My websearch en richfind

[muiske]

Hey, ik ben hier dus een totale leek in, maar toen ik met google aan het zoeken was hoe ik deze rotzooi van men comp krijg vond ik dit Forum..

Ik heb de topics hierover al doorgekeken, maar ik snap er niks van.. ik heb net hijackthis gedownload, maar ik heb geen idee wat ik moet doen..

Kan iemand mij please makkelijk uitleggen wat ik nu moet doen?

Groetkes,
Marlies

 

[buffy]

1. Start HijackThis door te dubbelklikken op HijackThis.exe.

2. Klik op de knop "Scan".

3. Klik op de knop "Save log" (dat is dezelfde knop, maar in plaats van "Scan" staat er nu "Save log" op) en sla je log op als *.txt-bestand (of, als je XP hebt, gewoon als *.log-bestand, dat komt op hetzelfde neer).

Je ziet dat de scanresultaten nu worden geopend in Kladblok.

4. Kies in het menu Bewerken (linksboven) voor "Alles selecteren". Kies vervolgens in datzelfde menu voor "Kopiëren".

5. Klik in deze thread op "Reageer op bericht", zodat je een nieuw bericht kunt plaatsen. Klik in dat lege bericht één maal met je rechtermuisknop en kies voor "Plakken" (of "paste"). Je ziet dat je log nu in het bericht verschijnt. Klik op "plaats bericht" en je log wordt geplaatst.

6. Wacht het antwoord af en volg de instructies die je zult krijgen zorgvuldig op.

 

[muiske]

zo dus

Logfile of HijackThis v1.98.2
Scan saved at 15:48:49, on 23-10-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Northon\NORTON~1\GHOSTS~2.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Northon\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Northon\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\quuxbezf.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Program Files\Common files\SearchUpgrader\SearchUpgrader.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\ewupdater.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Northon\Norton Ghost\GhostStartTrayApp.exe
C:\Program Files\eScorcher\eScorcher.exe
C:\WINDOWS\System32\supporter5.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programs\Sonique\sqstart.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
D:\Programs\Sonique\Sonique.exe
C:\Program Files\Kazaa Lite K++\KazaaLite.kpp
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Marlies\Local Settings\Temp\Tijdelijke map 2 voor hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: Richfind - {B9BDD087-5E54-4807-8EDC-B5E5ACDD671C} - C:\WINDOWS\System32\Q23265156.dll
O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\mxTarget.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programs\adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Richfind - {7CFCFD09-C559-491F-869F-D3858EC6172E} - C:\WINDOWS\System32\Q23265156.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {E184D75F-6629-9501-92D8-A46A08F7D1EB} - C:\DOCUME~1\Marlies\APPLIC~1\SETTIN~1\vga two.exe
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Richfind - {EAB3765C-B06B-4445-A083-EC78E21DB40D} - C:\WINDOWS\System32\Q23265156.dll
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [doqowy] C:\WINDOWS\System32\quuxbezf.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [bits hole more one] C:\Documents and Settings\All Users\Application Data\GreyBoltBitsHole\mail great.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [SearchUpgrader] C:\Program Files\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ewupdater] C:\WINDOWS\ewupdater.exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Northon\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [eScorcher] C:\Program Files\eScorcher\eScorcher.exe
O4 - HKLM\..\Run: [supporter5] C:\WINDOWS\System32\supporter5.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SoniqueQuickStart] D:\Programs\Sonique\sqstart.exe -nostick
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [IsoOne] C:\DOCUME~1\Marlies\APPLIC~1\DALEAN~1\SetupGlobalEach.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Kazaa Lite K++.lnk = C:\Program Files\Kazaa Lite K++\klrun.exe
O4 - Startup: Start Sonique.lnk = D:\Programs\Sonique\Sonique.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRxdm185XXUS
O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://C:\Program Files\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program Files\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O9 - Extra button: Richfind - {EAB3765C-B06B-4445-A083-EC78E21DB40D} - C:\WINDOWS\System32\Q23265156.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab
O16 - DPF: {3F2705D0-C9D8-4020-A15C-E495A0050EC6} (Easywebinstaller Control) - http://s7.blingblingcontent.com/toolbarcash/activex/easywebinstaller.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712...com/downloads/player/Install2.5/Installer.exe
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab30149.cab
O18 - Filter: text/html - {D18B21A2-602B-46A8-8B17-CF423725517B} - C:\WINDOWS\System32\Q23265156.dll
O18 - Filter: text/plain - {D18B21A2-602B-46A8-8B17-CF423725517B} - C:\WINDOWS\System32\Q23265156.dll

 

[buffy]

Dag Muiske,


Maak eerst even een eigen, permanente map voor HijackThis, bijvoorbeeld C:\Program Files\HJT. Plaats HijackThis in die map en draai het nu dus vanuit die map.


