ms-connect is terug

[lisa02]

Vraag me niet hoe, maar ms-connect is terug, te zien aan het gele vlakje met blauw vraagteken rechts onderin.
Hieronder mijn hijack gegevens. Welke moeten er weg ?
Logfile of HijackThis v1.94.0
Scan saved at 23:05:37, on 3-6-03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=file:///C:/Program%20Files/MS-Connect/Portal/portal.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default)=about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina=file:///C:/Program%20Files/MS-Connect/Portal/portal.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=c:\windows\SYSTEM\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [MS-Connect] C:\WINDOWS\SYSTEM\WEB.EXE
O4 - HKLM\..\RunServices: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKCU\..\Run: [AutoSizer] "C:\PROGRAM FILES\AUTOSIZER\AUTOSIZER.EXE" /h
O4 - Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .au: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {0C568603-D79D-11D2-87A7-00C04FF158BB} (BrowseFolderPopup Class) - http://download.mcafee.com/molbin/Shared/MGBrwFld.cab

Zelf heb ik al even zitten kijken en denk dat alles war MS-connect in staat weg moet, maar waarschijnlijk zie ik nog wel wat over het hoofd

 

[Kleinkramer]

Deze inderdaad:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=file:///C:/Program%20Files/MS-Connect/Portal/portal.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina=file:///C:/Program%20Files/MS-Connect/Portal/portal.html

O4 - HKLM\..\Run: [MS-Connect] C:\WINDOWS\SYSTEM\WEB.EXE

Vervolgens even opnieuw opstarten, en C:\WINDOWS\SYSTEM\WEB.EXE wissen.

En ik zou eens wat aan je beveiligingsinstellingen doen.

Ik heb daar hier iets over geschreven (wel in het Engels):

So how on earth did I get all this spyware in the first place?

 

[m@rio]

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=file:///C:/Program%20Files/MS-Connect/Portal/portal.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina=file:///C:/Program%20Files/MS-Connect/Portal/portal.html

Deze 2 verwijzen ook nog naar msportal

 

[lisa02]

Bedankt voor de hulp. Heb je adviezen opgevolgd, alleen nog niet wat je in het Engels aangaf bij aangepast niveau van Internet opties-beveiliging. Kun je dit iets duidelijker aangeven wat ik moet aanvinken en wat niet ?

 

[lisa02]

Nog even een aanvullende vraag. Nadat ik had gedaan wat je zei heb ik met opdracht "zoeken" nog eens gezocht naar ms-connect. Deze kwam er toch nog een keer uit, met als onderliggende mappen: portal, cached connections en icons. Ik neem aan dat ik deze ook nog moet verwijderen

 

[Kleinkramer]

De map MS-Connect moet inderdaad ook weg.

En wat betreft de opties in Beveiliging, is het een goede leidraad om in ieder geval alle opties voor ActiveX die nu nog op "inschakelen" staan, op "vragen" te zetten.

Dan gebeurt er tenminste niets meer achter je rug.

Groetjes,

 

[lisa02]

Ok, gedaan wat je zei. Bedankt voor je snelle reactie

:thumb:

 

[Kleinkramer]

Graag gedaan!

 

[Chardonmar]

Joepie

Hoi allen,

Ik weet niet wat ik heb gedaan van dat ms-connect, ik heb een tijdje zitten lezen, hijack gedownd, nog niet uitgepakt, maar eerst via ctr-alt-del, web.exe verwijderd, toen uit system32 verwijderd, de hele map ms-connect, compu opnieuw opgestart en het vraagtekentje komt gewoon niet meer terug, ik sta versteld, maar ik ben bang dat het te makkelijk klinkt, hopen maar dat het echt niet meer terugkomt. Ik baalde ervan, komt het nou door de nieuwe beta versie van msn? Verstandig om dat te verwijderen? Of zou ik nu echt geen last meer hebben.

Duimen maar dan he

Groetjes van Joyce

 

[Pieter Arntz]

Hoi Joyce,

Zoals jij het gedaan hebt blijven deze twee waarschijnlijk in je register hangen:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=file:///C:/Program%20Files/MS-Connect/Portal/portal.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina=file:///C:/Program%20Files/MS-Connect/Portal/portal.htm

Aangezien de pagina waar ze naar verwijzen verdwenen is (zaten in de map MS-Connect) zou je daar een foutmelding over kunnen krijgen.

Groetjes,

Pieter

 

[Chardonmar]

geen idee

Hoi weer,

Ik heb het register nagezocht, maar die sleutels zijn nergens, dus ik hoop maar dat alles goed is gegaan, anders dan vraag ik wel ff om hulp is dat goed?

Groetjes van Joyce

 

[Pieter Arntz]

Daar zijn we toch voor op helpmij.
Als je problemen hebt zien we wel een HijackThis log verschijnen.

Groetjes,

Pieter