spyware popup attack!!

Status
Niet open voor verdere reacties.
M

marije1981

Gebruiker
Lid geworden
6 sep 2004
Berichten
37
Zou iemand please mijn log kunnen checken? Ik heb al gescand met ad-aware.. Als ik internet start, verspringt hij naar pagina's die spyware programma aanbieden.. wat helemaal fake is, want hiervoor moet je flink geld neerleggen!..

Logfile of HijackThis v1.98.2
Scan saved at 21:43:35, on 6-9-04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\GRISOFT\AVG6\AVGSERV9.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\PROGRAM FILES\GRISOFT\AVG6\AVGCC32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE
C:\PROGRAM FILES\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 SE\CALCHECK.EXE
C:\PROGRAM FILES\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Onlinedirect/Portal/portal.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: BHO Class - {C77E900A-FF55-400E-9BAA-E042C8212898} - C:\PROGRAM FILES\SIMPELINTERNET\EASYBAR\TOOLBARSTARTER.DLL (file missing)
O2 - BHO: (no name) - {8F87FE01-EB8D-11D8-8709-444594D9A16C} - C:\WINDOWS\SYSTEM\IKOCMDA.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART
O4 - HKLM\..\Run: [nstat] C:\WINDOWS\NETSTAT.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
O4 - Startup: Ulead Photo Express 4.0 SE Calendar Checker .lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O18 - Filter: text/html - {8F87FE00-EB8D-11D8-8709-4445FB9504F7} - C:\WINDOWS\SYSTEM\IKOCMDA.DLL
O18 - Filter: text/plain - {8F87FE00-EB8D-11D8-8709-4445FB9504F7} - C:\WINDOWS\SYSTEM\IKOCMDA.DLL
 
Mischien was het ook handig om in de titel te vermelden dat het om een Hijack Log gaat.
Een tip voor de volgende keer.
 
Geplaatst door marije1981

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Onlinedirect/Portal/portal.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: BHO Class - {C77E900A-FF55-400E-9BAA-E042C8212898} - C:\PROGRAM FILES\SIMPELINTERNET\EASYBAR\TOOLBARSTARTER.DLL (file missing)
O2 - BHO: (no name) - {8F87FE01-EB8D-11D8-8709-444594D9A16C} - C:\WINDOWS\SYSTEM\IKOCMDA.DLL

O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART
O4 - HKLM\..\Run: [nstat] C:\WINDOWS\NETSTAT.EXE

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O18 - Filter: text/html - {8F87FE00-EB8D-11D8-8709-4445FB9504F7} - C:\WINDOWS\SYSTEM\IKOCMDA.DLL
O18 - Filter: text/plain - {8F87FE00-EB8D-11D8-8709-4445FB9504F7} - C:\WINDOWS\SYSTEM\IKOCMDA.DLL
Klik om te vergroten...



Hoi Marije,


Echt precies doen wat hieronder staat; alle stappen uitvoeren, in deze volgorde, meteen na elkaar (dus niet tussen de stappen door andere dingen op de pc gaan doen), alleen heropstarten als ik dat expliciet aangeef.

Misschien is het handig om de instructies even uit te printen.

Lees hier alvast hoe je in veilige modus komt, mocht je dat nog niet weten: http://www.virushelp.nl/veilige_modus.htm

Lees hier alvast hoe je verborgen bestanden zichtbaar moet maken, als je dat nog niet weet: http://users.telenet.be/marcvn/spyware/1117602.htm


1. Download en unzip CWShredder 1.98.1 alvast, maar gebruik het nog niet: http://www.majorgeeks.com/download4086.html

2. Scan opnieuw met HijackThis.
Vink de bovenstaande items (zie quote) aan.
Controleer nog even of je precies díe items hebt aangevinkt.
Sluit alle vensters behalve HijackThis zelf. Sluit vooral ook Internet Explorer en je mailprogramma af.
Klik op "Fix checked".
Sluit HijackThis.
Ga meteen door naar stap 3, dus niet opnieuw opstarten.

3. Draai nú CWShredder. Gebruik de Fix knop.

4. Herstart de pc in veilige modus.

Zorg ervoor dat verborgen bestanden worden weergegeven.

Verwijder nu, in veilige modus dus, de volgende bestanden en mappen (voor zover nog aanwezig):

Bestanden:
C:\WINDOWS\NETSTAT.EXE
C:\WINDOWS\SYSTEM\IKOCMDA.DLL

Mappen:
C:\WINDOWS\SYSTEM\P2P NETWORKING
C:\PROGRAM FILES\ONLINEDIRECT
C:\PROGRAM FILES\SIMPELINTERNET

Leeg, nog steeds in veilige modus, de volgende map:

C:\WINDOWS\TEMP <- alles wat in die map "Temp" zit verwijderen

(Kijk niet raar op als sommige van de te verwijderen bestanden en mappen er al niet meer zijn; dat is normaal.)

5. Herstart de pc in 'normale modus'. Doe nu meteen een volledige scan met AdAware. Zorg dat het programma up-to-date is en laat het alles verwijderen wat wordt gevonden.

6. Herstart de pc en doe de online scan bij Housecall: http://housecall.trendmicro.com/housecall/start_corp.asp

7. Herstart de pc, maak een nieuw log met HijackThis en plaats dat hier.


Succes!
 
Laatst bewerkt:
Hoi Buffy,

Alvast heel erg bedankt voor je hulp.. Ik heb al je stappen precies opgevolgt.. hierbij mijn log;

Logfile of HijackThis v1.98.2
Scan saved at 22:12:56, on 7-9-04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\GRISOFT\AVG6\AVGSERV9.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\PROGRAM FILES\GRISOFT\AVG6\AVGCC32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 SE\CALCHECK.EXE
C:\PROGRAM FILES\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
O4 - Startup: Ulead Photo Express 4.0 SE Calendar Checker .lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

Groetjes Marije:thumb:
 
Geplaatst door marije1981

O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART
Klik om te vergroten...


Prima gedaan Marije.:thumb:


Nog even een klein restje opruimen:

scan met HijackThis, vink het bovenstaande item (zie quote) aan, sluit alle vensters behalve HijackThis zelf en klik op "Fix checked". Herstart de pc.

Dat is alles.:)


Zijn die problemen met internetten nu ook verdwenen?
 
thnx buffy!!

Heb die laatste troep eruit gehaald, en internet is weer helemaal ok! geen about blanc pagina's meer:D

Zoo, dit had ik echt nooit zonder jouw hulp gefixed!:thumb:

Je bent verkozen tot mijn internet/computer goeroe!:love:

X Marije
 
Geplaatst door marije1981
thnx buffy!!

Heb die laatste troep eruit gehaald, en internet is weer helemaal ok! geen about blanc pagina's meer:D

Zoo, dit had ik echt nooit zonder jouw hulp gefixed!:thumb:

Je bent verkozen tot mijn internet/computer goeroe!:love:

X Marije
Klik om te vergroten...



Graag gedaan Marije, het is altijd fijn om mensen van dit soort irritante problemen af te helpen.:)

Je zou mij een groot plezier doen als je SpywareBlaster nog even zou installeren. Dat kleine programma kun je hier downloaden: http://www.javacoolsoftware.com/spywareblaster.html

Dat programma zorgt ervoor dat een boel spyware niet meer op je pc kán terechtkomen.

Heb je het gedownload en geïnstalleerd, haal dan eerst de laatste updates binnen door op "Download Latest Protection Updates" te klikken.
Klik daarna, en dit is belangrijk, op "Enable All Protection".
Vervolgens kun je SpywareBlaster afsluiten. Het hoeft niet eens te draaien om zijn werk te doen! Open het alleen af en toe (bijv. één keer per week) om te kijken of er updates zijn.

Voor meer tips aangaande de preventie van spyware, kun je de volgende site eens bezoeken: http://home.planet.nl/~kleyn080/Spywareinfonl.html#voorkomen


Groetjes,

Buffy
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan