Mijn startpagina wordt telkens aangepast

[Mirandaverburg]

Ik heb normaal www.startpagina.nl, maar nu krijg ik al dagen 24start.com dat op de C schijf staat. Ik heb het bestandje daar weg gehaald en www.startpagina.nl op nieuw ingesteld via internet opties.

C:\Program Files\MS-Connect\Portal\portal.html

Waarom komt dan iedere keer die pagina weer terug als ik de computer opnieuw opstart?

Ik heb adware er op los gelaten, maar dat helpt niet.

HELP!!!

 

[Pieter Arntz]

Hoi,

Download HijackThis. Uitleg en link vind je hier: http://www.tomcoyote.org/hjt/
Unzip en run het. Klik op Scan > Save log en sla het log op als een .txt bestand.
Kopieer en plak de inhoud in je volgende post. Dan kijken we wel even of we kunnen zien welke naarling dat doet.

Groetjes,

Pieter

 

[Mirandaverburg]

Daar is ie

Hier staan toch geen persoonlijke IP nummers of iets dergelijks in of wel?

Logfile of HijackThis v1.94.0
Scan saved at 15:32:36, on 13-6-2003
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://g.msn.nl/0SESA/nlnl?http://www.ilse.nl/msie/?search_for=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina=file:///C:/Program%20Files/MS-Connect/Portal/portal.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\System32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=%SystemRoot%\system32\blank.htm
O1 - Hosts: 216.239.37.101 www.kazaagold.com
O1 - Hosts: 216.239.37.101 kazaagold.com
O1 - Hosts: 216.239.37.101 www.k-lite.com
O1 - Hosts: 216.239.37.101 www.kazaa-download.de
O1 - Hosts: 216.239.37.101 www.mp3downloadhq.com
O1 - Hosts: 216.239.37.101 www.easymusicdownload.com
O1 - Hosts: 216.239.37.101 easymusicdownload.com
O1 - Hosts: 216.239.37.101 www.mp3madeeasy.com
O1 - Hosts: 216.239.37.101 www.monstershare.com
O1 - Hosts: 216.239.37.101 www.kazaa-plus.net
O1 - Hosts: 216.239.37.101 kazaa-plus.net
O1 - Hosts: 216.239.37.101 www.kazaa-plus.com
O1 - Hosts: 216.239.37.101 www.edonkey.com
O1 - Hosts: 216.239.37.101 www.kazaa-file-sharing-downloads.com
O1 - Hosts: 216.239.37.101 www.kazaaplatinum.com
O1 - Hosts: 216.239.37.101 www.madeformusic.com
O1 - Hosts: 216.239.37.101 ikazaa.net
O1 - Hosts: 216.239.37.101 www.mp3u.com
O1 - Hosts: 216.239.37.101 www.mp3specialty.com
O1 - Hosts: 216.239.37.101 music-download-world.com
O1 - Hosts: 216.239.37.101 song-download-world.com
O1 - Hosts: 216.239.37.101 www.flixs.net
O1 - Hosts: 216.239.37.101 www.ishareit.net
O1 - Hosts: 216.239.37.101 www.ishareit.com
O1 - Hosts: 216.239.37.101 www.download-doctor.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\adobe\insall\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton antivirus B\norton antivirus instal\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton antivirus B\norton antivirus instal\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [KAZAA] "E:\Jaime Programma's\Kazaalite2.1.0\Programma\Kazaa Lite\kpp.exe" "E:\Programma's\Kazaalite2.1.0\Programma\Kazaa Lite\kazaalite.kpp" /SYSTRAY
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\ADSL_USB20_win\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SM56ACL] sm56hlpr.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] D:\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [MS7531] "C:\WINDOWS\System32\ms7531.exe"
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [Jet Detection] D:\soundblaster\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Fortis Secure Layer Config] cseinst.exe -o-h
O4 - HKLM\..\Run: [AudioHQ] d:\soundblaster\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MS-Connect] C:\WINDOWS\System32\cdm.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O10 - Unknown file in Winsock LSP: c:\windows\system32\csesck32.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\csesck32.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\csesck32.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\csesck32.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\csesck32.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\csesck32.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/terraexplorer/install/TEInstallPlugIn.cab
O16 - DPF: {214868A8-F71B-473E-8ECF-6EE1DE6B91D8} - http://pms.localscripts.nl/plugins/2/ms7531_nl.cab
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://www.luchtfotoservice.nl/ab/plugin/plugin.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/21a2d5aa2b87f266a205/netzip/RdxIE601.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37653.6327893519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab

 

[Pieter Arntz]

Hoi Miranda,

Dit is maar een klein stukje.
En nee, er staat niets in dat je privacy zou kunnen schaden.

Groetjes,

Pieter

 

[Mirandaverburg]

Pardon

Ik had hem niet helemaal, maar nu wel.

 

[Mirandaverburg]

Uhm

Ik heb de start pagina blank gemaakt zoals het in het overzicht staat, maar dat wordt dus steeds aangepast. Inmiddels heb ik weer www.startpagina.nl staan, maar voor hoe lang?

 

[Pieter Arntz]

Toch alles gezien.

