Ongewenste startpagina:20 Files\MStart Enter

[jaapenmarijke]

Logfile of HijackThis v1.98.2
Scan saved at 12:44:07, on 20-10-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppt.exe
C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan\HPLamp.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\mstar2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Program Files\Wireless\Client Manager\Cmags.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Outlook Express\msimn.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Marijke Boersma\Mijn documenten\Virussen\Nieuwe map\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/MStartEnter/Portal/portal.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/MStartEnter/Portal/portal.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [hpppt] C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppt.exe /ICON
O4 - HKLM\..\Run: [HP Lamp] C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan\HPLamp.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [Classes] C:\WINDOWS\System32\mstar2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Ulead Photo Express 4.0 SE Calendar Checker .lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Wireless Client Manager.lnk = C:\Program Files\Wireless\Client Manager\Cmags.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

Ik hoop dat het nu op de goede plek staat. Ik heb een ongewenste beginpagina:20 Files\MStart.Enter\Portal\portal.html Mijn kinderen laat ik niet meer internetten,het is een erotiekpagina.Ik krijg het er zonder hulp niet af.
Marijke
Via virus help ben ik hier gekomen.Wat moet ik verwijderen?
Marijke

 

[buffy]

Geplaatst door jaapenmarijke

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/MStartEnter/Portal/portal.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/MStartEnter/Portal/portal.html

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll (file missing)

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll (file missing)

O4 - HKLM\..\Run: [Classes] C:\WINDOWS\System32\mstar2.exe

Hallo Jaap en Marijke,


1. Scan met HijackThis, vink de bovenstaande items (zie quote) aan, sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

2. Herstart de pc in veilige modus.
Mocht je niet weten hoe dat moet, kijk dan hier even: http://www.virushelp.nl/veilige_modus.htm

Zorg ervoor dat verborgen bestanden en mappen worden weergegeven.
Hier kun je lezen hoe dat moet: http://users.telenet.be/marcvn/spyware/1117602.htm

Verwijder nu, in veilige modus dus, de volgende bestanden en mappen:

C:\WINDOWS\System32\mstar2.exe <- dat bestand
C:\Program Files\MStartEnter <- die map

3. Herstart de pc in 'normale modus'.

4. Maak een nieuw log en plaats dat hier.

 

[jaapenmarijke]

Nieuw logfile na antwoord op probleem MStart Enter

Vanavond alles uitgevoerd na het snelle antwoord,had niet eerder tijd. Hoop dat dit voldoende is.
Het nieuwe logfile:

Logfile of HijackThis v1.98.2
Scan saved at 22:15:47, on 20-10-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppt.exe
C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan\HPLamp.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Program Files\Wireless\Client Manager\Cmags.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Marijke Boersma\Mijn documenten\Virussen\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [hpppt] C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppt.exe /ICON
O4 - HKLM\..\Run: [HP Lamp] C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan\HPLamp.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Ulead Photo Express 4.0 SE Calendar Checker .lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Wireless Client Manager.lnk = C:\Program Files\Wireless\Client Manager\Cmags.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

 

[buffy]

Ziet er netjes uit.:thumb:

Nu kun je weer de startpagina die je wenst instellen (in IE via Extra -> Internet-opties -> Algemeen).

 

[jaapenmarijke]

Hallo Buffy,

Vanmorgen opgestart en ja hoor gewoon weer de startpagina. Mijn kinderen juichen,die mogen nu weer achter de p.c.,wat ze wel leuk vinden in de vakantie.
Wat een snelle hulp trouwens,ik heb nog niet eerder zoiets gehad met mijn p.c dus wist niet van het bestaan van deze site. Had ik dit kunnen voorkomen? Ik heb een gratis virusscanner van internet,is het beter een te kopen.

