spyware zorgt voor uit zichzelf opstarten pc

Status
Niet open voor verdere reacties.
W

wurrem

Gebruiker
Lid geworden
22 nov 2004
Berichten
24
Op advies van forumlid guss abc plaats ik dit log. Ws. is probleemonstaan door het verwijderen van software Switch, dat voor porno popups en startpagina zorgde. De porno was weg maar het spookopstarten van mijn pc na afsluiten begon toen. Ook problemen met mijn modem (moet eerst de pc opstarten en dan pas modem aanzetten. Het duurt dan nog steeds even voor er verbinding is.
Heb gescand met AdAware 1.05. Gaarne uw reactie.....


Logfile of HijackThis v1.98.2
Scan saved at 11:35:09, on 24-11-04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAM FILES\NORTON UTILITIES\NPROTECT.EXE
C:\PROGRAM FILES\NORTON INTERNET SECURITY\NISSERV.EXE
C:\PROGRAM FILES\NORTON INTERNET SECURITY\NISUM.EXE
C:\PROGRAM FILES\NORTON INTERNET SECURITY\SYMPROXYSVC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\POPROXY.EXE
C:\WINDOWS\SYSTEM\HPZTSB03.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAM FILES\NORTON INTERNET SECURITY\IAMAPP.EXE
C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAM FILES\NORTON INTERNET SECURITY\ATRACK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\CRAZY BROWSER\CRAZY BROWSER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Australian Windows Publishing
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = sydney.cache.telstra.net:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Program Files\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb03.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NPROTECT] C:\Program Files\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [SearchUpgrader] C:\Program Files\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [NPROTECT] C:\Program Files\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [nisserv] C:\Program Files\Norton Internet Security\NISSERV.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Copy Location - C:\WINDOWS\WEB\graburl.htm
O9 - Extra button: Offline - {FC09D8A3-C85A-11d2-92D0-0000F87A4A55} - C:\WINDOWS\SYSTEM\OLINE.DLL
O9 - Extra button: (no name) - {BF80219A-CCDD-11d2-92D3-0000F87A4A55} - C:\WINDOWS\SYSTEM\WEBZONE.DLL
O9 - Extra 'Tools' menuitem: Add to Tr&usted Zone - {BF80219A-CCDD-11d2-92D3-0000F87A4A55} - C:\WINDOWS\SYSTEM\WEBZONE.DLL
O9 - Extra button: (no name) - {B06300D0-CCDE-11d2-92D3-0000F87A4A55} - C:\WINDOWS\SYSTEM\WEBZONE.DLL
O9 - Extra 'Tools' menuitem: Add to R&estricted Zone - {B06300D0-CCDE-11d2-92D3-0000F87A4A55} - C:\WINDOWS\SYSTEM\WEBZONE.DLL
O9 - Extra button: Wallpaper - {c23dd370-cb79-11d2-898a-00c04f80a47f} - C:\PROGRA~1\INTERN~1\Toolbar\toolbar.hta
O9 - Extra 'Tools' menuitem: &Toolbar Wallpaper - {c23dd370-cb79-11d2-898a-00c04f80a47f} - C:\PROGRA~1\INTERN~1\Toolbar\toolbar.hta
 
Nog geen beoordeling van je log (ik ben geen expert), maar wel vast twee tips.

Ga eens naar Windows update. Je hebt nl. nog Internet Explorer v6.00 (6.00.2600.0000). De huidige versie is Internet Explorer v6.00 SP1 (6.00.2800.1106).

Maak in je Program Files een map voor Hijackthis, plaats het programma daarin en maak dan een snelkoppeling naar C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE voor op je bureaublad of in je Startmenu. Het programma maakt nl. backups die in dezelfde map als het programma bewaard worden. Momenteel staat het nog in je Windows\Temp map, waar die backups uit verwijderd zouden worden als je je harde schijf opruimt.

Guus.
 
Hai Guus, hoe is het?
Ik heb Hijackthis opgeslagen in mijn map voor downloads, C\ Downloads. Het staat volgens de Windows Verkenner ook niet in windows temp.
 
Geplaatst door wurrem
Het staat volgens de Windows Verkenner ook niet in windows temp.
Klik om te vergroten...
Volgens je log wel: C:\WINDOWS\TEMP\HIJACKTHIS.EXE.:)
Locatie doet er ook niet zoveel toe, zolang het maar niet in een Temp map staat.
Ik heb het in mijn Program Files gezet omdat het tenslotte een programma is.:)

Guus.
 
Is dat niet raar? Hij staat echt niet in windows temp. Heb hem nu van downloads naar program files verplaatst, maar dan nog..
Overigens ben ik wel benieuwd naar een oordeel van iemand over mijn log......
 
Geplaatst door wurrem
Overigens ben ik wel benieuwd naar een oordeel van iemand over mijn log......
Klik om te vergroten...
Geduld is een schone zaak.:)
Je komt log komt echt aan de beurt, maar ook de spyware-experts zijn vrijwilligers die nog andere werkzaamheden hebben naast Helpmij.
Met de locatie van Hijackthis.exe zit het nu wel goed.:)
Ik zou wel nog even naar Windows update gaan om je Internet Explorer bij te werken.

Guus.:
 
Zag dat je log nog niet bekeken was. Heb nog even nagevraagd of ze je niet over het hoofd hadden gezien, maar het is gewoon erg druk.
Eind van de middag/begin van de avond kun je een reactie verwachten.

Guus.
 
Aardig van je. Ik kan ook pas met tips op mijn log aan de slag vrijdagavond of in het weekend, dus het heeft allemaal niet zo'n haast. Ik begrijp dat we allemaal nog andere bezigheden hebben!
Madelon
 
Hoi Wurrem,

Sorry voor het wachten, maar het is, zoals je zelf wel kan zien, best druk hier en er zijn slechts 2 personen hier die de logjes nakijken...

Ga naar Deze Computer, dubbelklik daar op C. Dubbelklik op Program Files. Klik nu op "Bestand" > "Nieuw" > "Map". Noem deze map HJT of HijackThis. Plaats nu de HijackThis.exe in DIE map. Draai in het vervolg HijackThis vanuit DIE map :). Dit in verband met de backups die dit programma maakt ;)

1. Start HijackThis, en vink onderstaande regels aan:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = about:blank

O4 - HKLM\..\Run: [SearchUpgrader] C:\Program Files\Common files\SearchUpgrader\SearchUpgrader.exe
Klik om te vergroten...

2. Sluit alle andere vensters en browsers, en klik op de knop “Fix Checked”.

3. Start opnieuw op in veilige modus.
Zorg ervoor dat verborgen bestanden en mappen zichtbaar zijn: Verkenner > Extra > Mapopties > Tablad Weergave > scroll naar beneden en vink het vakje voor "Verborgen bestanden en mappen weergeven" aan.

4. Ga naar Windows Verkenner (Rechtsklikken op Start - Verkennen). Zoek en verwijder het volgende:
C:\Program Files\Common files\SearchUpgrader << map


5. Start opnieuw op in normale modus, maak een nieuw logje aan met HijackThis, en post dat hier :)
 
Search Upgrader niet gevonden

Hierbij mijn nieuwe log. Heb je aanbevolen acties als volgt uitgevoerd. Na scan en aanvinken en fix checked kwam de vraag: delete selected programs (o.i.d.), waarna ik op ja heb geklikt. Verborgen bestanden weergeven als volgt gedaan: (in veilige modus)Verkenner>extra>mapopties>tabblad beeld>map Hidden files>aangevinkt show all files.
Hierna via verkenner naar programfiles>common files gegeaan en hier de map SearchUpgrader niet aangetroffen....
Mijn log ziet er nu zo uit. Ik zie overigens zelf dat de net door mij gedownloade nieuwe versie van Internet Explorer (op advies van forumlid Guus) toch niet (of niet meer?) op mijn computer staat. Hoe kan dat nou??
Madelon

