Helpmij tegen spyware offensief

[vaat]

sluit alle vensters van IE en fix deze:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://redir.phoenixnet.com/redir/R...10704&time=1033
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/MS-Connect/Portal/portal.html
F1 - win.ini: run=hpfsched
O16 - DPF: {9B4AA442-9EBF-11D5-8C11-0050DA4957F5} - http://www.cavello.com/dialxs/plugins/d/10/035/nl.exe

startup, mogen weg:

O4 - HKLM\..\Run: [OEMCleanup] C:\WINDOWS\OPTIONS\OEMRESET.EXE /O
O4 - HKLM\..\Run: [MS-RunKey] C:\WINDOWS\SYSTEM\ARR.EXE

[edit]had al voor je reply op antwoord gedrukt en zie dus dat jouw meer ervaring je dus wat minutjes sneller maakt[/edit]

 

[evers]

msconnect

tis gelukt. Ben er mooi van af.
(volgens mij is dit de enige manier zoals jullie die aangeven;
zag op internet allerlei oplossingen aangedragen.....)

Maar goed het is over..
Bedankt voor de zeer snelle reaktie en nu ga ik lekker slapen..en ik ga niet meer van gele vraagtekentjes dromen

Henk

 

[Jozo]

Win XP geinstalleerd, gescand met spybot en ad-aware.
kan er nog iets uit ?
Wat is de onderste regel in log ?
B.V.D Jozo

Logfile of HijackThis v1.96.0
Scan saved at 12:55:50, on 2-9-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\PROGRA~1\MAILWA~1\MAILWA~1.EXE
C:\Documents and Settings\jozo\Bureaublad\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7559B76E-0222-4d77-9499-CCE9EB4EDC2F} - C:\PROGRA~1\AdShield\AdShield\AdShield.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKCU\..\Run: [MailWasher] C:\PROGRA~1\MAILWA~1\MAILWA~1.EXE
O8 - Extra context menu item: &Maintain Block List... - C:\PROGRA~1\AdShield\AdShield\maintain.htm
O8 - Extra context menu item: Add to &Block List... - C:\PROGRA~1\AdShield\AdShield\suppress.htm
O8 - Extra context menu item: Add to &Exclude List... - C:\PROGRA~1\AdShield\AdShield\restrict.htm
O8 - Extra context menu item: AdShield Option &Settings... - C:\PROGRA~1\AdShield\AdShield\settings.htm
O8 - Extra context menu item: IE Booster Copy Meister - res://C:\Program Files\IE Booster 2\ieb.dll/copy-wiz.ieb
O8 - Extra context menu item: IE Booster Interactive HTML Detective - res://C:\Program Files\IE Booster 2\ieb.dll/contextmenu.ieb
O8 - Extra context menu item: IE Booster Open Frame In New Window - res://C:\Program Files\IE Booster 2\ieb.dll/open-frame-in-new-window.ieb
O8 - Extra context menu item: IE Booster Open Frame In This Window - res://C:\Program Files\IE Booster 2\ieb.dll/open-frame-in-new-window.ieb
O8 - Extra context menu item: IE Booster Web Page Analyzer - res://C:\Program Files\IE Booster 2\ieb.dll/element.ieb
O8 - Extra context menu item: Search &Google - C:\WINDOWS\WEB\google.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Page Analysis (HKCU)
O9 - Extra 'Tools' menuitem: IE Booster Web Page Analyzer (HKCU)
O9 - Extra button: AdShield (HKCU)
O9 - Extra button: HTML Detective (HKCU)
O9 - Extra 'Tools' menuitem: IE Booster Interactive HTML Detective (HKCU)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37847.1947106481
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) -

 

[hendricus]

Die onderste regel daar hoort dacht ik dit: https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab achter te staan. Dit bestand moet je kunnen terugvinden in c:/windows/ downloaded program files.
Zoals je ziet hoort het bij Symantec ( waar ik verder niet mee bekend ben). Het lijkt erop of het update prog niet goed geinstalleerd is. Zoals ie er nu staat kan het weg, omdat het geen nut heeft.

 

[Pieter Arntz]

Vink de volgende items aan in Hijack This, sluit vervolgens alle vensters behalve HijackThis, en klik op fix checked:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) -
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) -

De laatste twee horen er eigenlijk zo uit te zien:
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tec...ta/SymAData.dll
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tec.../ActiveData.cab

Start daarna opnieuw op. Verder ziet het er perfect uit. :thumb:

Groetjes,

Pieter

 

[Yari02]

Zo ziet mijn opstart (via msconfig) er uit. Ik heb al wat opstarters 'uitgezet', maar wellicht kunnen er nog meer 'onnodige' worden uitgezet.

 

[Pieter Arntz]

Geplaatst door Yari02
Zo ziet mijn opstart (via msconfig) er uit. Ik heb al wat opstarters 'uitgezet', maar wellicht kunnen er nog meer 'onnodige' worden uitgezet.

Lijkt mij een beetje weinig?
Volg maar even de aanwijzingen in het eerste bericht van deze thread op.

Groetjes,

Pieter

 

[Yari02]

Het zal ongetwijfeld aan mijn ondeskundigheid liggen, maar ik begrijp er geen ene ........van, hoe en wat ik moet doen.

 

[Pieter Arntz]

OK. Dit stukje dan: Download HijackThis Zorg dat je minstens versie 1.96.4 hebt. Unzip en run het. Klik op Scan > Save log en sla het log op als een .txt bestand.
Kopieer en plak de inhoud in je volgende post.
Fix nog niets. Er zitten ook dingen tussen die je echt nodig hebt.

Groetjes,

Pieter

 

[Yari02]

Mijn Yari02Hijackthis.log

Logfile of HijackThis v1.96.4
Scan saved at 18:39:55, on 2-9-2003
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\AHEAD\INCD\INCD.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\PROGRAM FILES\DAP\DAP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZAPRO.EXE
C:\PROGRAM FILES\WEBSHOTS\WEBSHOTSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startnederland.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door Wanadoo Cable v1.2c NL
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\PROGRAM FILES\DAP\DAPBHO.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\WebshotsTray.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Winipcfg (HKCU)
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37866.0141319444
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/dj/qdiagh.cab?306
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

[sweetalice]

Hai pieter. kan je even naar deze log kijken???


Logfile of HijackThis v1.96.4
Scan saved at 19:12:55, on 2-9-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
D:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\Explorer.exe
D:\Program Files\KaZaA\kazaa.exe
D:\PROGRA~1\Save\Save.exe
D:\Program Files\Common Files\Symantec Shared\ccApp.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\Messenger\msmsgs.exe
D:\Documents and Settings\Peter\Local Settings\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://wer-mit-wem.webhop.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wer-mit-wem.webhop.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F0 - system.ini: Shell=Explorer.exe D:\WINDOWS\System32\system32.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [aconti] C:\\WINDOWS\\aconti.exe -auto
O4 - HKLM\..\Run: [KAZAA] D:\Program Files\KaZaA\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [WhenUSave] D:\PROGRA~1\Save\Save.exe
O4 - HKLM\..\Run: [MessengerPlus2] "D:\Documents and Settings\erik.PETER-MZMREQZKT\Bureaublad\MsgPlus.exe"
O4 - HKLM\..\Run: [Lorraine] D:\WINDOWS\System32\Lorraine.exe
O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\RunServices: [SystemSAS] system32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Spamihilator] "D:\Program Files\Spamihilator\spamihilator.exe"
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://virusscan.zdnet.nl/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37633.0188194444
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

thanx

 

[Yari02]

Hallo Pieter,

Kan je van de Yari02 log enige chocola maken.

 

[Pieter Arntz]

Re: Mijn Yari02Hijackthis.log

Geplaatst door Yari02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\WebshotsTray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Hoi Yari02,

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked. Start daarna opnieuw op.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door sweetalice


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://wer-mit-wem.webhop.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wer-mit-wem.webhop.net/
F0 - system.ini: Shell=Explorer.exe D:\WINDOWS\System32\system32.exe
O4 - HKLM\..\Run: [aconti] C:\\WINDOWS\\aconti.exe -auto
O4 - HKLM\..\Run: [KAZAA] D:\Program Files\KaZaA\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [WhenUSave] D:\PROGRA~1\Save\Save.exe
O4 - HKLM\..\Run: [Lorraine] D:\WINDOWS\System32\Lorraine.exe
O4 - HKLM\..\RunServices: [SystemSAS] system32.exe

Hoi Sweetalice,

Een virus, een trojan, een dialer en spyware.

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.
Start daarna opnieuw op en verwijder:
D:\WINDOWS\System32\system32.exe
aconti.exe <= indien aanwezig
D:\WINDOWS\System32\Lorraine.exe
lorraine.hta
Kijk dan in Configuratiescherm > Software of je daar SaveNow aka Save! aka WhenUSave kunt verwijderen.
Verwijder daarna de volledige map:
D:\PROGRAM FILES\Save

Installeer daarna Norton opnieuw, update en scan je hele computer.

Groetjes,

Pieter

 

[sweetalice]

thanx Pieter Ik ga aan de slag

 

[Pieter Arntz]

Hoi sweetalice,

Mocht je die aconti.exe nog hebben zou ik een kopietje op prijs stellen.

Sterkte,

Pieter

 

[sweetalice]

oeps al verwijder Pieter.

Zit nu weer met een ander probleem Heb er al een nieuwe vraag voor geplaatst.

 

[Yari02]

Hallo Pieter,

Even voor de zekerheid. Ik moet - neem ik aan - Hijack.exe weer starten en vervolgens de door jou aangegeven items aanvinken en op fixed check klikken etc. etc. Kan je me enige uitleg geven wat er in feite gebeurt m.b.t. de aangevinkte items.

 

[Pieter Arntz]

Geplaatst door Yari02
Hallo Pieter,

Even voor de zekerheid. Ik moet - neem ik aan - Hijack.exe weer starten en vervolgens de door jou aangegeven items aanvinken en op fixed check klikken etc. etc. Kan je me enige uitleg geven wat er in feite gebeurt m.b.t. de aangevinkte items.

Hoi Yari02,

Dat klopt. De twee R0 zijn dode links in je register en die worden gerepareerd.
De O4 starten niet meer automatisch op. Let even op, want ik heb er één teveel bij staan, zie ik net, die haal ik zo weg.
De twee O6 zijn restricties, dat je niet meer in je internetopties kunt. Die worden opgeheven.

Groetjes,

Pieter

 

[Kleinkramer]

Geplaatst door Pieter Arntz


Let even op, want ik heb er één teveel bij staan, zie ik net, die haal ik zo weg.

Pieter heeft gevraagd of ik even mee wilde kijken, maar hij had het de eerste keer volledig bij het rechte eind.

Het volgende moet je óók laten fixen door Hijack This:

F0 - system.ini: Shell=Explorer.exe D:\WINDOWS\System32\system32.exe

De normale waardegegevens voor die registerwaarde zijn Shell=Explorer.exe

Die System32.exe trojan heeft daar nu voor zichzelf iets "bijgeschreven" waardoor hij elke keer wanneer je de computer opstart automatisch geactiveerd wordt.

Je moet Hijack This die regel laten fixen. Dan verwijdert ie alléén wat er niet in thuishoort.

Vervolgens zoals gezegd even opnieuw opstarten, en het bestand system32.exe zelf wissen.

Succes,