Ik kom maar niet af van deze IE startpagina http://a-search.biz/?wmid=1010

[halvezool]

Gescand met AdAware SE en S&D

En ik krijg deze IE opstartpagina maar niet weg.

Logfile of HijackThis v1.98.2
Scan saved at 18:44:34, on 16-9-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE
C:\Program Files\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Utopia\Angel\Angel.exe
C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\Pavsrv51.exe
C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
G:\downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://frontpage.fok.nl/index.fok
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.paradigit.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Program Files\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [InstantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [Utopia Angel] "C:\Utopia\Angel\Angel.exe"
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.paradigit.nl

 

[H@ns]

Niets van een Hijacker te zien in je logje...

Draai eens CWShredder, start opnieuw op, en zie of de hijacker verdwenen is. Laat me ook weten of CWShredder iets vond ja of nee.

 

[halvezool]

Helaas, shredder vond wel een infected regestry maar probleem is niet opgelost.

Als ik IE start dan komt wel eerst mijn start pagina maar die bewerking wordt direct afgebroken en hij gaat door naar deze pagina http://a-search.biz/?wmid=1010, boven in de blauwe balk van deze pagina staat
blank Trusted Start Page|Microsoft Explorer.

Ik heb Hijack nog maar een keertje gedraait.

Logfile of HijackThis v1.98.2
Scan saved at 9:31:15, on 17-9-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE
C:\Program Files\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Utopia\Angel\Angel.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\Pavsrv51.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
G:\downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://frontpage.fok.nl/index.fok
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.paradigit.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Program Files\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Utopia Angel] "C:\Utopia\Angel\Angel.exe"
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.paradigit.nl

 

[H@ns]

Ik zou helaas niet weten hoe deze hijacker aan te pakken, als hij zelfs al niet zichtbaar is in hijackThis

 

[halvezool]

Kick

Iemand anders misschien?

 

[buffy]

Hoi Halvezool,


Laten we eens kijken of een StartDreck-log iets aan het licht brengt. Doe het volgende:

- download StartDreck: http://www.niksoft.at/php/dl.php?f=startdreck.zip (directe downloadlink)
- maak op je C:\ schijf een nieuwe map aan en noem die StartDreck
- unzip de inhoud van het zip-bestandje dat je hebt gedownload naar die map C:\StartDreck

- start StartDreck door te dubbelklikken op StartDreck.exe (dat dus in die map C:\StartDreck staat)
- klik op Config
- klik op Unmark all

- vink onder "Registry" het item Run Keys aan
- vink onder "System/Drivers" het item Running processes aan

- klik op OK
- klik op Save en selecteer de locatie waar je het log wilt opslaan (standaard is dat de StartDreck map, dus C:\StartDreck)

- open dat log in Kladblok, selecteer en kopieer het geheel (Bewerken -> Alles selecteren, Bewerken -> Kopiëren) en plak dat hier in je volgende bericht.

 

[halvezool]

Hier het gevraagde, ik hoop echt dat er iets te vinden is want het is erg lastig, bij het aan klikken van links komt die startpagina dus ook regelmatig alleen niet iedere keer.

StartDreck (build 2.1.7 public stable) - 2004-09-19 @ 00:22:00 (GMT +02:00)
Platform: Windows XP (Win NT 5.1.2600 Service Pack 1)
Internet Explorer: 6.0.2800.1106
Logged in as Jantjes at JANTJE

»Registry
»Run Keys
»Current User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\ctfmon.exe
*Utopia Angel="C:\Utopia\Angel\Angel.exe"
»RunOnce
»Default User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
*InstantTray=C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
*IW_Drop_Icon=C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
»RunOnce
»Local Machine
»Run
*NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
*nwiz=nwiz.exe /install
*NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
*PinnacleDriverCheck=C:\WINDOWS\System32\PSDrvCheck.exe
*Smapp=C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
*APVXDWIN="C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
*PCTVRemote=C:\Program Files\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
*KernelFaultCheck=%systemroot%\system32\dumprep 0 -k
*CloneDVDElbyDelay="C:\Program Files\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
*WinampAgent=C:\Program Files\Winamp\winampa.exe
*CloneCDTray="C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
*NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe
*Creative WebCam Tray=C:\Program Files\Creative\Shared Files\CamTray.exe
*CTRegRun=C:\WINDOWS\CTRegRun.EXE
»RunOnce
»RunServices
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Running Processes
+0=<idle>
+4=<system>
+580=\SystemRoot\System32\smss.exe
+632=\??\C:\WINDOWS\system32\csrss.exe
+660=\??\C:\WINDOWS\system32\winlogon.exe
+704=C:\WINDOWS\system32\services.exe
+716=C:\WINDOWS\system32\lsass.exe
+892=C:\WINDOWS\system32\svchost.exe
+1012=C:\WINDOWS\System32\svchost.exe
+1148=C:\WINDOWS\System32\svchost.exe
+1212=C:\WINDOWS\System32\svchost.exe
+1412=C:\WINDOWS\system32\spoolsv.exe
+1608=C:\WINDOWS\Explorer.EXE
+1776=C:\WINDOWS\System32\RUNDLL32.EXE
+1792=C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
+1800=C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE
+1808=C:\Program Files\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
+1840=C:\Program Files\Winamp\winampa.exe
+1912=C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
+1936=C:\WINDOWS\System32\ctfmon.exe
+1952=C:\Utopia\Angel\Angel.exe
+1964=C:\WINDOWS\System32\rundll32.exe
+1972=C:\Program Files\MSN Messenger\MsnMsgr.Exe
+2024=C:\WINDOWS\System32\nvsvc32.exe
+2044=C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
+148=C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\Pavsrv51.exe
+164=C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
+260=C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
+452=C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
+1328=C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
+2180=C:\WINDOWS\System32\wuauclt.exe
+2352=C:\WINDOWS\System32\svchost.exe
+3728=C:\WINDOWS\System32\rsvp.exe
+2744=C:\Program Files\Messenger\msmsgs.exe
+376=C:\Program Files\Internet Explorer\iexplore.exe
+3820=C:\startdreck\StartDreck.exe
»Application specific

 

[buffy]

Geplaatst door halvezool
Hier het gevraagde, ik hoop echt dat er iets te vinden is want het is erg lastig, bij het aan klikken van links komt die startpagina dus ook regelmatig alleen niet iedere keer.

