Spyware?

[joostmolenaar]

Beste hulp,

Ik zit met het volgende:

Wanneer ik mijn internetcache etc verwijder, blijft er allerlei rotzooi achter. Wanneer ik na het legen van deze cache enzo iets wil intypen in de adresbalk, dan heeft hij daar gewoon nog een aantal adressen laten staan!

b.v.: niet openen!

[Mod edit]De links uit voorzorg maar even weggehaald.[Mod edit]

En wat voor! Vunzige dames in weinig kleding. Je weet het wel. Wat doe ik hieraan en kan iemand iets wijzer worden uit de log? Mischien zit het hem hier in?!?

MVG Joost

Logfile of HijackThis v1.98.0
Scan saved at 14:05:00, on 9-9-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Nhksrv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\DELLMMKB.EXE
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Common Files\Logitech\QCDriver\LVCOMS.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Documents and Settings\molenaar\Bureaublad\Martin\MsgPlus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Netropa\OSD.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\molenaar\Bureaublad\Joost\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\DELLMMKB.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Common Files\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\documents and settings\molenaar\bureaublad\martin\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Documents and Settings\molenaar\Bureaublad\Martin\MsgPlus.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Herinneringen van Microsoft Works Agenda.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Gelijkwaardige pagina's - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab

 

[buffy]

Geplaatst door joostmolenaar

R3 - Default URLSearchHook is missing

Hoi Joost,

Dat die sites in de cache staan wordt niet veroorzaakt door spyware. Het komt simpelweg doordat die sites met deze pc zijn bezocht.


1. Scan met HijackThis, vink het bovenstaande item (zie quote) aan, sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

2. Herstart de pc in veilige modus.
Mocht je niet weten hoe dat moet, kijk dan hier even: http://www.virushelp.nl/veilige_modus.htm

Zorg ervoor dat verborgen bestanden en mappen worden weergegeven.
Hier kun je lezen hoe dat moet: http://users.telenet.be/marcvn/spyware/1117602.htm

Leeg, in veilige modus dus, de volgende mappen (de mappen zelf niet verwijderen, maar alles wat erin zit wel):

C:\Windows\Temp\
C:\Documents and Settings\jouw gebruikersnaam\Local Settings\Temp\
C:\Documents and Settings\jouw gebruikersnaam\Local Settings\Temporary Internet Files\

Heeft de pc meerdere gebruikers, leeg dan ook de mappen:

C:\Documents and Settings\andere gebruikersnaam\Local Settings\Temp\
C:\Documents and Settings\andere gebruikersnaam\Local Settings\Temporary Internet Files\

Doe dit voor alle gebruikers.

(Het zou kunnen dat Windows een paar bestandjes niet wil verwijderen, m.n. bij de Temporary Internet Files. Maak je daar geen zorgen om.)

- doe, nog steeds in veilige modus, schijfopruiming: Start -> Alle programma's -> Bureau-accessoires -> Systeemwerkset -> Schijfopruiming. Het 'berekenen' kan even duren. Vink alle opties aan.

3. Herstart de pc in 'normale modus'.

 

[joostmolenaar]

mm

Beste Buffy,

Ik heb al je handelingen uitgevoerd, maar de links staan nog steeds in de cache op de een of andere manier. Doe ik iets verkeerd? Verkeerde volgorde? Weet je nog iets anders?

mvg Joost

 

[buffy]

Start weer op in veilige modus, zorg ervoor dat verborgen bestanden en mappen worden weergegeven, en leeg de mappen:

C:\Documents and Settings\jouw gebruikersnaam\Local Settings\Geschiedenis\

C:\Documents and Settings\andere gebruikersnaam\Local Settings\Geschiedenis\

Doe dit voor alle gebruikers.

 

[joostmolenaar]

aaargg!

Beste Buffy,

Helaas, maar ik krijg ze er niet uit! Ik hoop dat je nog iets weet, anders helaas pindakaas.

In ieder geval veel bedankt voor je hulp. (alvast)

mvg Joost

 

[buffy]

Waar staan ze dan nog, volgens jou?

 

[joostmolenaar]

joost

Ik heb dus alles geleegd en verwijderd etc.

Vervolgens opnieuw opgestart.

Browser geopend (explorer).

Als ik nu een adres intyp in de adresbalk, beginnend met de 's' van sweet...blabla, dan staat die link naar die pagina er dus nog gewoon in! Ik bedoel dus in het menutje wat dan naar beneden klapt. Normaal staat daar dus niets meer in, omdat je de bestanden verwijderd. Maar deze gaan niet weg.

Grtz Joost

 

[maikel9]

hoi jij bedoelt waarschijnlijk auto aanvullen dit kun je ook uitschakelen door extra>opties>geavanceerd>auto invulling gebruiken uitschakelen.

 

[buffy]

Joost,

Probeer PurgeIE eens: ftp://ftp.purgeie.com/purg602.exe

- start PurgeIE
- klik op Set All 'On'
- klik op Purge

 

[joostmolenaar]

JAAAAAAA!

Beste Buffy,

Het werkt! De links zijn niet meer! Mooi programma.

Hartelijk bedankt voor je inzet en oplossingen. Jullie leveren zeer hoogwaardig werk!

mvg Joost