Logfile of HijackThis v1.98.2
Scan saved at 18:38:10, on 26-11-04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAM FILES\NORTON UTILITIES\NPROTECT.EXE
C:\PROGRAM FILES\NORTON INTERNET SECURITY\NISSERV.EXE
C:\PROGRAM FILES\NORTON INTERNET SECURITY\NISUM.EXE
C:\PROGRAM FILES\NORTON INTERNET SECURITY\SYMPROXYSVC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\POPROXY.EXE
C:\WINDOWS\SYSTEM\HPZTSB03.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAM FILES\NORTON INTERNET SECURITY\IAMAPP.EXE
C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAM FILES\NORTON INTERNET SECURITY\ATRACK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Australian Windows Publishing
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = sydney.cache.telstra.net:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Program Files\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb03.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NPROTECT] C:\Program Files\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [NPROTECT] C:\Program Files\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [nisserv] C:\Program Files\Norton Internet Security\NISSERV.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Copy Location - C:\WINDOWS\WEB\graburl.htm
O9 - Extra button: Offline - {FC09D8A3-C85A-11d2-92D0-0000F87A4A55} - C:\WINDOWS\SYSTEM\OLINE.DLL
O9 - Extra button: (no name) - {BF80219A-CCDD-11d2-92D3-0000F87A4A55} - C:\WINDOWS\SYSTEM\WEBZONE.DLL
O9 - Extra 'Tools' menuitem: Add to Tr&usted Zone - {BF80219A-CCDD-11d2-92D3-0000F87A4A55} - C:\WINDOWS\SYSTEM\WEBZONE.DLL
O9 - Extra button: (no name) - {B06300D0-CCDE-11d2-92D3-0000F87A4A55} - C:\WINDOWS\SYSTEM\WEBZONE.DLL
O9 - Extra 'Tools' menuitem: Add to R&estricted Zone - {B06300D0-CCDE-11d2-92D3-0000F87A4A55} - C:\WINDOWS\SYSTEM\WEBZONE.DLL
O9 - Extra button: Wallpaper - {c23dd370-cb79-11d2-898a-00c04f80a47f} - C:\PROGRA~1\INTERN~1\Toolbar\toolbar.hta
O9 - Extra 'Tools' menuitem: &Toolbar Wallpaper - {c23dd370-cb79-11d2-898a-00c04f80a47f} - C:\PROGRA~1\INTERN~1\Toolbar\toolbar.hta
 
helaas........................

Helaas, al binnen een uur stond mijn pc uit zichzelf weer aan.
Heeft het misschien iets met mijn afsluitmenu te maken. Hierin staan alleen de opties:
- afsluiten
-opnieuw opstarten
- " " in MSdos
Optie 'standby' ontbreekt, dus volgens mij. Sluit ik eigenlijk steeds de pc af in standbymodus en slaat hij aan door een signaal? Als ik de stroomafsluiting toepas en hierna de pc zelf aanzet staat hij ook in standby.
Madelon
 
Hoi Madelon,

Ik kan niets verkeerds meer vinden in je laatste logje.

Heb je het probleem nog steeds, en heb je al eens een (online) virusscanner gedraaid?
 
Hallo Madelon,

Ik las de laatste post van Hans.
In dit geval kun je nog eens hier kijken.
Het terugzetten van een registerkopie is geen optie meer, maar de andere twee methodes (Controle systeembestanden en installatie over de huidige installatie heen) kun je nog wel proberen.
Goede kans dat één van de twee helpt.
Maar begin met de eenvoudigste - Controle systeembestanden.

Guus.
 
Jammer Hans, maar bedankt voor je moeite!
Verder dus met de suggesties van Guus.
Controle systeembestanden uitgevoerd. Geen problemen gevonden. Herinstalleren windows lukt niet. De setup liep vast toen ik voor de optie Ja koos bij oude gegevens opslaan (je weet maar nooit). Toen ik het na stoppen van de setup via ctrl-alt-dlt opnieuw probeerde kreeg ik na de voorbereidingen voor de setup de melding: 'er is een onjuiste versie van SETUPX.DLL geladen. Setup kan niet doorgaan'. Geen idee wat dit betekent. Jij wel?
Madelon
 
Geplaatst door wurrem
'er is een onjuiste versie van SETUPX.DLL geladen. Setup kan niet doorgaan'. Geen idee wat dit betekent.
Klik om te vergroten...
Dat je hier even de goede SETUPX.DLL moet downloaden.:)
Vervang het huidige bestand in de map C:\WINDOWS\SYSTEM door dat exemplaar en probeer het opnieuw.

Guus.
 
Krijg het niet voor elkaar dit bestand van de website te downloaden (heb alle instructies hiervoor goed gelzen en voldoe aan de eisen), dus hoe kom ik er nog op een andere maer aan?
Madelon
 
Het begint er een beetje somber uit te zien.:(
Ik neem aan dat je dan die online virusscan die Hans voorstelde ook niet hebt kunnen doen.
Als je dat nog niet geprobeerd had, kun je hem hier laten uitvoeren.
Lukt dit ook niet dan moet je toch helaas zo langzamerhand eens hieraan gaan denken.:(

Guus.
 
Jawel hoor, virusscan online is gelukt en geen virussen gevonden. Ik heb echter wel vaker problemen met openen van pagina's met javascript of popups. Ik gebruik Crazy Browser en die heeft een eigen popup filter. Ik weet niet hoe ik dat uitzet. Heb nu dat dll bestand proberen op te halen met Internet browser en uitgeschakelde Norton Internet Security, maar dat lukte ook niet.
Kan ik dat dll bestand niet opgestuurd krijgen, dat jij het download en aan mij stuurt?
Madelon
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan