Helpmij tegen spyware offensief

[piet235]

misschien had ik het effe bij moeten zeggen ik weet niet zeker wat precision on time is en datemanager maar kan ik het zomaar verwijderen ?

en logitech heeft te maken met mijn keyboard is dat ook zomaar verwijderbaar?

ik klink misschien een beetje onzeker maar ben bang dat ik straks iets weghaal wat wel belangrijk is

 

[Pieter Arntz]

PrecisionTime en DateManager hebben met Gator (spyware te maken), dus die had ik ze sowieso laten verwijderen. Snap eigenlijk niet dat AdAware dat niet gedaan heeft.
De twee dingetjes van Logitech:
N LDM backweb-8876480.exe
ldmconf.exe
Installed with the software for Logitech products. Automatically checks for software upgrades AND new products, services and special offerings from Logitech. Also listed under Logitech Desktop Messenger

van: http://www.pacs-portal.co.uk/startup_pages/startup_full.htm

Dus alleen als je denkt dat je regelmatig updates nodig hebt van je keyboard moet je hem laten staan.

Groetjes,

Pieter

 

[piet235]

Ok heb ze verwijdert,

Nogmaals bedankt

hebben deze 2 dingen misschien invloed op mijn vele foutmeldingen in internet explorer

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

dat is namelijk een van de redenen dat ik dit doe namelijk.

 

[Pieter Arntz]

Als je daarmee de meldingen bedoeld dat je zelf niets in kunt stellen in de internet-opties, ja.
Maar na het verwijderen van de WildTangent updater, de Gator troep en de dialer (plus wat je met AdAWare hebt verwijderd) zullen andere problemen wellicht ook verholpen zijn.

Groetjes,

Pieter

 

[piet235]

Start daarna opnieuw op en verwijder:
C:\WINDOWS\wt <= de hele map
C:\Program Files\Date Manager <= de hele map
C:\Program Files\Common Files\GMT <= de hele map
C:\Program Files\PrecisionTime <= de hele map

Groetjes,

Pieter


vraagje

C:\Program Files\Date Manager <= de hele map
C:\Program Files\PrecisionTime <= de hele map

deze 2 mappen kan ik niet vinden

kan het dat ze al weg zijn adaware had namelijk 113 items waarvan het meerendeel over gator ging

 

[Pieter Arntz]

Ah, gelukkig. Ja, dat is heel goed mogelijk, dat AdAware die mappen al verwijderd had.

Groetjes,

Pieter

 

[Kleinkramer]

Geplaatst door Pieter Arntz

Ik ben er niet zo zeker van dat HijackThis het zo gedaan heeft

Maar dat doet ie wél, hoor.

Ik heb dat al zo vaak zelf getest, zowel in Win 98 als XP.
Onlangs nog, om de nieuwste versie van Hijack This te testen.

De shell line als volgt aangepast:

Shell=explorer.exe test.exe
Hijack This gedraaid, laten fixen: "test.exe" verwijderd, en de registerwaarde met alléén explorer.exe erin blijft keurig over.

 

[Pieter Arntz]

Dank je Ton. Ik had het ondertussen zelf ook al getest met ME en XP en dat werkt inderdaad prima.

Geen idee wat er bij Sweetalice is misgegaan. Wel sneu.

Groetjes,

Pieter

 

[hawkie]

even een vraagje tussendoor
Wat betekenen die regelnummers eigenlijk?
(R1,R0,03,03,08,09,016)

 

[Kleinkramer]

Zie de beschrijvingen in Hijack This > Info:

