig. Tot dusver heb je gewoon geluk gehad. Je hoeft maar één virus of backdoor trojan binnen te halen, en voor je het weet heb je de grootste problemen.

En dan nog dit: door zonder enige bescherming te internetten, breng je ook de pc's van anderen in gevaar. Zodra jij een virus binnenhaalt, kan dat zich vanuit jouw pc gaan verspreiden naar de pc's van iedereen met wie jij weleens mailt. Het virus kan bij jou dan rustig zijn gang gaan, aangezien jij geen antivirusprogramma hebt dat het virus kan detecteren én geen firewall hebt die het uitgaande verkeer in de gaten houdt. Ook kan jouw pc zonder dat je het merkt gebruikt worden om spam te verspreiden. Wil je dat echt op je geweten hebben?


Groetjes,

Buffy

Ok, je hebt me overtuigt Ik wist niet dat ik zoveel risico liep, ik zal direct is mijn Nortontje terug installeren! Kun je me ook een goeie firewall aanraden? En mischien wat uitleg erbij wat ik juist daarmee moet doen?
Ik zal eraan moeten wennen dat mijn PC in een slakkegang vooruit gaat dan maar.. Pfff..

Greetz
Nathalie

 

[buffy]

Re: Re: Re: Re: Re: Re: Nathy

Geplaatst door Nathy


Ok, je hebt me overtuigt Ik wist niet dat ik zoveel risico liep, ik zal direct is mijn Nortontje terug installeren! Kun je me ook een goeie firewall aanraden? En mischien wat uitleg erbij wat ik juist daarmee moet doen?
Ik zal eraan moeten wennen dat mijn PC in een slakkegang vooruit gaat dan maar.. Pfff..

Greetz
Nathalie

Hallo nathalie,

Ik had mijn vorige bericht nog aangepast. Probeer het gratis antivirusprogramma Avast Home Edition maar even in plaats van Norton; Avast belast je pc waarschijnlijk veel minder dan Norton. Hier te downloaden, ook in het Nederlands in te stellen: http://www.avast.com/eng/avast_4_home.html

Er zijn diverse gratis firewalls. De bekendste is ZoneAlarm: http://www.zonelabs.com/store/content/catalog/products/sku_list_za.jsp?lid=nav_za
Andere goede zijn:
Kerio -> http://www.kerio.com/kpf_home.html
Sygate -> http://smb.sygate.com/products/spf_standard.htm

In het begin is zo'n firewall een beetje irritant, omdat je steeds toestemming moet geven als een programma het internet op wil. Maar heb je de boel eenmaal zo ingesteld dat de programma's die je vertrouwt altijd toestemming moeten hebben, dan zul je nog weinig last van de firewall hebben.


Groetjes,

Buffy

 

[jolimans]

Re: Re: Re: jolimans

Geplaatst door buffy



Hallo Jolimans,

De map P2P Networking moet er nog wel degelijk zijn, want P2P Networking.exe staat nog steeds tussen de lopende processen op jouw pc.

Nog maar een poging dan.


1. Nogmaals: maak nu even een eigen map voor HijackThis, bijvoorbeeld C:\Program Files\HijackThis. Plaats HijackThis.exe in die map en draai het programma in het vervolg vanuit die map.

2. Scan opnieuw met HijackThis, vink de bovenstaande items (zie quote) aan, sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

Je hebt nogal veel 016-items. Geen ervan kan echt kwaad, maar ik raad je aan ook de 016-items te fixen die verwijzen naar sites die je niet kent of naar sites waar je niet meer komt. (Fix die van de Postbank echter niet.)

3. Herstart de pc in veilige modus.
Mocht je niet weten hoe dat moet, kijk dan hier even: http://www.virushelp.nl/veilige_modus.htm

Zorg ervoor dat verborgen bestanden en mappen worden weergegeven.
Hier kun je lezen hoe dat moet: http://users.telenet.be/marcvn/spyware/1117602.htm

Verwijder nu, in veilige modus dus, de volgende bestanden en mappen:

C:\WINDOWS\System32\P2P Networking <- die map

4. Herstart de pc in 'normale modus'.


Groetjes,

Buffy

Hallo Buffy,

Ik heb de map P2P Networking nu gevonden, maar als ik hem wil verwijderen krijg ik de volgende foutmelding:
"Kan P2P enz. niet verwijderen, de toegang is geweigerd"

groeten,

Jos

 

[buffy]

Re: Re: Re: Re: jolimans

Geplaatst door jolimans


Hallo Buffy,

Ik heb de map P2P Networking nu gevonden, maar als ik hem wil verwijderen krijg ik de volgende foutmelding:
"Kan P2P enz. niet verwijderen, de toegang is geweigerd"

groeten,

Jos

Hallo jolimans,

Probeer je de map wel in veilige modus te verwijderen?

