log ivm messengerPlus!

2jane · 5 nov 2004

Hoi,
zoonlief heeft messengerPlus geinstalleerd en ik heb het er weer afgehaald.. Er blíjft echter een opstartitem te zien die maar blijft komen....

Ook met Hijack al verwijderd, maar de volgende opstart zit ie er weer. Zou iemand voor me willen kijken?

bvd Jane

Logfile of HijackThis v1.98.2
Scan saved at 5:00:25 PM, on 11/5/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Eset\nod32krn.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Eset\nod32kui.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
D:\Program Files\Desktop Calendar\Desktop Calendar.exe
D:\Program Files\stickies\stickies.exe
D:\WINDOWS\system32\rundll32.exe
D:\PROGRA~1\INCRED~2\bin\IBMain.exe
E:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IBBHO - {12BA043E-293E-4CE4-A8C7-8460934FE801} - D:\Program Files\IncrediBar\bin\IBBHO.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: IncrediBar - {D8073790-84C7-4602-BF77-C6ACBF1612E4} - D:\Program Files\IncrediBar\bin\IBTBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AWMON] "D:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe D:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "D:\DOCUME~1\ARJAEN~1\LOCALS~1\Temp\IXP000.TMP\"
O4 - HKCU\..\Run: [Desktop Calendar] D:\Program Files\Desktop Calendar\Desktop Calendar.exe
O4 - HKCU\..\Run: [STYLEXP] D:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Startup: Stickies.lnk = D:\Program Files\stickies\stickies.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Gelijkwaardige pagina's - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://D:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ontvang alles met FlashGet - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Ontvang met FlashGet - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://D:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: IncrediBar - {023FA804-DCE1-4817-94ED-6BA4200F9AF2} - D:\Program Files\IncrediBar\bin\IBTBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www5.incredimail.com/ib/setup/downloader/imloader.cab

-----
*edit: ohja, en wat is "O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe D:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "D:\DOCUME~1\ARJAEN~1\LOCALS~1\Temp\IXP000.TMP\""? sinds sp2 heb ik dit erop staan

H@ns · 6 nov 2004

Hoi Jane,

Hoe heeft zoonlief MSN Plus gede-installeerd dan? Kijk eens of hij nog tussen Configuratiescherm - Software staat? (Zo ja, weg er mee

)

Ik weet niet zo gauw wat die regel is die je in je edit opmerkte, maar gezien het vanuit de tijdelijke mappen draait mag hij gerust weg

1. Vink onderstaande aan in HijackThis:

O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe D:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "D:\DOCUME~1\ARJAEN~1\LOCALS~1\Temp\IXP000.TMP\"

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www5.incredimail.com/ib/setup/downloader/imloader.cab

2. Sluit alle andere vensters en browsers, en klik op Fix Checked.

3. Ga naar Start - Uitvoeren en type in:
%TEMP%
Klik op OK.

Verwijder nu ALLES wat IN deze map staat, en dus NIET de map zelf.

4. Start opnieuw op, maak een nieuw logje aan, en post dat hier.

2jane · 6 nov 2004

Hoi Hans,
bedankt voor het kijken.
Alles gedaan zoals je zei, alleen krijg ik 1 bestand niet weg. (DF2F8F.tmp). Heb alles afgesloten met alt-ctrl-del en alleen zonealarm draaide nog, explorer en de taakmanager.
Daarna opnieuw gestart, nu in veilige mode, als admin. Hijack gedraaid, hetzelfde stond er weer in. In de map temp was niets te zien. Weer opgestart, weer HJ, weer hetzelfde probleem. KOn nu 2 items niet verwijderen (df758A en DFAA3F). Naar Regedit gegaan, CurrentUser en LocalMachine, software, microsoft, run, -once ed en daar beiden verwijderd. Opnieuw gestart, HJ gedraaid, maar ze staan er allebei weer in.....

Enig idee hoe ik dit aan moet pakken?

groeten,
Jane
ohja, inderdaad problemen gehad met uninstallen van MPlus. Heb de rest handmatig verwijderd. Wel is, zover ik kan zien alles van de computer af.

2jane · 6 nov 2004

oh en Hans, deze heb ik ook maar verwijderd..

O4 - HKLM\..\Run: [MessengerPlus3] "D:\Program Files\Messenger Plus! 3\MsgPlus.exe

H@ns · 6 nov 2004

Fix de slechte regel(s) eens in veilige modus, en gooi daarna de hele tijdelijke map leeg.

Laat me weten of dat werkt

petje11 · 6 nov 2004

Even ter info, messenger plus kun je installeren zonder die spyware bende. Je krijgt tijdens het installeren een optie om plus met of zonder de sponsors te installeren. Doe dat ZONDER de sponsors en je zoon kan gewoon plus gebruiken zonder alle ellende.

2jane · 6 nov 2004

Hans, dat heb ik dus gedaan! In veilige modus zit er niets in de tempmap en dus ook niets uit te halen.
Maar bij opnieuw opstarten komt alles weer in het HJlog..

Petje, ook dat hebben we gedaan! Maar op de een of andere manier start messengerPlus! gewoon weer op, staat ook gewoon weer in regedit. Ik kan het niet uitstaan, tis me gewoon mijn eer te na dat ik het niet van mijn computer af kan krijgen!

groeten, Jane

petje11 · 6 nov 2004

Maareh, als je msn plus wilt gebruiken hoort ie daar ook.Anders werkt het niet.Wil je hem er helemaal af hebben moet je volgens mij ook msn messenger even deinstalleren. Als je daarna msn messenger weer installeert moet ie weg zijn volgens mij.

2jane · 6 nov 2004

ohh, kijk.. ja dat snap ik. Ik zal het zo gelijk even doen!

groeten,
Jane

2jane · 6 nov 2004

Msn Messenger verwijdert, maar nog steeds het zelfde resultaat. HJ laat weer dezelfde 2 items zien en in temp zijn ze niet te verwijderen. Wat nu?

H@ns · 6 nov 2004

Fix ze nogmaals, en draai daarna CleanUp:

- CleanUp!
>> Spreekt voor zich, installeren en draaien. Klik op de knop "CleanUp!" om al je tijdelijke mappen te legen.

2jane · 7 nov 2004

Hoi Hanzz,
Een fantastische cleaner moet ik zeggen, ik heb er veel geprobeerd, maar deze is erg grondig!
Toch staan ze wéér in mijn HJlog, allebei. Niet uit te roeien! Zijn er nog meer opties?

groeten,
Jane

H@ns · 8 nov 2004

Hoi Jane,

Nee, ik heb zo gauw geen idee meer wat de oorzaak zou kunnen zijn van het elke keer terug komen van deze regels

log ivm messengerPlus!

2jane

Gebruiker

H@ns

Terugkerende gebruiker

2jane

Gebruiker

2jane

Gebruiker

H@ns

Terugkerende gebruiker

petje11

Terugkerende gebruiker

2jane

Gebruiker

petje11

Terugkerende gebruiker

2jane

Gebruiker

2jane

Gebruiker

H@ns

Terugkerende gebruiker

2jane

Gebruiker

H@ns

Terugkerende gebruiker

Nieuwste berichten

Wij waarderen jouw privacy