ongewenste sites, popups en favorieten

[buffy]

Zolang dat 015-item blijft terugkomen is het nog niet goed en zou het ook best kunnen dat het about blank weer terugkomt.

Ik wil graag dat je nog eens die procedure met rem.bat uitvoert.

Ik neem aan dat rem.bat en zip.exe nog steeds in C:\Windows\System32 staan. Zo niet, dan moet je ze daar even weer in zetten. Je vindt ze in rem.zip, dat ik je eerder al liet downloaden: http://users.pandora.be/bluepatchy/www/rem.zip
Maar dit heb je dus al, als het goed is, en rem.bat en zip.exe zouden nog steeds in C:\Windows\System32 moeten staan (maar controleer dat nog wel even).


1. Verwijder het bestand C:\log.txt. (Want we gaan nu een nieuwe maken.)

2. Start de pc in veilige modus.

Ga naar Start -> Uitvoeren -> en type in de balk:

C:\WINDOWS\System32\rem.bat

Klik "OK" of druk op "Enter".

3. Herstart de pc in 'normale modus'.

4. Zoek via Windows Verkenner naar het bestand C:\log.txt.

Open dat bestand, kopieer de volledige inhoud ervan en plak dat hier in je volgende bericht.

5. Maak een nieuw HijackThis-log en plaats ook dat in je volgende bericht.

 

[chrispie]

buffy,

instructies uitgevoerd, hiernade nieuwe log :


Microsoft Windows XP [Version 5.1.2600]
C:\windows\system32
"Files found"
---------------------------------------------------------------------

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

"Files Not Deleted"
---------------------------------------------------------------------

Checking for version 2 files..........
Files Found
------------------------------------------------------------

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

Files Not deleted
------------------------------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------

-----------------------------------------------------------------

Done


en ?

 

[buffy]

Die vindt dus geen foute bestanden meer. Dat is mooi natuurlijk, maar waarom komt dat 015-item dan toch nog terug?

Probeer eerst dit even:
- start de register-editor (start -> uitvoeren -> intypen regedit, ok).
- navigeer naar HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains.
- verwijder bij die sleutel de entries van "http://*.63.219.181.7" of "63.219.181.7".
- sluit regedit af.
- start de pc opnieuw op.

Maak daarna een nieuw log en kijk of dat 015-item er weer staat. Zo ja, fix het dan, start de pc opnieuw op, en kijk of het er weer staat.

Laat me het weten...

(Je maakt het me wel moeilijk hoor. )

 

[chrispie]

buffy,

na het verwijderen via regedit komt dat 015-item niet meer voor in de hijacklog! 'kheb het dus niet meer moeten fixen.

hierbij de nieuwste versie :

Logfile of HijackThis v1.98.2
Scan saved at 20:28:42, on 09/12/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Network Associates\VirusScan\VsStat.exe
C:\Program Files\Network Associates\VirusScan\Vshwin32.exe
C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Network Associates\VirusScan\Webscanx.exe
C:\Program Files\Network Associates\VirusScan\Avconsol.exe
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\dslagent.exe
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Program Files\Creative\SBLive\Program\CTAvTray.EXE
C:\Program Files\Support.com\bin\tgcmd.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Microsoft Office\Office\1033\OLFSNT40.EXE
C:\KMaestro\Key_e.EXE
C:\Program Files\Creative\ShareDLL\MediaDet.Exe
D:\My Documents\Chrispie\hijackthis\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://vrtnieuws.streampower.be/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KeyMaestro] C:\KMaestro\KMaestro.exe
O4 - HKLM\..\Run: [Register MediaRing Talk] C:\Program Files\MediaRing Talk\register.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [CTAvTray] C:\Program Files\Creative\SBLive\Program\CTAvTray.EXE
O4 - HKLM\..\Run: [tgcmd] "C:\Program Files\Support.com\bin\tgcmd.exe" /server
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\RunOnce: [CTAVTray] C:\Program Files\Creative\SBLive\Program\CTAvStub.EXE EAX.AVI
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1033\OLFSNT40.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - http://www.learning-site.com/cimonline/player/awarewebplayer/download/smart/cab/awswaxm.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5CE8C9BE-B561-4311-8C03-D6F6C1CAF7E1} (CSND_AX.ctlCSND_AX) - http://www3.compaq.com/support/sndetect/CSND_AX.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1094153161910
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab

en ?

 

[buffy]

Prachtig.

Houd wel even in de gaten de komende dagen of dat 015-item na heropstarten van de pc nog terugkomt.

Maar voor zover ik kan zien is je pc nu schoon. (Ik moet een beetje voorzichtig zijn, want zoals je al wel gemerkt hebt gaat het hier om problemen die zelfs in HijackThis-logs niet volledig te zien zijn.)

De ongewenste sites bij je Favorieten in IE zou je nu gewoon moeten kunnen verwijderen.

Ik raad je aan nog even te scannen met AdAware SE, die vindt waarschijnlijk nog de nodige restanten en verwijdert die: http://www.majorgeeks.com/download506.html

Tenslotte het belangrijkste nog: voorkom dat je weer geïnfecteerd raakt! Volg daartoe de adviezen uit het volgende bericht: http://www.helpmij.nl/forum/showthread.php?threadid=184512

Probeer ook XP en IE te updaten, indien mogelijk. Jouw verouderde versies zijn namelijk nogal vatbaar voor dit soort infecties. Maar mocht dit niet kunnen, volg dan in ieder geval alle tips op die je hier aantreft.


Mocht dat 015-item toch nog terugkomen, meld dat hier dan even.

 

[chrispie]

buffy,

oef ... eindelijk van de problemen af.

Bedankt voor de hulp.

wat betreft de windows updates : denk je dat mijn PC kiemvrij genoeg is om SP2 te installeren.
In een item hieromtrent wordt gezegd dit pas te doen als de boel clean is ?
Is het waar dat ook de firewall moet afstaan bij de installatie van SP2?

groeten,

 

[buffy]

Voor zover ik kan zien is je pc schoon hoor, dus wat dat betreft is er geen belemmering om sp2 te installeren.

Ikzelf heb sp2 eerst alleen gedownload (dus zonder te installeren). Vervolgens heb ik de internetverbinding verbroken. Toen mijn firewall en antivirusprogramma uitgeschakeld (aangezien ik geen internetverbinding meer had was dat wel veilig) en vervolgens sp2 geïnstalleerd.

Heb er geen problemen mee gehad, maar lees ook weleens negatieve verhalen over sp2. Ik aarzel dan ook altijd een beetje of ik het mensen wel moet aanraden. Maar voor de veiligheid van IE is het zeker verstandig om sp2 te installeren.

 

[chrispie]

buffy,

bedankt voor de deskundige info en hulp !

groetjes