Helpmij tegen spyware offensief

Status
Niet open voor verdere reacties.
Alles nog oke?
Scan gedaan met Spybot S&D 1.2
Logfile of HijackThis v1.97.0
Scan saved at 2:35:19, on 3-10-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\MouseWare\system\em_exec.exe
C:\Program Files\MRU-Blaster\scheduler.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\System32\dllhost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\locator.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\dmadmin.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\All Users\Menu Start\Programma's\Software\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.home.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: MRU-Blaster Scheduler.lnk = C:\Program Files\MRU-Blaster\scheduler.exe
O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Program Files\MRU-Blaster\mrublaster.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37891.6989236111
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Locator.exe wat is dit voor een bestand?
Bij voorbaat dank.
 
Hoi, vaat, het verwijderen is gelukt nu draait alles weer een pak sneller.

Nogmaals bedankt allemaal :thumb:
 
Geplaatst door jippiejajee
Ik weet niet wat het is, wil het je wel toesturen, wil je de gehele map hebben, of alleen de exe file, ik heb wel gezien dat het logfiles aanmaakt van wat ik doe. totale grootte is ongeveer 3,5 mb.
Klik om te vergroten...

Hoi,

Doe eerst alleen maar de .exe, als ik het log echt nodig heb, vraag ik er nog wel even om.
Daar zou best wel wat in kunnen staan dat je liever voor jezelf houdt.

Groetjes,

Pieter
 
Hoi l.slaats,

Schoon, maar deze twee mag je laten fixen:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

Groetjes,

Pieter
 
Crash (bedankt voor de hulp) vroeg mij deze log hier te plaatsen:

(vervolg op http://www.helpmij.nl/forum/showthread.php?threadid=132891&goto=newpost )

Logfile of HijackThis v1.97.2
Scan saved at 12:48:09, on 3-10-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\Program Files\Common Files\Symantec Shared\ccApp.exe
D:\PROGRA~1\ZONELA~1\ZONEAL~1\zapro.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
D:\Program Files\GetRight\getright.exe
D:\Program Files\GetRight\getright.exe
D:\WINDOWS\system32\crypserv.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\System32\tcpsvcs.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Program Files\AnalogX\Proxy\proxy.exe
D:\Program Files\Outlook Express\msimn.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Documents and Settings\Wilfred\Local Settings\Temp\Temporary Directory 1 for hijackthis.zip\HijackThis.exe
D:\Documents and Settings\Wilfred\Local Settings\Temp\Temporary Directory 2 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - D:\WINDOWS\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zapro.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Reminder.lnk = D:\Program Files\Dont4Get\Reminder3_2.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = D:\Program Files\GetRight\getright.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://D:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://D:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://D:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - D:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - D:\Program Files\GetRight\GRbrowse.htm
O8 - Extra context menu item: Si&milar Pages - res://D:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: Print Using ClickBook (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/nl/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37867.3601851852
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{50550FBA-6F7A-44E5-A0C5-C65171D1D063}: NameServer = 195.121.1.34 195.121.1.66

sgrav000
 
Hoi sgrav000,

Vink deze 4 eens uit in msconfig:
O4 - Startup: Reminder.lnk = D:\Program Files\Dont4Get\Reminder3_2.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = D:\Program Files\GetRight\getright.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE

Start daarna opnieuw op.

Als dat helpt kun je ze altijd nog met HijackThis fixen om de onaangevinkte regels in msconfig weg te werken en de waarschuwing bij het opstarten te vermijden.

Groetjes,

Pieter
 
Hoi Pieter.
Pieter, die twee local Page starten bijna iedere keer opnieuw mee op, nadat ik alles gesloten heb en weer opnieuw opgestart heb. Kan ik deze ook laten staan?

Blue Thunder bedankt voor de info.
 
schicht.

Hallo Pieter,

Dank voor jouw reactie.

Ik heb de vier uit de msconfig verwijderd. Er is beslist wat verbetert: de frekwentie van de schichten is flink gedaald. Niettemin zijn de schichten niet geheel verdwenen. Ik heb nu in vier minuten twee gehad (voorheen om de 30 seconden 1).