Vink de onderstaande aan, sluit alle IE, OE en verkenner vensters en klik op Fix checked:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina=file:///C:/Program%20Files/MS-Connect/Portal/portal.html
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MS7531] "C:\WINDOWS\System32\ms7531.exe"
O4 - HKLM\..\Run: [MS-Connect] C:\WINDOWS\System32\cdm.exe
O16 - DPF: {214868A8-F71B-473E-8ECF-6EE1DE6B91D8} - http://pms.localscripts.nl/plugins/2/ms7531_nl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/21a2d5aa2b87f2...ip/RdxIE601.cab

Start daarna opnieuw op. Je bent trouwens de eerste bij wie ik meerdere van die dialers heb gevonden.

Verwijder daarna (best in veilige modus) de hele map Program Files\MS-Connect
het bestandje ms7531.exe en zou je mij cdm.exe willen sturen (die is nieuw) en daarna mag die ook weg.

Groetjes,

Pieter

 

[Mirandaverburg]

Ok

Waar kan ik "Fix checked" vinden?

Die nummers in mijn eerdere berichtje, zijn dat geen IP nummers?

 

[Mirandaverburg]

Oeps

Ik heb hem al.

 

[Pieter Arntz]

In HijackThis als je scan gedaan hebt zit er naast de Save log knop een Fix checked knop. Dat is hem.

Dit is een IP adres 216.239.37.101 (van Google)

Groetjes,

Pieter

 

[Bennie]

Er zit nog meer rotzooi tussen:

O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interact...stallPlugIn.cab
O16 - DPF: {214868A8-F71B-473E-8ECF-6EE1DE6B91D8} - http://pms.localscripts.nl/plugins/2/ms7531_nl.cab
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://www.luchtfotoservice.nl/ab/plugin/plugin.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) -

Pieter, mogen de volgende ook niet weg?

O10 - Unknown file in Winsock LSP: c:\windows\system32\csesck32.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\csesck32.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\csesck32.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\csesck32.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\csesck32.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\csesck32.dll

Groetjes,
Bennie

 

[Mirandaverburg]

Hoi

Waar kan ik ms7531.exe en cdm.exe vinden?

 

[Bennie]

De mapnaam staat erbij vermeld:

O4 - HKLM\..\Run: [MS7531] "C:\WINDOWS\System32\ms7531.exe"
O4 - HKLM\..\Run: [MS-Connect] C:\WINDOWS\System32\cdm.exe

Misschien zijn het verborgen bestanden. Via configuratiescherm\mapopties kan je ervoor zorgen dat ze zichtbaar zijn.

Groetjes,
Bennie

 

[Pieter Arntz]

Re: Hoi

Geplaatst door Mirandaverburg
Waar kan ik ms7531.exe en cdm.exe vinden?

Ze zouden allebei in C:\Windows\System32 moeten staan.

@Bennie,

Ik verwijder die Winsock verwijzingen liever niet. Ze zouden van een virusscanner, firewall o.i.d. kunnen zijn.
HijackThis geeft ze niet aan, als ze bekend zijn als goed. Als ze bekend staan als slecht, dan staat erbij wat het is. (bv New.Net)

Groetjes,

Pieter

 

[Pieter Arntz]

Aanvulling @Bennie,

Ze zouden hierbij kunnen horen:
O4 - HKLM\..\Run: [Fortis Secure Layer Config] cseinst.exe -o-h

Verzekeringtechnisch gezien, niet handig om dan te verwijderen.

Groetjes,

Pieter

 

[Bennie]

Pieter, daarom vroeg ik het ook maar ik vertrouw die csesck32.dll voor nog geen halve cent. Temeer, daar ik over dat delletje helemaal niets kan vinden:8-0:

Groetjes,
Bennie

 

[Bennie]

Ah! Er valt een halve cent

Groetjes,
Bennie

 

[Mirandaverburg]

Hoi

O4 - HKLM\..\Run: [Fortis Secure Layer Config] cseinst.exe -o-h

Hierboven is van internetbankieren, dus die laat ik staan als je het goed vindt.

Pieter, Ik heb alles aangevinkt wat jij zei en heb daarna het hele bestand ms-connect verwijderd. Ik weet alleen niet waar ik ms7531 en cdm.exe kan vinden.

Moet ik nog meer bestanden verwijderen?

 

[Pieter Arntz]

Re: Hoi

Geplaatst door Mirandaverburg
O4 - HKLM\..\Run: [Fortis Secure Layer Config] cseinst.exe -o-h

Hierboven is van internetbankieren, dus die laat ik staan als je het goed vindt.

Vinden we helemaal niet erg.

Pieter, Ik heb alles aangevinkt wat jij zei en heb daarna het hele bestand ms-connect verwijderd. Ik weet alleen niet waar ik ms7531 en cdm.exe kan vinden.

Moet ik nog meer bestanden verwijderen? [/B]

Als je ze niet kunt vinden kun je ze ook niet runnen, maar ik zou me wat geruster voelen, als ik wist dat ze echt weg waren.
Heb je alle verborgen bestanden zichtbaar gemaakt zoals Bennie zei?

Groetjes,

Pieter

 

[Bennie]

Nog iets meer uitleg over die verborgen bestanden:

Maak verborgen bestanden zichtbaar via configuratiescherm\mapopties\weergave. Vinkje weghalen bij "beveiligde besturingssysteembestanden, etc." en "vinkje bij verborgen bestanden en mappen weergeven".

Vinkjes mogen ná de operatie weer terug

Het is overigens goed mogelijk, dat ze al foetsie zijn. Het plaatsen van een nieuwe log zal dat aantonen

Groetjes,
Bennie