Spyware

[toet]

Windows XP Pro: Windows update is onmogelijk.
Ondernomen acties:
1. Spybot SD 1.3 gedraaid. 5 rode objecten DSO exploit hersteld.
2. Adaware 1.05 gedraaid. 19 critical objects in quarantaine gezet.
3. Hijackthis 1.98.2 gedraaid. Onderstaand de logfile:

Logfile of HijackThis v1.98.2
Scan saved at 11:18:12, on 2-12-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Esker\Common\ESLCBcst.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NWTRAY.EXE
C:\Program Files\Trend Micro\Internet Security\pccguide.exe
C:\Program Files\Trend Micro\Internet Security\PCClient.exe
C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\hp\anvatcp.exe
C:\Program Files\EChecker\EChecker.exe
C:\Install\Novell GroupWise Client 5.5 SP5\Notify.exe
C:\WINDOWS\system32\ntvdm.exe
C:\tijdelijk\Hijack\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.200:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: anvatcp.exe.lnk = C:\hp\anvatcp.exe
O4 - Global Startup: E-Checker v1.0.lnk = C:\Program Files\EChecker\EChecker.exe
O4 - Global Startup: GroupWise Notify.lnk = C:\Install\Novell GroupWise Client 5.5 SP5\Notify.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NAL.EXE.lnk = ?
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1101823028671
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab


Graag de oplossing, zodat de windows updates weer kunnen worden opgehaald.

 

[H@ns]

Hoi toet,

Je logje is schoon. Ik heb zelf trouwens ook problemen met Windows Update, maar kan er wel via via in komen.

Probeer deze link eens:

http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx?ln=nl

 

[toet]

Helaas lost dit het probleem niet op. Bij het kiezen voor Windows update wordt geprobeerd de volgende site te benaderen:
http://test.v5/windowsupdate.microsoft.com........
Als ik test. verwijder, kom ik wel op de site. Er moeten 3 updates worden gedownload, maar het downloaden mislukt.
Ik heb geen idee op welke manier het woord test. voor de naam van de site wordt gezet.
Sybot vindt overigens nog steeds 5 registervermeldingen met veranderingen. Ik heb deze handmatig aangepast, maar dit lost het probleem niet op.
Misschien heb jij nog een suggestie?

 

[H@ns]

Die registervermeldingen van Spybot zijn zeker DSO Exploits? Deze kun je veilig negeren, het is een bugje in Spybot

Ik zou zo gauw niet weten wat er anders je probleem zou kunnen veroorzaken. Misschien moet je je vraag nogmaals stellen in de juiste sectie, en daarbij vertellen dat je HijackThis logje al is goedgekeurd