Kan ik verder nog wat wegstrepen uit de msconfig?



sgrav000
 
Geplaatst door l.slaats.
Hoi Pieter.
Pieter, die twee local Page starten bijna iedere keer opnieuw mee op, nadat ik alles gesloten heb en weer opnieuw opgestart heb. Kan ik deze ook laten staan?

Blue Thunder bedankt voor de info.
Klik om te vergroten...

Kwaad kan het niet. Het zijn gewoon doodlopende links in het register.

Groetjes,

Pieter
 
Re: schicht.

Geplaatst door sgrav000

Kan ik verder nog wat wegstrepen uit de msconfig?
Klik om te vergroten...

In msconfig niet meer. Daar zijn alleen NAV, ZA en Messenger nog over.
Messenger is niet voor iedereen nodig, maar kost wat meer moeite om te verwijderen. Laat maar weten als je dat wil.

Heb je je services al eens uitgedund?
http://www.blackviper.com/WinXP/servicecfg.htm

En nieuwe videokaart-drivers installeren misschien?

Groetjes,

Pieter
 
schicht

De videodriver heb ik vanmorgen net vernieuwd. Er waren n.l. twee drivers die compatibel waren. Maar dit gaf geen verbetering. Deze spywareactie geeft een enorme verbetering. Ik heb AdAware (tot het laatst toe geupgrade en geupdate) de laatste tijd regelmatig de boel laten schoon maken. Niet afdoende dus. Zonet heb ik Spybot dat ik ook op mijn laptop heb zitten, geïnstalleerd. Die haalt er (na net AdAware gebruikt te hebben) een hele rij uit.

Ik ga nu de serices uitdunnen aan de hand van de lijst van Blackviper. Hoewel ik Messenger niet gebruik laat ik hem toch zitten. Het is immers een belangrijk onderdeel en hoort tot W XP, IE 6 en OE 6. Als die al problemen gaat veroorzaken kunnen we W XP ook wel inpakken. Ik vermoed dat de problemen veroorzaakt worden door niet ms programma's (spy of overschrijven dll's en vxd's).

Ik laat horen hoe het afloopt.

sgrav000
 
sgrav000,

msn messenger zit inderdaad ook geintegreerd in IE en outlook, maar dit is allemaal ook te verwijderen hoor.

Dus tja, als je het wilt horen we het wel ......

Ook spywareblaster en spywareguard zijn aanraders. Vooral spywareblaster kost je geen systeembronnen. DUs dat programma zou ik soiezo even installeren.

Wel even de updates binnen halen ..

http://www.javacoolsoftware.com/spywareblaster.html
http://www.wilderssecurity.net/spywareguard.html

Andere site voor je services is deze:

http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
 
Dit is alle zooi van mijn PC....
Maar dr sta echt veel zooi op hoor....


Logfile of HijackThis v1.97.2
Scan saved at 16:48:38, on 3-10-03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\HPGS2WND.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAM FILES\HEWLETT-PACKARD\DIGITAL IMAGING\UNLOAD\HPQCMON.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\MSBB.EXE
C:\HPGS2WNF.EXE
C:\WINDOWS\APPLICATION DATA\STFTHQUB.EXE
C:\WINDOWS\TEMP\ZALA1F6.TMP
C:\PROGRAM FILES\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://saoe.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://saoe.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jagertjehulst.nl/sherpas
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = about:blank
F1 - win.ini: run=hpfsched
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\hpgs2wnd.exe
O4 - HKLM\..\Run: [MS-Connect] C:\WINDOWS\SYSTEM\WEB.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [MS Updates] C:\WINDOWS\MSCACHE.EXE
O4 - HKLM\..\Run: [msbb] C:\WINDOWS\MSBB.EXE
O4 - HKLM\..\Run: [EasyDates_nl] C:\Program Files\ComSoft\Dialers\EasyDates_nl\EasyDates_nl.exe /dontdial
O4 - HKLM\..\Run: [CJZGH] C:\WINDOWS\CJZGH.exe
O4 - HKLM\..\Run: [ZJQWQRIOS] C:\WINDOWS\ZJQWQRIOS.exe
O4 - HKLM\..\Run: [uootri] C:\WINDOWS\APPLIC~1\stfthqub.exe -QuieT
O4 - HKLM\..\Run: [winactive] C:\PROGRAM FILES\WINDOW ACTIVE\WINACTIVE.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [WinVNC] "C:\PROGRAM FILES\ORL\VNC\WINVNC.EXE" -service
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunServices: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Microsoft Office Snelzoeken.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Trace (HKLM)
O9 - Extra 'Tools' menuitem: VisualRoute Trace (HKLM)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {A51DEDCD-20F7-11D4-98A5-00C0CA130748} (Tintel Class) - http://exe.dialer.tintel.nl/tcw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {AE6CEFA8-1223-4337-8D94-977268FF9AA0} (DownloadUL Class) - http://www2.skoobidoo.com/softwares/Download_UL.cab
O16 - DPF: {AB294EC6-7ADA-11D4-9D5F-00B0D04BBD07} (msichat50 Client Control) - http://www.globalchat.com/custom/nativeclient/msichat.cab
O16 - DPF: ChatSpace JavaLight Client - http://212.83.76.16/Java/cslt4.cab
 
Laatst bewerkt:
Hoi Noussy,

Vink de onderstaand zaken aan, sluit dan alle vensters behalve HijackThis en klik op Fix checked.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://saoe.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://saoe.com/searchbar.html
O4 - HKLM\..\Run: [MS-Connect] C:\WINDOWS\SYSTEM\WEB.EXE
O4 - HKLM\..\Run: [MS Updates] C:\WINDOWS\MSCACHE.EXE
O4 - HKLM\..\Run: [msbb] C:\WINDOWS\MSBB.EXE
O4 - HKLM\..\Run: [EasyDates_nl] C:\Program Files\ComSoft\Dialers\EasyDates_nl\EasyDates_nl.exe /dontdial
O4 - HKLM\..\Run: [CJZGH] C:\WINDOWS\CJZGH.exe
O4 - HKLM\..\Run: [ZJQWQRIOS] C:\WINDOWS\ZJQWQRIOS.exe
O4 - HKLM\..\Run: [uootri] C:\WINDOWS\APPLIC~1\stfthqub.exe -QuieT
O4 - HKLM\..\Run: [winactive] C:\PROGRAM FILES\WINDOW ACTIVE\WINACTIVE.EXE
O16 - DPF: {A51DEDCD-20F7-11D4-98A5-00C0CA130748} (Tintel Class) - http://exe.dialer.tintel.nl/tcw.cab
O16 - DPF: {AE6CEFA8-1223-4337-8D94-977268FF9AA0} (DownloadUL Class) - http://www2.skoobidoo.com/softwares/Download_UL.cab

Start daarna opnieuw op en verwijder:
C:\WINDOWS\SYSTEM\WEB.EXE
C:\WINDOWS\MSBB.EXE
C:\Program Files\ComSoft <= de hele map
C:\WINDOWS\APPLICATION DATA\stfthqub.exe
C:\PROGRAM FILES\WINDOW ACTIVE <= de hele map
C:\WINDOWS\MSCACHE.EXE
C:\PROGRAM FILES\MS-CONNECT <= de hele map

Lees dan het eerste bericht in dit topic en gebruik een van de twee daar genoemde programma's (AdAware of Spybot S&D) om de rest van de ellende op te ruimen.

Groetjes,

Pieter
 
Hey Pieter,

Hardstikke bedankt voor je hulpje:D
Wat heb je toch een kennis :rolleyes:
Da da
Bedankt he :D
Zo kom ik er wel aan uit :)

Dag Noussy
 
Niet gedacht dat ik hier nog eens zo posten, maar nis vraagt telkens toestemming voor iets (zonder naam) en wil toch weten of het spyware betreft...