1. Scan met HijackThis en vink de volgende items aan:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/

R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: Richfind - {B9BDD087-5E54-4807-8EDC-B5E5ACDD671C} - C:\WINDOWS\System32\Q23265156.dll

O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\mxTarget.dll
O2 - BHO: Richfind - {7CFCFD09-C559-491F-869F-D3858EC6172E} - C:\WINDOWS\System32\Q23265156.dll
O2 - BHO: (no name) - {E184D75F-6629-9501-92D8-A46A08F7D1EB} - C:\DOCUME~1\Marlies\APPLIC~1\SETTIN~1\vga two.exe

O3 - Toolbar: Richfind - {EAB3765C-B06B-4445-A083-EC78E21DB40D} - C:\WINDOWS\System32\Q23265156.dll

O4 - HKLM\..\Run: [doqowy] C:\WINDOWS\System32\quuxbezf.exe
O4 - HKLM\..\Run: [bits hole more one] C:\Documents and Settings\All Users\Application Data\GreyBoltBitsHole\mail great.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [SearchUpgrader] C:\Program Files\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [ewupdater] C:\WINDOWS\ewupdater.exe
O4 - HKLM\..\Run: [eScorcher] C:\Program Files\eScorcher\eScorcher.exe
O4 - HKLM\..\Run: [supporter5] C:\WINDOWS\System32\supporter5.exe
O4 - HKCU\..\Run: [IsoOne] C:\DOCUME~1\Marlies\APPLIC~1\DALEAN~1\SetupGlobalEach.exe

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRxdm185XXUS

O9 - Extra button: Richfind - {EAB3765C-B06B-4445-A083-EC78E21DB40D} - C:\WINDOWS\System32\Q23265156.dll

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {3F2705D0-C9D8-4020-A15C-E495A0050EC6} (Easywebinstaller Control) - http://s7.blingblingcontent.com/toolbarcash/activex/easywebinstaller.ocx
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712...com/downloads/player/Install2.5/Installer.exe

O18 - Filter: text/html - {D18B21A2-602B-46A8-8B17-CF423725517B} - C:\WINDOWS\System32\Q23265156.dll
O18 - Filter: text/plain - {D18B21A2-602B-46A8-8B17-CF423725517B} - C:\WINDOWS\System32\Q23265156.dll

Heb je precies die items aangevinkt, sluit dan álle vensters behalve HijackThis zelf. Sluit vooral Internet Explorer en je mailprogramma af.
Klik vervolgens op "Fix checked".
(Klik op "Ja" als HijackThis vraagt of je dat zeker weet.)

2. Herstart de pc in veilige modus.
Mocht je niet weten hoe dat moet, kijk dan hier even: http://www.virushelp.nl/veilige_modus.htm

Zorg ervoor dat verborgen bestanden en mappen worden weergegeven.
Hier kun je lezen hoe dat moet: http://users.telenet.be/marcvn/spyware/1117602.htm

Verwijder nu, in veilige modus dus, de volgende bestanden en mappen (voor zover nog aanwezig):

Deze bestanden:
C:\WINDOWS\ewupdater.exe
C:\WINDOWS\System32\quuxbezf.exe
C:\WINDOWS\System32\supporter5.exe
C:\WINDOWS\System32\Q23265156.dll

Deze mappen:
C:\Program Files\eScorcher
C:\Program Files\Common files\SearchUpgrader
C:\WINDOWS\System32\P2P Networking
C:\Documents and Settings\Marlies\Application Data\SETTIN~1 <- d.w.z. die map waarvan de naam begint met "Settin..."
C:\Documents and Settings\Marlies\Application Data\DALEAN~1 <- d.w.z. die map waarvan de naam begint met "Dalean..."
C:\Documents and Settings\All Users\Application Data\GreyBoltBitsHole

3. Herstart de pc in 'normale modus'.

4. Maak een nieuw log en plaats dat hier.