 

[buffy]

De gratis virusscanner die je gebruikt is niet slecht. Maar virusscanners voorkomen geen spyware-infecties. Kijk daarom hier even: http://home.planet.nl/~kleyn080/Spywareinfonl.html#voorkomen

 

[jaapenmarijke]

Hallo Buffy,
Heb nu zoveel mogelijk bescherming voor alles.Bedankt.
Deze bladzijde ook even naar anderen gemaild,die meestal ook niet beschermd waren voor spy ware.
Ik deed alleen altijd via internet mee aan NIPO onderzoek.Dit wil nu niet meer opstarten,ik krijg een scherm met een foutmelding.Heb misschien toch wat verkeerds verwijderd eerder.

 

[buffy]

Hoe luidt die foutmelding precies? (Graag letterlijk en volledig hier weergeven.)

 

[jaapenmarijke]

16-bits Windows-subsysteem

De NTVDM-CPU heeft een ongeldige instructie aangetroffen.
CS:8e00 IP:28cd OP: 32 ff ff 00 48

Kies Sluiten om de toepassing af te sluiten.

 

[buffy]

Welke toepassing is dat dan, die wordt gesloten? Welk programma?

Ik weet trouwens zeker dat dit niets te maken heeft met de spyware die we hebben verwijderd.

 

[jaapenmarijke]

Hoi,
Het bericht krijg ik als ik het NIPO(Marktonderzoek) Interviewprogramma wil opstarten.Dit programma heb ik via NIPO op mijn computer gezet.Er wordt dan contact gemaakt en als dat is gelukt sturen ze mij onderzoeken die ik invul.Ook worden de ingevulde onderzoeken van de computer gehaald.
Ik heb net een ander emailadres misschien heeft het daarmee te maken. Ik kreeg op dit adres een mail dat er een onderzoek klaar stond voor mij.
Ik krijg nu een grijs scherm wat niet reageert op negeren.
Ik heb via verkennen even in het programma gekeken en ik zie dit bestand niet staan.

 

[buffy]

Misschien moet je dat programma even verwijderen en opnieuw installeren?

 

[jaapenmarijke]

Ja,dat vermoeden had ik al.Ik zal kijken waar ik het schijfje heb en het opnieuw op de computer zetten. Het was de moeite vaak wel, ik heb al heel wat kadobonnen e.d gekregen door het invullen van allerlei onderzoeken.
Wie weet is er binnenkort een onderzoek over ervaringen met internet.
Groeten en bedankt.

 

[jaapenmarijke]

Hoi,
Toch nog even.Ik heb meer vooral spelletjes die nu niet opstarten.De basisdingen doen het allemaal gelukkig(ik bedoel word etc.)Ook het Nipo(onderzoek) programma wil na nieuwe installatie niet opstarten.Ik heb gekeken wat ik gedaan heb voordat ik hier terecht kwam.Wat ik kan bedenken is de scan van AD-Aware.Ik zie dat ik niet iets in quarantine heb gezet.Kan dat het zijn? Bij de eerste scan werd er van alles aangegeven. Moet alles waar de gele of blauwe blokjes achter staan er niet af? Er staan ook wel cookies bij en een map.Als ik nu scan staat er steeds wel wat rood aangegeven.

 

[buffy]

Laat AdAware alles wat wordt gevonden verwijderen.

 

[jaapenmarijke]

Oke,
Zal ik doen.Er staan nu weer zo'n 20 dingen in.
Groeten.:thumb:

 

[jaapenmarijke]

Hallo,
Het probleem van het niet opstarten van het NIPO(marktonderzoek) programma is opgelost. Ik kon na een mail via de site iets downloaden zodat het opgelost was. Dit probleem kwam voor bij windows xp.De bestanden config.nt en autoexe.nt zijn op de computer gezet en alles loopt nu weer.

 

[landcruiser]

irritante lui di van mstart2 hier het adres van de heren

Ik heb 'm ook
hardnekkig programmaatje moet ik zeggen.

hier volgt het adres van de eigenaar als je wilt claimen klagen schelden enzzzzz

[Mod edit]zie bericht hier onder[/mod edit]

 

[crash]

@landcruiser,

Dit soort dingen worden hier niet geaccepteerd.
Graag dit soort acties achterwege laten.

 

[landcruiser]

jammer

waarom niet ?
het is toch ok om die gasten te bellen voor schadevergoeding ed. of zie ik iets verkeerd ?