R0 - Changed registry value
R1 - Created registry value
R2 - Created registry key
R3 - Created extra registry value where only one should be
F - IniFiles, autoloading entries
F0 - Changed inifile value
F1 - Created inifile value
N - Netscape/Mozilla StartPage/SearchPage changes
N1 - Change in prefs.js of Netscape 4.x
N2 - Change in prefs.js of Netscape 6
N3 - Change in prefs.js of Netscape 7
N4 - Change in prefs.js of Mozilla
O - Other, several sections which represent:
O1 - Hijack of auto.search.msn.com with Hosts file
O2 - Enumeration of existing MSIE BHO's
O3 - Enumeration of existing MSIE toolbars
O4 - Enumeration of suspicious autoloading Registry entries
O5 - Blocking of loading Internet Options in Control Panel
O6 - Disabling of 'Internet Options' Main tab with Policies
O7 - Disabling of Regedit with Policies
O8 - Extra MSIE context menu items
O9 - Extra 'Tools' menuitems and buttons
O10 - Breaking of Internet access by New.Net or WebHancer
O11 - Extra options in MSIE 'Advanced' settings tab
O12 - MSIE plugins for file extensions or MIME types
O13 - Hijack of default URL prefixes
O14 - Changing of IERESET.INF
O15 - Trusted Zone Autoadd
O16 - Download Program Files item
O17 - Domain hijack
O18 - Enumeration of existing protocols
O19 - User stylesheet hijack

 

[Kleinkramer]

En hier is nog een nuttige link:

HijackThis log tutorial: What's good and what's bad?

 

[hawkie]

Ton bedankt, heel duidelijk verhaal
Zo word ik toch weer wat wijzer

 

[Kleinkramer]

Graag gedaan!

 

[piet235]

Hoi Pieter en Yario,

Een beetje laat maar Hartstikke bedankt,

Maar ik kom niet af van de iexplorer foutmelding de melding is: In iexploren is een fout opgetreden en moet worden afgesloten excuses voor het ongemak, heel raar soms heb ik het 5 X per uur en dan weer en hele tijd niet en ook bij verschillende websites.

ik heb al verder in de forum gekeken
ik ben naar conf software en dan verwijderen of wijzigen maar ik krijg alleen de melding iexplorer wordt def verwijdert (Iexplorer Q822925) verder heb ik geen andere explorer in software .

Wie weet wat ik kan doen?

 

[Kleinkramer]

De details van die foutmelding graag, anders kunnen we er weinig of niets over zeggen.

Als ie weer komt, druk dan op "details", en geef ons de AppName en de ModName die je daar ziet.

Dan hebben we wat meer om mee te werken.

 

[piet235]

oh in orde zal ik doen

dom van me dat ik er niet meteen aan dacht.

groet,

Piet

 

[Yari02]

Systray.exe staat tweemaal in mijn msconfig. Zie bijlage.
Moet ik daar wat mee.

 

[superpim]

Goedenmiddag beste anti spyware mensen,

mijn aanstaande zwager z'n pc staat nu bij mij op zolder, en dat ding is zo vlug als dikke ****** in een vergiet. Dus bij deze wil ik een hijack log plaatsen om te beginnen.
als iemand tijd heeft, of als ik aan de beurt ben, zou iemand er dan naar willen kijken?

Groeten, Pim

Logfile of HijackThis v1.96.4
Scan saved at 12:40:12, on 7-9-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\SYSio32.exe
C:\WINDOWS\System32\mshost.exe
C:\WINDOWS\System32\sstray.exe
C:\Program Files\Winamp\Winampa.exe
C:\windows\system32\msiexec16.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\DOCUME~1\DANIEL~1\APPLIC~1\tvheablz.exe
C:\WINDOWS\System32\ctfmon.exe
C:\DOCUME~1\DANIEL~1\LOCALS~1\Temp\Psu1.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\FotoStation Easy\FotoStation Easy AutoLaunch.exe
C:\Program Files\Nikon\NkView5\NkvMon.exe
C:\WINDOWS\olefiles\run.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Daniel Breugem\Local Settings\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hetnet.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door Het Net
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F0 - system.ini: Shell=explorer.exe SYSio32.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {9b4505b5-5731-4e64-b036-641593149143} - C:\DOCUME~1\DANIEL~1\APPLIC~1\jckochlyfie.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: hvgshchtabe - {a565346e-dae1-4943-9d45-105f467b15b0} - C:\DOCUME~1\DANIEL~1\APPLIC~1\jckochlyfie.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [RegCleaner] C:\WINDOWS\System32\SYSio32.exe
O4 - HKLM\..\Run: [GLSetIT32] C:\windows\system32\msiexec16.exe
O4 - HKLM\..\Run: [Spool32] C:\windows\pool32.exe
O4 - HKLM\..\Run: [Regscan] C:\WINDOWS\System32\regscanr.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [bllyfck] C:\DOCUME~1\DANIEL~1\APPLIC~1\tvheablz.exe -QuieT
O4 - HKLM\..\RunServices: [GLSetIT32] C:\windows\system32\msiexec16.exe
O4 - HKLM\..\RunServices: [Regscan] C:\WINDOWS\System32\regscanr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: run.exe
O4 - Global User StartupFotoStation Easy AutoLaunch.lnk = ?
O4 - Global User StartupNkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exe
O4 - Global User Startuprun.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.hetnet.nl
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

[Pieter Arntz]

Yikes, :8-0:

Een virus, twee trojans en lop.com in één oogopslag.

Laat deze Fixen:

F0 - system.ini: Shell=explorer.exe SYSio32.exe
O2 - BHO: (no name) - {9b4505b5-5731-4e64-b036-641593149143} - C:\DOCUME~1\DANIEL~1\APPLIC~1\jckochlyfie.dll
O3 - Toolbar: hvgshchtabe - {a565346e-dae1-4943-9d45-105f467b15b0} - C:\DOCUME~1\DANIEL~1\APPLIC~1\jckochlyfie.dll
O4 - HKLM\..\Run: [RegCleaner] C:\WINDOWS\System32\SYSio32.exe
O4 - HKLM\..\Run: [bllyfck] C:\DOCUME~1\DANIEL~1\APPLIC~1\tvheablz.exe -QuieT
O4 - HKLM\..\Run: [GLSetIT32] C:\windows\system32\msiexec16.exe
Optix Pro
O4 - HKLM\..\Run: [Spool32] C:\windows\pool32.exe
O4 - HKLM\..\Run: [Regscan] C:\WINDOWS\System32\regscanr.exe
Backdoor.AHE
O4 - Global Startup: run.exe
O4 - Global User Startuprun.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Start daarna opnieuw op, liefts in veilige modus en verwijder:
C:\windows\system32\msiexec16.exe
C:\WINDOWS\System32\regscanr.exe
C:\DOCUMENTS AND SETTINGS\[gebruikersnaam]\APPLIATION DATA\tvheablz.exe
en leeg de C:\DOCUMENTS AND SETTINGS\[gebruikersnaam]\LOCAL SETTINGS\Temp map
(Local Settings is een verborgen map, deze moet je dus zichtbaar maken als hij dat nog niet is)
en hernoem:
C:\WINDOWS\System32\SYSio32.exe
C:\windows\pool32.exe
run.exe
Startuprun.exe
allemaal van .exe naar .bak

Die laatste vier gaarne per mail naar mij (zie eerste bericht) tenzij de laatste twee bij je aanstaande zwager bekend zijn.
(Ik weet al een goed cadeau voor hem )

Groetjes,

Pieter

 

[superpim]

Alles gedaan, ik hoop dat alles nu weer een beetje beter gaat.
Hierbij nog een log van Hijack ter controle.

Groeten, Pim


Logfile of HijackThis v1.96.4
Scan saved at 14:37:19, on 7-9-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\mshost.exe
C:\WINDOWS\System32\sstray.exe
C:\windows\system32\msiexec16.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Daniel Breugem\Bureaublad\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hetnet.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door Het Net
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F0 - system.ini: Shell=explorer.exe SYSio32.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [GLSetIT32] C:\windows\system32\msiexec16.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [RegCleaner] C:\WINDOWS\System32\SYSio32.exe
O4 - HKLM\..\RunServices: [GLSetIT32] C:\windows\system32\msiexec16.exe
O4 - HKLM\..\RunServices: [Regscan] C:\WINDOWS\System32\regscanr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.hetnet.nl
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab