Helpmij tegen spyware offensief

[Pieter Arntz]

Hoi jippiejajee,

Deze kunnen in ieder geval wel uit:
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

Voor de rest: http://www.pacs-portal.co.uk/startup_pages/startup_full.htm

Groetjes,

Pieter

 

[amanda]

log nakijken

Lieve mensen,

Zou iemand ook mijn log bestand na kunnen kijken. Heb laatste tijd veel problemen op comp. Heb gescand met Adaware en Spybot.

Alvast bedankt!

Groeten,
Amanda

Logfile of HijackThis v1.97.3
Scan saved at 12:46:45, on 26-10-03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\TNT2-64\VI_GRM.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\PROGRAM FILES\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE
C:\PROGRAM FILES\LOGITECH\ITOUCH\ITOUCH.EXE
C:\PROGRAM FILES\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\PROGRAM FILES\SAVE\SAVE.EXE
C:\PROGRAM FILES\COMMON FILES\KEENVALUE\KEENVALUE.EXE
C:\WINDOWS\SYSTEM\CODE.EXE
C:\PROGRAM FILES\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\WEBSHOTS\WEBSHOTSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\COMMON FILES\KEENVALUE\KWM.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.sureseeker.com/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/Startportal/Portal/portal.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.kazzaam.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.sureseeker.com/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Startportal/Portal/portal.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: eUnivBHO Class - {269B6797-664E-48AA-B283-B012BDF6E525} - C:\PROGRA~1\INCRED~2\BHO\BHO.DLL
F1 - win.ini: load=C:\TNT2-64\vi_grm.exe
F1 - win.ini: run=hpfsched
O2 - BHO: (no name) - {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} - C:\WINDOWS\FHFMM.DLL
O2 - BHO: NavErrRedir Class - {269B6797-664E-48AA-B283-B012BDF6E525} - C:\PROGRA~1\INCRED~2\BHO\BHO.DLL
O2 - BHO: (no name) - {0549E6CB-9985-42F6-8FD6-4EC017E6AAE1} - C:\PROGRAM FILES\MATHIES.COM\POPTHIS!\POPTHIS.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: FlowGoBar - {4E7BD74F-2B8D-469E-C0FF-FD63B399BC7D} - C:\PROGRA~1\FLOWGO~1\TOOLBAR\FLGOBAR.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\ITOUCH\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [KeenValue] C:\Program Files\Common files\KeenValue\KeenValue.exe
O4 - HKLM\..\Run: [Diskstart] C:\WINDOWS\SYSTEM\CODE.EXE
O4 - HKLM\..\RunServices: [Driver32] C:\WINDOWS\SYSTEM\SCam32.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKLM\..\RunOnce: [SpyBotSnD] "C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE" /autocheck
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\WebshotsTray.exe
O4 - Global Startup: KeenValue.lnk = C:\Program Files\Common Files\KeenValue\keenvalue.exe
O9 - Extra button: Real.com (HKLM)
O9 - Extra 'Tools' menuitem: PopThis! Options... (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...apple.com/qt503/nl/win/QuickTimeInstaller.exe
O16 - DPF: {00000000-8c7d-4ea8-b113-9163c935d38e} -
O16 - DPF: {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} (FHFMMObj Class) -
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://www.fotovlucht.nl/plugin/fotoboekje.exe

 

[Kleinkramer]

Zou je zo vriendelijk willen zijn een kopie van het bestand C:\WINDOWS\SYSTEM\CODE.EXE te zenden naar dit e-mail addres ?

Ik vertrouw het niet helemaal, en zou het graag eens nader willen analyseren.

Bedankt!

Vink vervolgens de volgende zaken aan in Hijack This, sluit vervolgens alle browser-vensters, en klik op "fix checked".

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.sureseeker.com/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/Startportal/Portal/portal.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.kazzaam.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.sureseeker.com/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Startportal/Portal/portal.html

R3 - URLSearchHook: eUnivBHO Class - {269B6797-664E-48AA-B283-B012BDF6E525} - C:\PROGRA~1\INCRED~2\BHO\BHO.DLL

O2 - BHO: (no name) - {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} - C:\WINDOWS\FHFMM.DLL
O2 - BHO: NavErrRedir Class - {269B6797-664E-48AA-B283-B012BDF6E525} - C:\PROGRA~1\INCRED~2\BHO\BHO.DLL

O3 - Toolbar: FlowGoBar - {4E7BD74F-2B8D-469E-C0FF-FD63B399BC7D} - C:\PROGRA~1\FLOWGO~1\TOOLBAR\FLGOBAR.DLL

O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [KeenValue] C:\Program Files\Common files\KeenValue\KeenValue.exe
O4 - HKLM\..\Run: [Diskstart] C:\WINDOWS\SYSTEM\CODE.EXE
O4 - HKLM\..\RunServices: [Driver32] C:\WINDOWS\SYSTEM\SCam32.exe

O4 - Global Startup: KeenValue.lnk = C:\Program Files\Common Files\KeenValue\keenvalue.exe
/sw.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} -
O16 - DPF: {00000000-8c7d-4ea8-b113-9163c935d38e} -
O16 - DPF: {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} (FHFMMObj Class) -
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx

Start vervolgens even opnieuw op, en wis het volgende, indien nog aanwezig:

De map C:\Program Files\IncrediFind
De map C:\Program Files\Common files\KeenValue
De map C:\Program Files\Flowgo(bar)
Het bestand C:\WINDOWS\SYSTEM\SCam32.exe

En laat on line scannen bij Trend Micro HouseCall of Panda Active Scan

 

[hawkie]

Re: mijn log

Geplaatst door deb's
Hallo helpmijers,

Aangezien ik nu mijn computer redelijk schoon wil houden plaats ik nu even mijn logfile.

Alvast bedankt voor de moeite.

groetjes
debby

Logfile of HijackThis v1.97.3
Scan saved at 9:30:56, on 26-10-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\zone alarm\ZoneAlarm\zonealarm.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\DllHost.exe
C:\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.linksummary.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.linksummary.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planet.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.linksummary.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.linksummary.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {7559B76E-0222-4d77-9499-CCE9EB4EDC2F} - c:\adshield\AdShield.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - Global Startup: ZoneAlarm.lnk = C:\zone alarm\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Maintain Block List... - c:\adshield\maintain.htm
O8 - Extra context menu item: Add to &Block List... - c:\adshield\suppress.htm
O8 - Extra context menu item: AdShield Option &Settings... - c:\adshield\settings.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AdShield (HKCU)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/76808a0e7ae82f/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37913.619837963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab

Keurig hoor, maar een beetje te schoon:

uhh, die linksummary´s horen er toch niet in thuis?

 

[Kleinkramer]

Re: Re: mijn log

Geplaatst door margaNo

uhh, die linksummary´s horen er toch niet in thuis?

Dat moet je toch eens wat beter uitleggen, want ik begrijp niet precies wat je bedoelt...

 

[Kleinkramer]

Re: Re: Re: mijn log

Geplaatst door Kleinkramer


Dat moet je toch eens wat beter uitleggen, want ik begrijp niet precies wat je bedoelt...

Of bedoel je L 0: "LinksFolderName"??

Dat is gewoon de nederlandse naam voor je map "Links" (Koppelingen). Dus normaal voor een Nederlandstalige versie van Windows.

 

[Pieter Arntz]

Geplaatst door Kleinkramer
Zou je zo vriendelijk willen zijn een kopie van het bestand C:\WINDOWS\SYSTEM\CODE.EXE te zenden naar dit e-mail adres?

Ik vertrouw het niet helemaal, en zou het graag eens nader willen analyseren.

D-R 21-10 MS-Connect

Groetjes,

Pieter

 

[Pieter Arntz]

margNo bedoelt Deb´s log denk ik:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.linksummary.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.linksummary.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.linksummary.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.linksummary.com/

En die zou ik inderdaad laten fixen.

Groetjes,

Pieter

 

[hawkie]

Nee, deze bedoelde ik

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.linksummary.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.linksummary.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planet.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.linksummary.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.linksummary.com/


edit : Twee zielen één gedachte Pieter, had je post nog niet gezien.

 

[Kleinkramer]

Ah, we hadden het dus kennelijk over verschillende logjes...

 

[Kleinkramer]

Geplaatst door Pieter Arntz


D-R 21-10 MS-Connect

Groetjes,

Pieter

Heb hem ontvangen, en inderdaad de dialer... :thumb:
Bij Pacman staat ie nog genoteerd als "onbekend", dus ik heb hem op mijn volgende lijstje gezet

 

[Kleinkramer]

Geplaatst door Kleinkramer
Ah, we hadden het dus kennelijk over verschillende logjes...

Aaargh, nou zie ik wat jullie bedoelen:

Ik heb Linksummary.com op de Adshield blocklist, dus die hyperlinks werden helemaal niet weergegeven bij mij...

Dit is wat ik zag. Ik heb het meteen veranderd:

 

[hawkie]

Geplaatst door Kleinkramer


Aaargh, nou zie ik wat jullie bedoelen:

Ik heb Linksummary.com op de Adshield blocklist, dus die hyperlinks werden helemaal niet weergegeven bij mij...

Dit is wat ik zag. Ik heb het meteen veranderd:

maar goed dat je mij nog hebt dan he

 

[jippiejajee]

Geplaatst door Pieter Arntz
Hoi jippiejajee,

Deze kunnen in ieder geval wel uit:
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

Voor de rest: http://www.pacs-portal.co.uk/startup_pages/startup_full.htm

Groetjes,

Pieter

Fijn bedankt.

 

[deb's]

Hallo allemaal,

Ik snap het geloof ik niet helemaal meer, moet ik nou wat laten fixen en zoja welke?
Ik was al zo blij dat ik een "schoon"log had haha.

thanxx weer
debby

 

[Bennie]

Geplaatst door deb's
Hallo allemaal,

Ik snap het geloof ik niet helemaal meer, moet ik nou wat laten fixen en zoja welke?
Ik was al zo blij dat ik een "schoon"log had haha.

thanxx weer
debby

Je plaatst je log en dan vertelt deze of gene wat je moet verwijderen. Maar dat had Ton je toch al gezegd?

Groetjes,
Bennie

 

[Bennie]

Geplaatst door deb's
Hallo allemaal,

Ik snap het geloof ik niet helemaal meer, moet ik nou wat laten fixen en zoja welke?
Ik was al zo blij dat ik een "schoon"log had haha.

thanxx weer
debby

Je plaatst je log en dan vertelt deze of gene wat je moet verwijderen. Maar dat had Ton je toch al gezegd? Als je een schone log hebt, hoef je ook niets te "fixen".

Groetjes,
Bennie

 

[Pieter Arntz]

Geplaatst door Pieter Arntz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.linksummary.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.linksummary.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.linksummary.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.linksummary.com/

Deze vier aanvinken, alle browservensters sluiten en dan op Fix checked klikken. Daarna opnieuw opstarten en dan is hij echt schoon.

Groetjes,

Pieter

 

[deb's]

Geplaatst door Pieter Arntz


Deze vier aanvinken, alle browservensters sluiten en dan op Fix checked klikken. Daarna opnieuw opstarten en dan is hij echt schoon.

Groetjes,

Pieter

Oke, heb ik gedaan.

 

[jippiejajee]

Geplaatst door Pieter Arntz
Hoi jippiejajee,

Deze kunnen in ieder geval wel uit:
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
[/url]

Groetjes,

Pieter

Deze blijft elke keer terugkomen !, iemand nog tips ?

bij voorbaat dank