Helaas, ook StartDreck brengt de oorzaak niet aan het licht.

Ik zoek en denk verder voor je, maar vannacht niet meer.

 

[H@ns]

Ik heb hetzelfde op een ander forum gehad, en daar hielp het volgende:

1. Download en draai CleanUp!

2. Start opnieuw op in veilige modus, en draai CleanUp! opnieuw.

3. Start opnieuw op in normale modus, en laat me weten of de problemen opgelost zijn ja of nee

 

[halvezool]

Alles precies gedaan zo als gevraagt, maar helaas.

 

[buffy]

Hoi Halvezool,

- download DLL-Compare en plaats het in een eigen map: http://download.broadbandmedic.com/DllCompare.exe

- start het tooltje door op DllCompare.exe te dubbelklikken

- klik op "Run Locate.com" en wacht tot er (in blauwe letters) "Completed the Scan. Click Compare to Continue" staat (het duurt maar een paar tellen)

- klik op de knop "Compare" en wacht tot er (in blauwe letters) "Completed" staat

- in het bovenste venster zie je een hele lijst bestanden staan; doe daar niets mee

- in het onderste venster staat misschien een klein aantal bestanden; staan die er, doe dan voor elk van die bestanden het volgende: rechtsklik erop en kies "Rescan" (Windows gaat dan zoeken en mogelijkerwijs wordt het bestand van de lijst verwijderd)

- heb je dat gedaan voor alle bestanden die (eventueel) in het onderste venster staan, klik dan op "Make a Log of what was found"

- Kladblok opent met een log erin. Kies Bewerken -> Alles selecteren en dan Bewerken -> Kopiëren en plak het geheel in je volgende bericht

 

[halvezool]

Helaas geen enkele file in het onderste vakje

* DLLCompare Log version(1.0.0.125)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found "
________________________________________________

1.270 items found: 1.270 files, 0 directories.
Total of file sizes: 270.392.604 bytes 257,86 M

Administrator Account = True

--------------------End log---------------------

 

[DarkKiller]

Hey,

Ik heb precies het zelfde probleem, en kan er maar niet vanaf komen, heb spybot, spysweeper, adaware en norton antivirus erop laten zoeken, maar ze vinden nix...
kheb zelfs mn register doorgespit!

Kan iemand mij vertellen hoe ik hier vanaf kan komen?

 

[H@ns]

Halvezool, volg de onderstaande instructies uit en post dat logje ervan hier,

DarkKiller,
Volg ook deze instructies op, en post een log daarvan in een nieuw topic.

Download GetService.zip

Pak het uit naar een nieuwe map op je bureaublad. Dubbelklik op de GetService.bat om het te draaien. Dit zal een nieuw tekstbestand maken en openen, genaamd "getservice.txt". Dit wordt geplaatst in dezelfde map waarvan je de .bat draaide.

Getservice.txt zal een lijst maken van alle actieve services. Kopier en plak de inhoud hiervan in je volgende antwoord.

(het antwoord kan even duren)

 

[indy123456789]

Ik had hetzelfde probleem, en heir is mijn oplossing:

Het is geen browser-hijack, maar een virus.
Gevonden op een duits forum.

Download dit anti-virus programma:
http://www.mwti.net/antivirus/free_utilities.asp

Gewoon scan clean runnen en NIET herstarten.

Zie vervolg: 2 posts verder.

 

[DarkKiller]

Thanks, ik zal het proberen :thumb:

 

[indy123456789]

IETS VERGETEN! BELANGRIJK!

Als je het tooltje gebruikt hebt, moet je nog iets controleren vooraleer je opstart:

Namelijk een regel in het register:
Key: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Value: Userinit
Data: %System32%\userinit.exe

Als hier als data staat:
"%System32\wsaupdater.exe%"

Verander het dan terug naar het eerste. Anders zal je niet meer kunnen inloggen.

Als het al te laat is, en je hebt dit probleem al dan moet je je register van het laatste systeemherstel terugzetten. Zie site microsoft:
http://support.microsoft.com/default.aspx?kbid=307545

Mijn excuses als je dit probleem al hebt, maar ik heb het ook gehad.
Ik hoop dat je dit nog op tijd leest.

 

[DarkKiller]

BEDANKT!..................

beetje laat jah, ik kan nu nie meer in mn windows
mag ik weer lekker met registery enzo gaan graven, en daar heb ik al een hekel aan
hardstikke bedankt.........

 

[H@ns]

Hola killertje, Indy wilde alleen maar helpen en dat ging goed ook. Nu moet je niet doen alsof indy het verkeerd heeft gedaan...

 

[DarkKiller]

...........

ja ok, maar toen ik dit al had geprobeerd, las ik de bijwerkingen pas afteraf, en dus ben ik nu verder heen met mn PC dan eerst..... Nu moet ik graven in mn registery enzo..... niet echt wat de bedoelling was, vooral omdat ik mn PC nu broodnodig heb, daarom hoop ik dat je begrijpt waarom ik best wel boos ben.....