ongevraagd een url

[Pieter Arntz]

Hoi Ron,

Post nog eens een nieuw HijackThis log.
Ik ben bang dat je wat dingetjes gemist hebt.

Groetjes,

Pieter

 

[Apresskihut]

Daar ben ik ook bang voor, het is namelijk een tijdje goed gegaan en sinds gister krijg ik weer die verevelende schermpjes.

groetjes Ron

 

[Apresskihut]

daar komt tie

Logfile of HijackThis v1.94.0
Scan saved at 9:36:09, on 9-6-03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=file:///C:/Program%20Files/MS-Connect/Portal/portal.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina=file:///C:/Program%20Files/MS-Connect/Portal/portal.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\PROGRAM FILES\DAP\DAPBHO.DLL
O3 - Toolbar: Accessories - {9B35A850-66AB-4c6d-8A66-136ECADCD904} - C:\WINDOWS\APPLICATION DATA\QCKXSTQUZH.DLL (file missing)
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [OmniPage] C:\Program Files\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Program Files\Iomega HotBurn\Autolaunch.exe"
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [PromulGate] "C:\Program Files\DelFin\PromulGate\PgMonitr.exe"
O4 - HKLM\..\Run: [LoadFonts] C:\WINDOWS\FONTS\Tahoma.vbs
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [projselector] "C:\Program Files\Common Files\Roxio Shared\Project Selector\projselector.exe" -r
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Common Files\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [Systeemwerkbalk] SysTray.Exe
O4 - HKLM\..\Run: [IST Service] C:\WINDOWS\istsvc.exe
O4 - HKLM\..\Run: [rb32 lptt01] "c:\program files\rb32\rb32.exe"
O4 - HKLM\..\Run: [MS-Connect] C:\WINDOWS\SYSTEM\WEB.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Run DAP (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {1D2DCA0D-B30F-40AD-9690-087105F214EC} (IEDial Class) - http://usa-download.nocreditcard.com/download/Object/DialerHTML/ieaccess3.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
O16 - DPF: {11BF0E2B-4229-4ADC-9C11-1C6968731018} (Download Class) - http://www.0190-dialer.com/VLoading.cab

groetjes Ron

 

[Kleinkramer]

Oef, een hoop ellende!

Draai eerst deze RapidBlaster killer:
http://www.wilderssecurity.net/downloads/rbkiller.exe

Start het progje, en klik op Scan.
Het hoort een RapidBlaster process te vinden en het te beeindigen.

Nu start je Hijack This, vink de volgende zaken aan, en klik vervolgens op "fix checked". Daarna MOET je opnieuw opstarten.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=file:///C:/Program%20Files/MS-Connect/Portal/portal.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina=file:///C:/Program%20Files/MS-Connect/Portal/portal.html

O3 - Toolbar: Accessories - {9B35A850-66AB-4c6d-8A66-136ECADCD904} - C:\WINDOWS\APPLICATION DATA\QCKXSTQUZH.DLL (file missing)

O4 - HKLM\..\Run: [PromulGate] "C:\Program Files\DelFin\PromulGate\PgMonitr.exe"
O4 - HKLM\..\Run: [LoadFonts] C:\WINDOWS\FONTS\Tahoma.vbs
O4 - HKLM\..\Run: [IST Service] C:\WINDOWS\istsvc.exe
O4 - HKLM\..\Run: [rb32 lptt01] "c:\program files\rb32\rb32.exe"
O4 - HKLM\..\Run: [MS-Connect] C:\WINDOWS\SYSTEM\WEB.EXE

O16 - DPF: {1D2DCA0D-B30F-40AD-9690-087105F214EC} (IEDial Class) - http://usa-download.nocreditcard.co...L/ieaccess3.cab
O16 - DPF: {11BF0E2B-4229-4ADC-9C11-1C6968731018} (Download Class) - http://www.0190-dialer.com/VLoading.cab

Na opnieuw opstarten wis je het volgende:

Het bestand C:\WINDOWS\istsvc.exe
Het bestand C:\WINDOWS\SYSTEM\WEB.EXE
Het bestand C:\WINDOWS\FONTS\Tahoma.vbs
De mappen DElfin en rb32 in Program Files.

Succes,

 

[Kleinkramer]

En als dat steeds maar terug blijft komen, moet je eens iets aan je beveiliging doen.

Ik heb daar hier iets over geschreven (wel in het Engels):

So how on earth did I get all this spyware in the first place?

 

[Apresskihut]

Ton,

ik ben ermee aan de slag gegaan.

bij rapidblaster, bij scannen no detected, dus dat lijkt mij ok.
die lijst verwijderd, alleen
Het bestand C:\WINDOWS\istsvc.exe blijft aangeven dat tie in gebruik is
Het bestand C:\WINDOWS\SYSTEM\WEB.EXE verwijderd ok
Het bestand C:\WINDOWS\FONTS\Tahoma.vbs kan die niet vinden
De mappen DElfin verwijderd en rb32 in Program Files kan die niet vinden

groetjes Ron

maar waar komt tie rommel toch elke x vandaan?

 

[Kleinkramer]

Wat betreft istsvc.exe, doe eens een Ctrl-Alt-Delete.

Zie je istsvc daar lopen, beëindig dan de taak. Vervolgens kun je het bestand wissen.
Of doe het in Veilige Modus. Dat lukt zeker.

Wat betreft de zaken die niet te vinden zijn, kijk eerst even in Mapopties/Beeld of verborgen bestanden wel worden weergegeven.

Zijn ze vervolgens nóg niet te vinden, hebben we te maken met overgebleven "orphaned" registerwaarden terwijl het programma al eerder is verwijderd.

In dat geval kun je het dus gewoon zo laten.

Groetjes,