Logfile of HijackThis v1.96.1
Scan saved at 10:01:08, on 4-10-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\AnalogX\NetStat Live\nsl.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\SpeedFan\speedfan.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\PROGRA~1\NORTON~3\NORTON~1\GHOSTS~2.EXE
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\Program Files\WinBar\WinBar.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\DllHost.exe
C:\Program Files\Hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.helpmij.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {7559B76E-0222-4d77-9499-CCE9EB4EDC2F} - C:\PROGRA~1\AdShield\AdShield\AdShield.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NetStat Live] C:\Program Files\AnalogX\NetStat Live\nsl.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O4 - Global Startup: SpeedFan.lnk = C:\Program Files\SpeedFan\speedfan.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Maintain Block List... - C:\PROGRA~1\AdShield\AdShield\maintain.htm
O8 - Extra context menu item: Add to &Block List... - C:\PROGRA~1\AdShield\AdShield\suppress.htm
O8 - Extra context menu item: Add to &Exclude List... - C:\PROGRA~1\AdShield\AdShield\restrict.htm
O8 - Extra context menu item: AdShield Option &Settings... - C:\PROGRA~1\AdShield\AdShield\settings.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: AdShield (HKCU)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37892.539375
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash4/cabs/swflash.cab

en startup list.


StartupList report, 4-10-2003, 10:05:23
StartupList version: 1.52
Started from : C:\Program Files\Hijack this\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\AnalogX\NetStat Live\nsl.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\SpeedFan\speedfan.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\PROGRA~1\NORTON~3\NORTON~1\GHOSTS~2.EXE
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\Program Files\WinBar\WinBar.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\DllHost.exe
C:\Program Files\Hijack this\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Documents and Settings\Arie Stigter\Menu Start\Programma's\Opstarten]
SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
WinBar.lnk = C:\Program Files\WinBar\WinBar.exe

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten]
SpeedFan.lnk = C:\Program Files\SpeedFan\speedfan.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ccApp = "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
ccRegVfy = "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
NetStat Live = C:\Program Files\AnalogX\NetStat Live\nsl.exe
DAEMON Tools-1033 = "C:\Program Files\D-Tools\daemon.exe" -lang 1033
tcactive = C:\Program Files\The Cleaner\tca.exe
QD FastAndSafe =

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

washindex = C:\Program Files\Washer\washidx.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

SpywareGuard Download Protection - C:\Program Files\SpywareGuard\dlprotect.dll - {4A368E80-174F-4872-96B5-0B27DDD11DB2}
(no name) - C:\PROGRA~1\AdShield\AdShield\AdShield.dll - {7559B76E-0222-4d77-9499-CCE9EB4EDC2F}
NAV Helper - C:\Program Files\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Norton AntiVirus - Scan my computer.job
Norton SystemWorks One Button Checkup.job
Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[Update Class]
InProcServer32 = C:\WINDOWS\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37892.539375

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://active.macromedia.com/flash4/cabs/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 5.472 bytes
Report generated in 0,047 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

Zit er iets tussen wat er niet in hoort?
Mijn kennis zegt van niet, maar wellicht de specialisten hier?
 
Geplaatst door Pieter Arntz


Hoi,

Doe eerst alleen maar de .exe, als ik het log echt nodig heb, vraag ik er nog wel even om.
Daar zou best wel wat in kunnen staan dat je liever voor jezelf houdt.

Groetjes,

Pieter
Klik om te vergroten...

sorry voor de late reactie, maar het bestand is onderweg.
 
Stigter,

Zoek op je computer het bestand: QDCSFS.exe

Ga dan in het register naar:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
en voeg in het rechtervenster achter:
QD FastAndSafe
het pad naar QDCSFS.exe toe

Verschijnt er dan een naam bij dioe mysterieuze boodschappen ?

Zoek anders even het IP adres uit waarmee het bestand contact wil maken.

http://www.pacs-portal.co.uk/startup_pages/startup_q.php
QD FastAndSafe QDCSFS.exe Automatically runs Fast & Safe clean-up from Norton/Quarterdeck Cleansweep. Deletes safe to remove files such as Temporary Internet Files (cache). Recommended you run it manually.

Groetjes,

Pieter
 
Geplaatst door jippiejajee


sorry voor de late reactie, maar het bestand is onderweg.
Klik om te vergroten...

Hoi,

Heb je een programma van deze firma in gebruik?

http://www.rhombustechnologies.com/

NOD32 vertrouwt het bestand niet in ieder geval:
Time Module Object Name Virus Action User Info
4-10-2003 13:42:04 IMON email message from: jippiejajee to: pieter with subject gestuurd door jippiejajee (helpmij_forum) dated Sat, 4 Oct 2003 11:32:41 +0200 probably unknown NewHeur_PE virus NETVISTA\Pieter

Groetjes,

Pieter
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan