Helpmij tegen spyware offensief

[queen]

[Als dat helpt is het misschien beter om het programma te verwijderen, of te proberen of opnieuw installeren helpt.

Groetjes,

Pieter


Pieter,


Ik heb opinionbar helemaal verwijderd, gebruikte het nooit meer.
Ik ga nu opnieuw opstarten..BHO wel geinstalleerd en hij vind twee BHO's:

C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

en

C:\Program Files\Norton AntiVirus\NavShExt.dll

Maar aan laten staan neem ik aan..

Ik ga nu opnieuw opstarten.

 

[Pieter Arntz]

AcroieHelper is om .pdf bestanden te kunnen openen en NavShExt is van Norton, dus die kun je beiden met rust laten.

Groetjes,

Pieter

 

[queen]

...

Okee..

Nu wil ik dus dit antwoord gaan typen en volgens mij gebeurd het als ik de TAB toets gebruik..Zit het scherm dus weer 3 tot 5 min vast( Not Responding staat er dan bovenin).

Mail id, duurt gewoon te lang..

Heb al van alles geprobeerd om dit op te lossen..maar nee nog geen oplossing gevonden.

 

[nielsdekorver]

Hallo, na al die tevreden reacties te lezen, denk ik dat ik het ook maar eens probeer. Ik heb een oude laptop boven staan, als tweede computer, eigenlijk alleen maar gebruikt wordt voor internet en MS EXCEL.
OS: Windows 98 SE
Gescand: Ad-aware 6.0

Logfile of HijackThis v1.97.5
Scan saved at 1:48:03, on 11/10/03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\NETSCREEN\NETSCREEN-REMOTE\IREIKE.EXE
C:\PROGRAM FILES\NETSCREEN\NETSCREEN-REMOTE\IPSECMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\THINKPAD\TPHKMGR.EXE
C:\WINDOWS\SYSTEM\DAEMON.EXE
C:\WINDOWS\SYSTEM\IBMBAYSN.EXE
C:\WINDOWS\SYSTEM\IBMBAY2M.EXE
C:\WINDOWS\LOADQM.EXE
C:\THINKPAD\TPONSCR.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\HPZSTATX.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.2:6588
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] "SysTray.Exe"
O4 - HKLM\..\Run: [IrMon] "IrMon.exe"
O4 - HKLM\..\Run: [TpHotkey] "C:\THINKPAD\tphkmgr.exe"
O4 - HKLM\..\Run: [TrackPointSrv] "daemon.exe"
O4 - HKLM\..\Run: [IBMUltraBayHotSwapSound] "c:\windows\SYSTEM\IBMBAYSN.EXE"
O4 - HKLM\..\Run: [IBMUltraBayHotSwapCPLLoader] "c:\windows\SYSTEM\IBMBAY2M.EXE"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [CriticalUpdate] "C:\WINDOWS\SYSTEM\wucrtupd.exe " -startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] "C:\WINDOWS\SYSTEM\hpztsb04.exe"
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] "Rundll32.exe " powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [IREIKE] "C:\Program Files\NetScreen\NetScreen-Remote\IreIKE.exe " start
O4 - HKLM\..\RunServices: [IPSecMon] "C:\Program Files\NetScreen\NetScreen-Remote\IPSecMon.exe " start
O4 - HKLM\..\RunServices: [SchedulingAgent] "mstask.exe"
O4 - HKLM\..\RunServices: [DNE DUN Watchdog] rundll dnes.dll,DnDneCheckDUN13
O4 - HKLM\..\RunServices: [DNE Binding Watchdog] rundll dnes.dll,DnDneCheckBindings
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O16 - DPF: {4DA33120-B450-11D1-8FB0-0000F6B08ED1} (ABN AMRO Online Investor Transacties) - https://orders.abnamro.nl/abnamroinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37689.5073842593
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712...com/downloads/player/Install2.0/Installer.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

Welke opstart programma's mogen weg?? Ik hoef eigenlijk alleen maar: Norton Antivirus, MSN messenger, Trackpoint, en het programma dat de batterij capaciteit bijhoud. Ik weet niet zo goed welke programmas verder MOETEN blijven, en welke ik gewoon weg kan doen. De laptop komt van een bedrijf af waarvan heel veel programma's er nog opstaan, en opnieuw installeren mag ik niet van mijn pa.
Alvast bedankt, Niels

 

[Pieter Arntz]

Geplaatst door nielsdekorver


O4 - HKLM\..\Run: [IrMon] "IrMon.exe"
aansturing infrarood apparaten

O4 - HKLM\..\Run: [TpHotkey] "C:\THINKPAD\tphkmgr.exe"
Activeert Thinkpad help

O4 - HKLM\..\Run: [IBMUltraBayHotSwapSound] "c:\windows\SYSTEM\IBMBAYSN.EXE"
Supports hot swapping in Thinkpad UltraBay Option on IBM ThinkPad laptops samen met
O4 - HKLM\..\Run: [IBMUltraBayHotSwapCPLLoader] "c:\windows\SYSTEM\IBMBAY2M.EXE"

O4 - HKLM\..\Run: [LoadQM] loadqm.exe
kan weg, maar komt weer terug zodra je MSN Messenger gebruikt

O4 - HKLM\..\Run: [CriticalUpdate] "C:\WINDOWS\SYSTEM\wucrtupd.exe " -startup
kan weg, af en toe naar de Windows update site toe surfen

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] "C:\WINDOWS\SYSTEM\hpztsb04.exe"
kan uit, HP printer toolbox

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
onnodig, maar je hebt een programma als XP-Antispy nodig om het weg te krijgen http://kickme.to/XPAntiSpy

O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712...com/downloads/player/Install2.0/Installer.exe

Hoi nielsdekorver,

Ik heb er even onder gezet waar ze voor dienen, zodat je niet voor al te onangename verrassingen komt te staan. Ik zou ze uitvinken in msconfig om het eerst uit te proberen.

Groetjes,

Pieter

 

[anja22]

startpaginaprobleem

Geplaatst door Kleinkramer
Graag gedaan, maar deze staan nog steeds in je Hijack This log, en die moeten écht weg:

O2 - BHO: (no name) - {346ad7b4-45b9-4318-8731-e67a6cf87edb} - D:\DOCUME~1\MSCLIE~1\APPLIC~1\oaquckgltrss.dll
O2 - BHO: Httper - {A5483501-070C-41DD-AF44-9BD8864B3015} - C:\Program Files\Httper\httper.dll

O3 - Toolbar: eouuthqsttr - {28c7d4cf-3b00-44cd-a047-9cd1cfe14bae} - D:\DOCUME~1\MSCLIE~1\APPLIC~1\oaquckgltrss.dll

O4 - HKLM\..\Run: [wgltrqu] D:\DOCUME~1\MSCLIE~1\APPLIC~1\blbrllou.exe -QuieT
O4 - HKCU\..\Run: [System Soap Pro] C:\PROGRA~1\SYSTEM~1\soap.exe min

Ik stel voor dat je dat morgen nog even rustig bekijkt.

Succes,

Ja, dat zeg je nou wel maar ik kon er maar 2 vinden die ik nu weg heb gedaan.
Dat is nl: de 1e en de 3e regel
De 2e - 4e en de 5e staan er echt niet in hoor Ton.
Liefs, Anja

 

[Pieter Arntz]

Hoi anja22,

Draai HijackThis eens opnieuw en plaats dan een nieuw log. Doe er dan nog niks mee, zodat wij hetzelfde zien als jij.

Groetjes,

Pieter

 

[nielsdekorver]

Heel erg bedankt, ik heb alleen die IBMULTRABAYHOTSWAP maar aangelaten, was vergeten dat mijn vader af en toe ook zijn palmtop met de laptop synchroniseert. voor de rest loopt alles als een trein, heel erg bedankt!!!
Oh ja nog even 1 vraagje, bij mijn vriendin loopt de computer ook helemaal naar de *****. De computer (OS XP HOME) doet er ongeveer 4 minuten over om op te starten!! zit erg veel troep op, maarrr.. ze hebben Kazaa der op staan, en als omdat ik nog niet weet welke programma's gevonden door ad-aware bij Kazaa horen, heb ik met ad-aware nog niks der af kunnen halen. Weten jullie mischien welke der op moeten blijven staan?? Ik dacht alleen "Brilliant Digital" en "Cydoor" als ik alle anderen der af haal doet Kazaa het nog steeds niet.
Ok, zodra ik daar achter ben stuur ik de Hijakthis log van hun wel op, en daar zul je wel wat werk aan hebben
Groeten en heel erg bedankt,
Niels

 

[Pieter Arntz]

Niels,

Is het niet slimmer om KaZaa er helemaal af te mikken en een spyware-vrij alternatief te installeren?

Groetjes,

Pieter

 

[cat]

Logfile of HijackThis v1.97.3
Scan saved at 15:20:26, on 10-11-03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\MESSENGER PLUS! 2\MSGPLUS.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\HOTBAR\BIN\4.3.6.0\HBINST.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\HOTBAR\BIN\4.3.6.0\HBSRV.EXE
C:\PROGRAM FILES\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.12move.nl:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - C:\PROGRAM FILES\HOTBAR\BIN\4.3.6.0\HBHOSTIE.DLL
O3 - Toolbar: &Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - C:\PROGRAM FILES\HOTBAR\BIN\4.3.6.0\HBHOSTIE.DLL
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Hotbar] C:\PROGRAM FILES\HOTBAR\BIN\4.3.6.0\HBINST.EXE /Upgrade
O4 - HKLM\..\RunServices: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\RunServices: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\RunServices: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: Kangaroo (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O12 - Plugin for .mts: C:\Program Files\MetaCreations\MetaStream\npmetastream.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/0fb5e03023def1/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/SharedContent/sc/bin/cabsa.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37921.2001736111
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O16 - DPF: {6211AC26-A1B4-422A-AC52-1E70B7D24465} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/nl/filesharingctrl.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/MySignatureInitialSetup1.0.0.6.cab
O16 - DPF: {A51DEDCD-20F7-11D4-98A5-00C0CA130748} - http://exe.dialer.tintel.nl/tcw.cab

ik heb al geschreven dat in mijn computer alles langzaam laad en onderin alles blijft hangen en als ik dan ctrl alt del taak beeindigen doe onderin icoontje norton verdwijnt en dan kan ik weer verder maar slaat de computer welleens vast adware spybot regclean gedaan hotbar gebruik ik bij mijn email scrollen doet hij ook al niet meer!
greetz

 

[Pieter Arntz]

Hoi cat,

Hotbar is spyware, dus vink de onderstaande zaken aan, sluit dan alle vensters behalve HijackThis en klik op Fix checked:

O2 - BHO: Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - C:\PROGRAM FILES\HOTBAR\BIN\4.3.6.0\HBHOSTIE.DLL
O3 - Toolbar: &Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - C:\PROGRAM FILES\HOTBAR\BIN\4.3.6.0\HBHOSTIE.DLL

O4 - HKLM\..\Run: [Hotbar] C:\PROGRAM FILES\HOTBAR\BIN\4.3.6.0\HBINST.EXE /Upgrade

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/f...etup1.0.0.6.cab
O16 - DPF: {A51DEDCD-20F7-11D4-98A5-00C0CA130748} - http://exe.dialer.tintel.nl/tcw.cab

Start dan opnieuw op en verwijder:
C:\PROGRAM FILES\HOTBAR <= de hele map

Geen spoor van Norton trouwens. ???

Groetjes,

Pieter

 

[205]

ongewenste startpagina

Logfile of HijackThis v1.97.5
Scan saved at 15:19:31, on 10-11-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\System Soap Pro\soap.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Kodak\KODAK Picture Transfer Software\pts.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\nieuw.NIEUW-57OFPPNT2\Local Settings\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://search.microsoft.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.nl/0SENLNL/SAOS01
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://cool-homepage.co
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.marktplaats.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://cool-homepage.co
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cool-search.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://cool-homepage.co
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://cool-homepage.co
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://cool-homepage.co
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://cool-search.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://search.microsoft.com/
O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFB1} - C:\WINDOWS\mspbnc.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [System Soap Pro] C:\Program Files\System Soap Pro\soap.exe min
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKLM\..\RunOnce: [SpyBotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: KODAK Picture Transfer Software.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O10 - Unknown file in Winsock LSP: d:\program files\netsonic\netsonic.dll
O10 - Unknown file in Winsock LSP: d:\program files\netsonic\netsonic.dll
O10 - Unknown file in Winsock LSP: d:\program files\netsonic\netsonic.dll
O10 - Unknown file in Winsock LSP: d:\program files\netsonic\netsonic.dll
O10 - Unknown file in Winsock LSP: d:\program files\netsonic\netsonic.dll
O10 - Unknown file in Winsock LSP: d:\program files\netsonic\netsonic.dll
O10 - Unknown file in Winsock LSP: d:\program files\netsonic\netsonic.dll
O10 - Unknown file in Winsock LSP: d:\program files\netsonic\netsonic.dll
O10 - Unknown file in Winsock LSP: d:\program files\netsonic\netsonic.dll
O10 - Unknown file in Winsock LSP: d:\program files\netsonic\netsonic.dll
O10 - Unknown file in Winsock LSP: d:\program files\netsonic\netsonic.dll
O10 - Unknown file in Winsock LSP: d:\program files\netsonic\netsonic.dll
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/...ector/swdir.cab
O16 - DPF: {421A63BA-4632-43E0-A942-3B4AB645BE51} - http://download-ak.systemsoap.com/s...stemsoappro.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sh...n/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/...ash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/content...er/imloader.cab

 

[Pieter Arntz]

Hoi 205,

Download, unzip en run: http://www.spywareinfo.com/~merijn/files/cwshredder.zip

Kijk daarna of dit bestand nog op je computer aanwezig is en mail het naar me:
C:\WINDOWS\mspbnc.dll

(Voor het adres even in het eerste bericht van dit topic kijken.)

Groetjes,

Pieter

 

[cat]

nee dat icoontje verdwijnt ook elke keer door die toestanden zoals ik al zei en raar dat ik ook niet kan scrollen in de veilige modus staat norton disabled en gewoon is hij enabled raar he

 

[Pieter Arntz]

Hoi cat,

Dat Norton in veilige modus op disabled staat is niet zo raar. In veilige modus worden een groot aantal dingen niet opgestart.

Groetjes,

Pieter

 

[cat]

okay bedankt
heb alles verwijdert maar kan nog steeds niet scrollen een beetje gaat het dan heen en terug en bibbert terwijl hij het gisteren nog gewoon deed
er zijn wel meer rare dingen zoals je in mn mailtjes kunt lezen maar is dus nu nog niet opgelost

 

[Pieter Arntz]

Gisteren deed hij nog gewoon?

Zet dan je register van gisteren eens terug: http://support.microsoft.com/defaul...port/kb/articles/Q221/5/12.ASP&NoWebContent=1

Groetjes,

Pieter

 

[anja22]

startpaginaprobleem

Geplaatst door Pieter Arntz
Hoi anja22,

Draai HijackThis eens opnieuw en plaats dan een nieuw log. Doe er dan nog niks mee, zodat wij hetzelfde zien als jij.

Groetjes,

Pieter

Hier is-ie dan Pieter:

Logfile of HijackThis v1.97.3
Scan saved at 17:29:02, on 10-11-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
D:\Documenten en Settings\MS Client\Mijn documenten\Winamp\Winamp3\winampa.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MailWasher\MailWasher.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Hewlett-Packard\Precisionscan Pro 3.1\HPIPCopy.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Documenten en Settings\MS Client\Mijn documenten\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.chello.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door chello broadband
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_3_0.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\documenten en settings\ms client\mijn documenten\acrobat reader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {601ED020-FB6C-11D3-87D8-0050DA59922B} - D:\Program Files\WS_FTP\wsbho2k0.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar_en_2.0.95-deleon.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_3_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar_en_2.0.95-deleon.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Documenten en Settings\MS Client\Mijn documenten\Winamp\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: SonnReg.lnk = C:\Program Files\E-Color\Registration\SonnReg.exe
O4 - Global Startup: 3Deep.lnk = C:\Program Files\E-Color\3Deep\3Deepctl.exe
O4 - Global Startup: True Internet Color Icon.lnk = C:\Program Files\E-Color\True Internet Color\TICIcon.exe
O4 - Global Startup: Microsoft Works Calendar Reminders.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar_en_2.0.95-deleon.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar_en_2.0.95-deleon.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar_en_2.0.95-deleon.dll/cmcache.html
O8 - Extra context menu item: LimeShop Preferences - file://c:\Program Files\topMoxie\TEMP\limeshop_script.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar_en_2.0.95-deleon.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page - res://c:\program files\google\GoogleToolbar_en_2.0.95-deleon.dll/cmtrans.html
O9 - Extra button: RealGuide (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.chello.nl/
O16 - DPF: ChatSpace Java Client 2.1.0.90 - http://csites.securewebs.com:8400/Java/cs4ms090.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37652.4280208333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Companion) - http://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/yiebio5_1_3_0.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab

Liefs, Anja

 

[205]

advies opgevolgd

nothing left etc.

 

[205]

moet hier nog iets van gedownload worden
(vergat ik ff te vragen)