log na advies

[Rhye]

2. Vink bovenstaande aan in HijackThis, sluit alle andere vensters en browsers, en klik op Fix Checked.

3. Start opnieuw op in veilig emodus, en verwijder:
C:\WINDOWS\SYSTEM\WINN321.EXE << bestand

Hoi Hans,

Ik heb je advies opgevolgd.
Het exe bestandje hierboven bleek na het fixen echter al verdwenen.
Hieronder staat de situatie zoals deze nu is.
Zou je hier nog even naar willen?
Alvast bedankt.

groet,
Rhye

Logfile of HijackThis v1.98.2
Scan saved at 21:08:02, on 2-9-04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAM FILES\MESSENGER PLUS! 2\MSGPLUS.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\HIJACKTHIS 1.98.2\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = ,
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = http://www.startpagina.nl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.planet.nl:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = reg.planet.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Voodoo2] rundll32.exe 3dfxv2ps.dll,UpdateRegSettings
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O12 - Plugin for .avi: C:\PROGRA~1\Intern~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .bmp: C:\PROGRA~1\Intern~1\PLUGINS\npqtplugin.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab

 

[H@ns]

Geplaatst door Rhye

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = ,

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

Hoi Rhye,

Zo te zien toch weer wat erbij gehaald, als is het niet veel

1. Fix bovenstaande in HijackThis met alle andere vensters en browsers gesloten.

2. Start opnieuw op, en plaats voor de zekerheid nog even een nieuw logje hier

 

[Rhye]

Hoi Hans,

Heb je raad weer opgevolgd, maar ben helaas weinig succesvol.
Het eerste item liet zich eenvoudig fixen, maar de overige drie absoluut niet.

Meestal lijkt het fixen goed te gaan tot ik ga herstarten/afsluiten. De computer geeft eerst een foutmelding; fatale uitzondering OE op 0028:C29B3548 in vxd PCIMP(01) + 00001C08. Hierna loopt de computer vast.

Bij andere pogingen gaf Hijack This al een foutmelding dat er een unexpected error optrad bij het proberen te fixen (error #58 file already exists)

Ik heb het ook een keer in de veilige modus geprobeerd. Hierbij geen foutmeldingen of vastlopers, maar na herstarten stonden ze er gewoon weer

Heb jij misschien nog een goede tip voor me? Ik zit zelf even muurvast hiermee.

groeten,
Rhye

p.s. kom hier misschien pas over een week op terug in verband met vakantie, maar in ieder geval alvast bedankt!

 

[Rhye]

Hoi Hans,

Ben weer terug en kan er weer tegenaan, maar m'n pc helaas nog niet .
Zou je voor mij ajb nog een keer naar bovenstaand bericht willen kijken?

groeten,
Rhye

 

[buffy]

Hoi Rhye,

Wil je even een nieuw log maken en dat hier plaatsen? Dan zal ik kijken wat ik voor je kan doen.

 

[Rhye]

Hoi Buffy,

Bedankt voor je hulp.
Ik heb opnieuw met Spybot en Adaware gescand.
De laatste gaf aan dat hij onderstaand bestand niet kon verwijderen omdat het in gebruik was:
c:\windows\system\cpgwiz.dll

Hieronder de logfile die eruit kwam rollen:

Logfile of HijackThis v1.98.2
Scan saved at 14:48:46, on 11-9-04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAM FILES\MESSENGER PLUS! 2\MSGPLUS.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAM FILES\HIJACKTHIS 1.98.2\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = http://www.startpagina.nl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.planet.nl:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = reg.planet.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Voodoo2] rundll32.exe 3dfxv2ps.dll,UpdateRegSettings
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKCU\..\Run: [MyDailyHoroscope] C:\PROGRA~1\MYDAIL~1\MYDAIL~1.EXE
O12 - Plugin for .avi: C:\PROGRA~1\Intern~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .bmp: C:\PROGRA~1\Intern~1\PLUGINS\npqtplugin.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab

alvast bedankt en groeten,
Rhye

 

[buffy]

Hoi Rhye,

Dat cpgwiz.dll riekt naar VX2.ABetterInternet.


Probeer het volgende:

1. Download en unzip CWShredder alvast, maar gebruik het nog niet: http://www.majorgeeks.com/download4086.html

2. Herstart de pc in veilige modus.

3. Scan (in veilige modus dus) met HijackThis en vink de volgende items aan:

O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 auto.search.msn.com

O4 - HKCU\..\Run: [MyDailyHoroscope] C:\PROGRA~1\MYDAIL~1\MYDAIL~1.EXE

Klik op "Fix checked".

4. Draai (nog steeds in veilige modus) CWShredder. Gebruik de Fix knop.

5. Herstart in normale modus.

6. Download VX2.BetterInternet Finder 9x: http://www.downloads.subratam.org/VX2Finder9x.exe (directe downloadlink)

- start het tooltje
- klik op "Click to find VX2.BetterInternet"
- klik op "Make log"
- kopieer dat log en plak dat hier in je volgende bericht

NB: doe verder niets met het tooltje! Niets gaan deleten, alléén het log maken en dat hier plaatsen.

7. Maak een nieuw HijackThis-log en plaats ook dat log in je volgende bericht.

 

[Rhye]

Hoi Buffy,

hieronder eerst het VX2.betterInternet log en dan de HijackThis log.

Log for VX2.BetterInternet File Finder

Files Found---


User Agent String---
{13323581-FC15-11D8-BDE2-0040F44C297A}


Logfile of HijackThis v1.98.2
Scan saved at 13:51:38, on 12-9-04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAM FILES\MESSENGER PLUS! 2\MSGPLUS.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAM FILES\HIJACKTHIS 1.98.2\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = http://www.startpagina.nl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.planet.nl:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = reg.planet.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Voodoo2] rundll32.exe 3dfxv2ps.dll,UpdateRegSettings
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O12 - Plugin for .avi: C:\PROGRA~1\Intern~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .bmp: C:\PROGRA~1\Intern~1\PLUGINS\npqtplugin.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab

groeten,
Rhye

 

[buffy]

Hoi Rhye,

Beide logs zijn schoon.

Heb je nog problemen?
Vindt AdAware nu nog dat bestand dat niet verwijderd kan worden?

 

[Rhye]

Hoi Buffy,

Ondanks de "schone" logs bleef ik problemen houden. Het ging dan nog steeds om vervelende pop-ups en pagina's die zichzelf automatisch openen om de paar minuten. Het ging hierbij dan vooral om:

http://www.xzoomy.com/stc.php?stid=honderd

(Hierbij hoort het laatste woord in cijfers geschreven te worden, maar ik wil voorkomen dat iemand per ongeluk de link gebruikt)

Als ik hierna met control/alt/delete m'n actieve applicaties bekeek stond er steevast "install100" in het rijtje en soms wel meerdere keren.

Ook die dll die zich niet door Adaware liet verwijderen (c:\windows\system\cpgwiz.dll) was er nog steeds en liet zich nog steeds niet verwijderen. Sterker nog; er was er eentje bij gekomen (c:\windows\system\nuswan16.dll).

Ik heb hierna alles maar weer opnieuw gedaan (Spybot, Adaware, CWShredder) en met HijackThis weer een aantal dezelfde items (die weer terug waren) verwijderd.

Ik heb nu via ZoneAlarm het programma "install100.exe" en een programmaatje met de dubieuze naam "een DLL als toepassing starten" geblokt en dit lijkt te werken. Weet nu echter niet zeker of alle troep van m'n computer verdwenen is, maar kan zo wel weer probleemloos verder.

Ik heb nog wel een recent Hijack log bijgevoegd. Zou je zo vriendelijk willen zijn hier nog even voor mij naar te kijken?

Alle waardering voor je tijd en hulp. Echt fantastisch !!!!

groeten, Rhye

Logfile of HijackThis v1.98.2
Scan saved at 23:21:07, on 12-9-04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAM FILES\MESSENGER PLUS! 2\MSGPLUS.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\PROGRAM FILES\HIJACKTHIS 1.98.2\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = http://www.startpagina.nl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.planet.nl:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = reg.planet.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Voodoo2] rundll32.exe 3dfxv2ps.dll,UpdateRegSettings
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O12 - Plugin for .avi: C:\PROGRA~1\Intern~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .bmp: C:\PROGRA~1\Intern~1\PLUGINS\npqtplugin.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab

 

[buffy]

Hoi Rhye,

Bedankt dat je zo veel informatie verschaft en niet zomaar 'pats boem' een log plaatst (dat laatste doen de meeste mensen helaas wel). Heel goed ook dat je die URL "onklikbaar" hebt gemaakt.

In je HijackThis-log is niets van het probleem te zien. Maar dankzij jouw duidelijke informatie weet ik nu wel in welke richting ik het moet zoeken, denk ik. Ik ga voor je aan de slag.

Heb je trouwens ook in veilige modus geprobeerd om die foute dll-bestanden te verwijderen? Zo nee, probeer dat dan. Zo ja, probeer ze dan te verwijderen met The Killbox: http://www.downloads.subratam.org/KillBox.zip
De "Delete on Reboot" functie werkt waarschijnlijk het best.

 

[Rhye]

Hoi Buffy,

Ik had al eerder geprobeerd de dll's in veilige modus te verwijderen, maar dit lukte toen niet.
Gisteren toch maar weer een keer geprobeerd en nu lukte het wel

Ik heb daarna de verdachte apllicaties in ZoneAlarm weer ge-unblockd, en zelfs toen bleef alles probleemloos lopen. Kortom: ik ben weer vrij van rotzooi

Hartelijk bedankt voor je hulp, echt fantastisch dat jij (en een aantal anderen) iedere keer weer de moeite nemen om rookies zoals ik te helpen :thumb:

Kan je me misschien vertellen of het raadzaam is nu Spywareblaster te installeren om dit soort dingen in de toekomst te voorkomen? Of zijn er betere alternatieven?

Na je antwoord zal ik deze thread op "opgelost" zetten.

groeten,
Rhye

 

[buffy]

SpywareBlaster is super! Dat moet je zondermeer installeren. Het zal niet álles voorkomen, maar wel veel. En het mooie is dat je totaal niets van het programma merkt. Het hoeft niet te draaien en gebruikt dus totaal geen systeembronnen!

Een ander goed middel ter preventie is IE-Spyad. Als je dat installeert, worden allerlei kwaadwillende websites onschadelijk gemaakt doordat ze in de "Websites met beperkte toegang" worden gezet. Kijk hier voor uitleg: http://home.planet.nl/~kleyn080/Spywareinfonl.html#ie-spyad


Ik plak hier ook nog even het standaard verhaaltje dat ik sinds kort vaak toevoeg nadat ik een pc heb schoongemaakt (want voorkomen is per slot van rekening beter dan genezen):


1. Installeer SpywareBlaster. Dat kleine programma brengt zogenaamde "kill bits" aan het register, zodat veel spyware niet meer kán binnenkomen.

Download het hier: http://www.javacoolsoftware.com/spywareblaster.html
Haal de nieuwste updates binnen door op "Download Latest Protection Updates" te klikken.
Klik vervolgens, en dit is belangrijk, op "Enable All Protection".
Je kunt het programma dan afsluiten, het hoeft niet eens te draaien om zijn werk te doen! Open het alleen af en toe om te kijken of er updates zijn.


2. Pas je beveiligingsinstellingen in Internet Explorer aan, want die staan standaard lang niet streng genoeg.

Kies in IE voor Extra -> Internet-opties -> Beveiliging -> Internet -> Aangepast niveau.

Kies bij "ActiveX-besturingselementen en -invoegtoepassingen" de volgende instellingen:

- ActiveX-besturingselementen met handtekening downloaden: Vragen

- ActiveX-besturingselementen zonder handtekening downloaden: Vragen

- ActiveX elementen die niet zijn gemarkeerd als veilig initialiseren en uitvoeren in scripts: Uitschakelen


3. Wees een beetje voorzichtig met wat je allemaal aanklikt op internet. Kijk ook altijd uit met het installeren van programma's. Lees goed waarmee je precies akkoord moet gaan bij de installatie. Vooral als software gratis is, is een gezond wantrouwen op zijn plaats.


4. Je zou ook kunnen overwegen een andere browser dan IE te gaan gebruiken, aangezien IE nu eenmaal erg vatbaar is voor dit soort problemen.

Bijvoorbeeld:
- Mozilla Firefox: http://www.mozilla.org/products/firefox/
- Opera: http://www.opera.com/