Groetjes,

Buffy

 

[suffe]

oke super bedankt hans en buffy:thumb: :thumb: :thumb: :thumb:

 

[Nathy]

Re: Re: Re: Re: Re: Re: Re: Nathy

Geplaatst door buffy



Hallo nathalie,

Ik had mijn vorige bericht nog aangepast. Probeer het gratis antivirusprogramma Avast Home Edition maar even in plaats van Norton; Avast belast je pc waarschijnlijk veel minder dan Norton. Hier te downloaden, ook in het Nederlands in te stellen: http://www.avast.com/eng/avast_4_home.html

Er zijn diverse gratis firewalls. De bekendste is ZoneAlarm: http://www.zonelabs.com/store/content/catalog/products/sku_list_za.jsp?lid=nav_za
Andere goede zijn:
Kerio -> http://www.kerio.com/kpf_home.html
Sygate -> http://smb.sygate.com/products/spf_standard.htm

In het begin is zo'n firewall een beetje irritant, omdat je steeds toestemming moet geven als een programma het internet op wil. Maar heb je de boel eenmaal zo ingesteld dat de programma's die je vertrouwt altijd toestemming moeten hebben, dan zul je nog weinig last van de firewall hebben.


Groetjes,

Buffy

Ik zag het te laat dat je het eerste bericht had aangepast! Ik heb beide dus gedownload en geinstalleerd en nu weet ik pas hoe traag mijn PC kan gaan se! Haha
Verschrikkelijk, het opstarten duurt 2x zo lang,...
Ik hou het zeker een paar weken en zie hoe het gaat, anders schakel ik het uit en laat ik het elke week is scannen ofzo. Want als ik zo traag moet werken, krijg ik zenuwen
Bedankt voor al je hulp!

Groetjes
Nathalie

 

[buffy]

Re: Re: Re: Re: Re: Re: Re: Re: Nathy

Geplaatst door Nathy


Ik zag het te laat dat je het eerste bericht had aangepast! Ik heb beide dus gedownload en geinstalleerd en nu weet ik pas hoe traag mijn PC kan gaan se! Haha
Verschrikkelijk, het opstarten duurt 2x zo lang,...
Ik hou het zeker een paar weken en zie hoe het gaat, anders schakel ik het uit en laat ik het elke week is scannen ofzo. Want als ik zo traag moet werken, krijg ik zenuwen
Bedankt voor al je hulp!

Groetjes
Nathalie

Norton weer verwijderen en Avast installeren (zie mijn vorige berichten) is natuurlijk ook een optie. Avast is veel lichter dan Norton en zal je pc dus veel minder vertragen. En Avast Home Edition is helemaal gratis.

 

[Kelly2]

Logfile of HijackThis v1.98.2
Scan saved at 22:33:39, on 22/08/2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\SYSTEMIL.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAM FILES\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\E_S10IC2.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\INTL.EXE
C:\PROGRAM FILES\NETROPA\MULTIMEDIA KEYBOARD\TRAYMON.EXE
C:\PROGRAM FILES\NETROPA\ONSCREEN DISPLAY\OSD.EXE
C:\WINDOWS\SYSTEM\WINDOW.EXE
C:\WINDOWS\ALL USERS\START MENU\PROGRAMMA'S\OPSTARTEN\XYCC.EXE
C:\PROGRAM FILES\WINZIP\WZQKPICK.EXE
C:\WINDOWS\WUAUCLT.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/Plus18Point/Portal/portal.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Plus18Point/Portal/portal.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
F1 - win.ini: load=C:\WINDOWS\PAGY_C01\START.EXE
O2 - BHO: BrowserHelper Class - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\SYSTEM\NZDD.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_30.dll
O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\WINDOWS\SYSTEM\IEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Kangaroo - {663C7429-E454-11D3-B9AE-0000B4C32B4D} - C:\IDC\WEBKA.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [reminder.exe] C:\Program Files\BackWeb\tuner\reminder.exe
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5 "LPT1:" /M "Stylus C82"
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [Sunburst Update Check] C:\Program Files\Sunburst Multimedia\Update Check\UPDATE.EXE
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\Run: [Classes] C:\WINDOWS\SYSTEM\INTL.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /A "C:\WINDOWS\SYSTEM\E_S9303.TMP"
O4 - HKCU\..\Run: [window.exe] C:\WINDOWS\SYSTEM\window.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\ADOBE\Calibration\Adobe Gamma Loader.exe
O4 - Startup: RealDownload.lnk = C:\Program Files\REAL\RealDownload\REALDOWNLOAD.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: XYCC.EXE
O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Kangaroo - {06A18DC1-FE86-11d3-B9AF-0000B4C32B4D} - http://knowledge-assistant.com/webka/toolbar/tbie.asp (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .aiff: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.belgacom.net
O16 - DPF: FortisCzPc - https://www.fortisbanking.be/FortisCzPC.cab
O21 - SSODL: systemil - {88330ED5-3423-4EFE-A86C-DE6B702D02FF} - sysil.dll (file missing)

 

[H@ns]

Re: Re: Re: Re: Re: Re: Re: Re: Re: Nathy

Geplaatst door buffy


Norton weer verwijderen en Avast installeren (zie mijn vorige berichten) is natuurlijk ook een optie. Avast is veel lichter dan Norton en zal je pc dus veel minder vertragen. En Avast Home Edition is helemaal gratis.

Kaspersky is niet gratis, maar geweldig goed voor een niet al te snelle PC. Neemt maar 9.24 MB schijfruimte in beslag en totaal geen vertraging bij startup of tijdens het PC'en.

 

[Lt_Casey]

mailpepper itrack ilead

Hallo,

Ik heb sinds kort popups van ilead en itrack of mailpepper.

heb al gescand met AdAware SE en Spybot S&D, hierbij mij log, met de vraag of iemand er even naar zou willen kijken,

Logfile of HijackThis v1.98.2
Scan saved at 22:39:28, on 22-8-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
D:\download\hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tfd.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.tfd.nl/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: MultimppObj Class - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:\WINDOWS\multimpp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...le.com/saba/nl/win/QuickTimeFullInstaller.exe

Bij voorbaat dank,

Groet,

A3

Keep up the good work

:thumb: :thumb:

 

[H@ns]

Re: mailpepper itrack ilead

Geplaatst door Lt_Casey

O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe

Hoi A3,

Heb je ooit iets geinstalleerd van dit bedrijf/ toegestaan dat ze iets mochten installeren:
http://www.multimpp.com/

1. Vink bovenstaande aan in HijackThis, sluit alle andere vensters en browsers en klik op Fix Checked.

2. Start opnieuw op in veilige modus, en verwijder:
C:\WINDOWS\conscorr.exe << bestand

3. Start hierna opnieuw op in normale modus, maak een nieuw logje aan met HijackThis en post dat hier.

 

[Nathy]

Re: Re: Re: Re: Re: Re: Re: Re: Re: Nathy

Geplaatst door buffy


Norton weer verwijderen en Avast installeren (zie mijn vorige berichten) is natuurlijk ook een optie. Avast is veel lichter dan Norton en zal je pc dus veel minder vertragen. En Avast Home Edition is helemaal gratis.

Ja dat bedoelde ik dus, ik heb norton verwijderd en Avast geinstalleerd.. en zone alarm. Eenmaal alles draait valt het nog mee. Om gewoon wat te surfen gaat het wel. En als ik is een spelletje wil spelen, zet ik het wel effe af

Bedankt
Nathalie

 

[Nathy]

Allee, zone alarm bewees al zijn diensten

"the firewall had blocked Internet access to your computer..." ...

Geluk da ik naar u hebt geluisterd eh Nu niet dat er grote geheimen op mijne PC staan, maar ja

 

[jolimans]

Re: Re: Re: Re: Re: jolimans

Geplaatst door buffy


Hallo jolimans,

Probeer je de map wel in veilige modus te verwijderen?

Groetjes,

Buffy

Ik dacht het wel, maar nu ik het opnieuw probeerde, lukte het wél.

Hierbij de nieuwe log:

Logfile of HijackThis v1.98.2
Scan saved at 22:58:21, on 22-8-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\PROGRA~1\Support.com\bin\tgcmd.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger Plus! 3\MsgPlus1.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Java\j2re1.4.2_03\bin\javaw.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\symlcsvc.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Microsoft Office\Office\OUTLOOK.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Lintermans\Local Settings\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.startpagina.nl/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TimeUp] C:\Program Files\TimeUp\TimeUp.exe /T
O4 - HKLM\..\Run: [tgcmd] "C:\PROGRA~1\Support.com\bin\tgcmd.exe" /server /startmonitor /deaf
O4 - HKLM\..\Run: [SUService] C:\WINDOWS\system32\SUService.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus1.exe"
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus1.exe" /WinStart
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Works Agenda-herinneringen.lnk = ?
O4 - Global Startup: LimeWire 4.0.5 Pro.lnk = C:\Program Files\LimeWire\LimeWire 4.0.5 Pro\LimeWire.exe
O8 - Extra context menu item: Linked Ima&ges - C:\Program Files\IEimageN\IEimageN.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI4D84~1\FRONTP~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Linked Images - {D8980DE8-9D4C-4fb0-8FB4-95B1FA4125AD} - C:\Program Files\IEimageN\IEimageN.htm
O9 - Extra 'Tools' menuitem: Linked Ima&ges - {D8980DE8-9D4C-4fb0-8FB4-95B1FA4125AD} - C:\Program Files\IEimageN\IEimageN.htm
O9 - Extra button: SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ChatSpace Full Java Client 2.1.0.89 - http://213.133.40.8:8000/Java/cs4fs089.cab
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {10093E98-C073-4C75-8D0E-FB5CD3A71D33} (ZoneUpwords Object) - http://messenger.zone.msn.com/binary/Upwords.cab28177.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab27571.cab
O16 - DPF: {1D185838-009D-47C8-824B-B65B4854430E} (Installer Class) - http://quickfix2.chello.nl/quickfix2/asp/chelloInstall.CAB
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_42.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {6211AC26-A1B4-422A-AC52-1E70B7D24465} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/nl/filesharingctrl.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://pgc.planet.nl/classes/ExentCtl.ocx
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://webcam.pcextreme.nl/activex/AMC.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://activex.webcam.nl/AxisCamControl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab27571.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab28177.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://player.virtools.com/downloads/player/Install3.0/Installer.exe
O16 - DPF: {C58EFA10-2CC0-4C50-8C77-B326555EC1B7} (clsDefault Class) - http://quickfix2.chello.nl/quickfix2/asp/LaunchApp.CAB
O16 - DPF: {DA758BB1-5F89-4465-975F-8D7179A4BCF3} (WheelofFortune Object) - http://messenger.zone.msn.com/binary/WoF.cab28177.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp01.photoprintit.de/microsite/8/defaults/activex/XUpload.ocx
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab

 

[buffy]

Kelly2

Geplaatst door Kelly2

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/Plus18Point/Portal/portal.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Plus18Point/Portal/portal.html

R3 - Default URLSearchHook is missing

F1 - win.ini: load=C:\WINDOWS\PAGY_C01\START.EXE

O2 - BHO: BrowserHelper Class - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\SYSTEM\NZDD.DLL
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_30.dll
O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\WINDOWS\SYSTEM\IEHelper.dll

O3 - Toolbar: &Kangaroo - {663C7429-E454-11D3-B9AE-0000B4C32B4D} - C:\IDC\WEBKA.DLL

O4 - HKLM\..\Run: [Classes] C:\WINDOWS\SYSTEM\INTL.EXE
O4 - HKCU\..\Run: [window.exe] C:\WINDOWS\SYSTEM\window.exe
O4 - Global Startup: XYCC.EXE

O9 - Extra button: Kangaroo - {06A18DC1-FE86-11d3-B9AF-0000B4C32B4D} - http://knowledge-assistant.com/webka/toolbar/tbie.asp (file missing)

Hallo Kelly2,

Als je ook bankzaken doet op deze pc, moet je echt wat voorzichtiger zijn en je systeem wat beter beveiligen.


1. Maak even een map voor HijackThis (bijvoorbeeld C:\HijackThis) en plaats HijackThis.exe daarin. Dan komen de back-ups straks ook netjes in die map terecht.

2. Verwijder NewDotNet alias NewNet volgens deze instructies: http://www.newdotnet.com/removal.html

3. Scan opnieuw met HijackThis, vink de bovenstaande items (zie quote) aan, sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

4. Herstart de pc in veilige modus.
Mocht je niet weten hoe dat moet, kijk dan hier even: http://www.virushelp.nl/veilige_modus.htm

Zorg ervoor dat verborgen bestanden en mappen worden weergegeven.
Hier kun je lezen hoe dat moet: http://users.telenet.be/marcvn/spyware/1117602.htm

Verwijder nu, in veilige modus dus, de volgende bestanden en mappen (voor zover nog aanwezig):

C:\WINDOWS\SYSTEM\INTL.EXE <- dat bestand
C:\WINDOWS\SYSTEM\SYSTEMIL.EXE <- dat bestand
C:\WINDOWS\SYSTEM\window.exe <- dat bestand
C:\WINDOWS\ALL USERS\START MENU\PROGRAMMA'S\OPSTARTEN\XYCC.EXE <- dat bestand
C:\WINDOWS\SYSTEM\NZDD.DLL <- dat bestand
C:\WINDOWS\SYSTEM\IEHelper.dll <- dat bestand
C:\WINDOWS\PAGY_C01 <- die map
C:\Program Files\Plus18Point <- die map
C:\Program Files\NewDotNet <- die map
C:\IDC <- die map

5. Herstart de pc in 'normale modus'.

6. Doe een online scan op virussen en trojans bij Housecall en/of BitDefender:
Housecall: http://housecall.trendmicro.com/housecall/start_corp.asp
BitDefender: http://www.bitdefender.com/scan/licence.php

7. Herstart de pc, maak een nieuw log met HijackThis en plaats dat hier.


Groetjes,

Buffy