searchbar 3

Status
Niet open voor verdere reacties.
B

badgerdas

Gebruiker
Lid geworden
4 aug 2004
Berichten
38
Daar is die searchbar opnieuw! Ik heb me gebaseerd op de vorige keren en dezelfde bewerkingen uitgevoerd. De eerste regel gefixt (maar zoals jullie zien in het log is die weer terug) en dan de mappen IDOL ITCH en SLOWDUMB verwijderd.
Twee vragen:
1. Bestaat er een mogelijkheid om die searchbar in de toekomst te beletten? Of hebben mijn kinderen ergens JA geklikt op één of andere website?
2. Mijn zoon heeft een wachtwoord op zijn account en bij hem kon ik de applicatyion data niet controleren in veilige modus. Kan het daardoor komen dat bij heropstarten die eerste regel er weer stond?

PS: ik werk met AVG en ik zie ook symantec in het log. Hoe zou dat komen?
PS2: Sorry, deze keer vergat ik met Adaware en Spybot te scannen. Is dat erg?

En nu het log:
Logfile of HijackThis v1.98.2
Scan saved at 9:06:30, on 28/11/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Program Files\Medion\PowerVCR II\Agent.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\StartupMonitor.exe
C:\Documents and Settings\Riet\Mijn documenten\MsgPlus.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\stickies\stickies.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Flup\Mijn documenten\download\hijack\HijackThis_98.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.qljurfridwf.com/g5Qb2yjVAh1S23G9CS3KY2VAqeE90_FhlM2KkZu2uKuBManllpeY0JpFVthQBCmA.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home2.scarlet.be/sew01/links.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {E3099A2A-BAA1-AA99-DA27-49FE074081ED} - C:\DOCUME~1\Els\APPLIC~1\IDOLIT~1\messproxy.exe (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Agent] C:\Program Files\Medion\PowerVCR II\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] C:\Program Files\Medion\PowerVCR II\RemoteAgent.exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Documents and Settings\Riet\Mijn documenten\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Flaw heart exit eggs] C:\Documents and Settings\All Users\Application Data\polllocksflawheart\up team.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Stickies.lnk = C:\Program Files\stickies\stickies.exe
O4 - Global Startup: Herinneringen van Microsoft Works Agenda.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Onderzoekscentrum - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: Dexia BusinessClick - http://businessclick.dexia.be/PC//Dynamic/Shared/Applet//DexiaBC.cab
O16 - DPF: Dexia netbanking - http://netbanking.dexia.be/PC//Dynamic/Shared/Applet//DexiaIIA.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab30149.cab

:evil:
 
Hoi Badgerdas,

Je kinderen hebben MSG Plus geinstalleerd, dit heeft voor deze rotzooi gezorgt. Misschien hoog tijd om dat tegen ze te vertellen... :)

1. Fix onderstaande regels in HijackThis:

Geplaatst door badgerdas
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.qljurfridwf.com/g5Qb2yjVAh1S23G9CS3KY2VAqeE90_FhlM2KkZu2uKuBManllpeY0JpFVthQBCmA.html

O2 - BHO: (no name) - {E3099A2A-BAA1-AA99-DA27-49FE074081ED} - C:\DOCUME~1\Els\APPLIC~1\IDOLIT~1\messproxy.exe (file missing)

O4 - HKLM\..\Run: [Flaw heart exit eggs] C:\Documents and Settings\All Users\Application Data\polllocksflawheart\up team.exe
Klik om te vergroten...

2. Sluit alle andere vensters en browsers, en klik op Fix Checked.

3. Start opnieuw op in veilige modus, en verwijder:
C:\DOCUME~1\Els\APPLIC~1\IDOLIT... << map
C:\Documents and Settings\All Users\Application Data\polllocksflawheart << map

4. Start opnieuw op in normale modus, maak een nieuw logje aan, en post dat hier :)
 
Je kinderen hebben MSG Plus geinstalleerd, dit heeft voor deze rotzooi gezorgt. Misschien hoog tijd om dat tegen ze te vertellen... :)

3. Start opnieuw op in veilige modus, en verwijder:
C:\DOCUME~1\Els\APPLIC~1\IDOLIT... << map

Bedankt!
1. Waar vind ik meer uitleg over de schadelijke neveneffecten van MSG Plus? En kan ik één en ander omzeilen door bvb Firefox te gebruiken ipv Explorer?
2. Die map IDOLIT had ik de vorige keer verwijderd en nu stond ze er niet meer. Er stond wel een map Slowdumb. Die heb ik al eens bij een vorieg searchbar moeten wegdoen, dus heb ik die verwijderd.
3. Als je die zaken verwijderd in veilige modus, zijn ze dan definitief weg, of moet de prullenbak nog eens geleegd?

Nieuw logje:
Logfile of HijackThis v1.98.2
Scan saved at 14:34:25, on 28/11/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Program Files\Medion\PowerVCR II\Agent.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\StartupMonitor.exe
C:\Documents and Settings\Riet\Mijn documenten\MsgPlus.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\stickies\stickies.exe
C:\Documents and Settings\Flup\Mijn documenten\download\hijack\HijackThis_98.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home2.scarlet.be/sew01/links.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Agent] C:\Program Files\Medion\PowerVCR II\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] C:\Program Files\Medion\PowerVCR II\RemoteAgent.exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Documents and Settings\Riet\Mijn documenten\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Stickies.lnk = C:\Program Files\stickies\stickies.exe
O4 - Global Startup: Herinneringen van Microsoft Works Agenda.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Onderzoekscentrum - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: Dexia BusinessClick - http://businessclick.dexia.be/PC//Dynamic/Shared/Applet//DexiaBC.cab
O16 - DPF: Dexia netbanking - http://netbanking.dexia.be/PC//Dynamic/Shared/Applet//DexiaIIA.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab30149.cab

Nu alles OK?:confused:
 
nog een vraagje:
Ik lees op Anti Spyware Offensief dat FireFox een betere browser is. Ik wil die wel eens installeren, maar krijg ik dan geen ander problemen (overnemen van favorieten bvb)
Badger
 
1. Waar vind ik meer uitleg over de schadelijke neveneffecten van MSG Plus? En kan ik één en ander omzeilen door bvb Firefox te gebruiken ipv Explorer?

>> Je zult waarschijnlijk geen zoekbalken hebben in FireFox, maar je blijft de rotzooi toch op je PC houden. Msg Plus is, als je het installeert zonder sponsors (wat standaard niet staat aangevinkt) blijft je PC schoon. Hoewel ik zelf geen programma's installeer die als je 1 vinkje verkeerd zet je meteen infecteren met smerige rotzooi :)

3. Als je die zaken verwijderd in veilige modus, zijn ze dan definitief weg, of moet de prullenbak nog eens geleegd?

>> Ze zullen wel weg zijn, maar je moet die mappen tuurlijk niet terug (kunnen) zetten, dus leeg je prullenbak maar :)

-. Ik lees op Anti Spyware Offensief dat FireFox een betere browser is. Ik wil die wel eens installeren, maar krijg ik dan geen ander problemen (overnemen van favorieten bvb)

>> Als je FireFox installeert vraagt hij keurig of je de favorieten van Internet Explorer ook wilt opnemen in de favorieten van Firefox :)

Je kunt daarna nog altijd terugswitchen naar IE, als FireFox je niet bevalt, door het simpelweg te de-installeren in Config.scherm - Software. IE zal geen problemen geven als je FireFox draait.

Genoeg uitleg? :)
 
Genoeg uitleg? :) [/B][/QUOTE]

Zeker! Bedankt.

Intussen heb ik op mijn nieuwe pc Firefox geïnstalleerd. Ik zal wel na een tijdje zien wat er beter aan is. Misschien probeer ik ook eens die thunderbird om te emailen. Nu heb ik mailwasher nodig vóór ik Outlook Express open ...

Laatste vraag: avg meld dat er een trojan zit in system volume info op de c:. (zie bijlage)
Die map is niet toegankelijk alhoewel ik al geprobeerd heb via mapopties in verkenner. Moet ik eerst het systeemherstel in XP uitzetten (en zo alle vorige herstelpunten wissen) of is er een andere mogelijkheid?

groeten, badger

PS: ik veronderstel dat het logje weer schoon was?
 

Bijlagen

  • trojan.jpg
    trojan.jpg
    18,3 KB · Weergaven: 23
Je zult inderdaad Systeemherstel uit en in moeten schakelen om deze rotzooi te verwijderen :)

Uit en inschakelen van systeemherstel heeft mij een tijdje geleden wel 5 Gigabytes aan schijfruimte geholpen :cool:

Je logje ziet er inderdaad weer goed uit :)
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan