srk in xp outlook en works foutmelding

[DJ Hans Legeer]

Ik heb 2 problemen in mijn XP.

Ik heb ooit een site benaderd van srk............
nu start ik mijn outlook express op en krijg ik een standaard banner boven in de taakbalk en onder in het scherm als pop up van deze sex site zoek machine.
waar en hoe kan ik dit verwijderen.

Dan mijn works.

ik heb een installatie van Works geprobeerd uit te voeren op de px in xp en die liep vast.

dit heb ik gewoon via software verwijderen weer verwijderd, maar toch geeft hij een aantal foutmeldingen bij het opstarten dat een dll niet klopt.

ik heb mij rot gezocht maar helaas.

wie ohhhh wie weeet raad.

 

[Bennie]

Probleem 1:

Draai Spybot:
http://security.kolla.de/rewalls.htm

Eerst updaten!

Probleem 2:

Welk delletje????

Groetjes,
Bennie

 

[DJ Hans Legeer]

srk.com en works

Het is wel een programma waar je veel mee weghaalt, dat is duidelijk.

Nooit gedacht dat ik dergelijke hoeveelheden spyware op de pc zou hebben, maar helaas de bestanden die http://srk.com koppelen en dus als pop up laten komen zijn er niet door verwijderd.

wat works betreft krijg ik bij het opstarten de foutmelding WkWfx.dll niet correct

ik krijg hem niet weg, weet hem wel te vinden, maar als ik hem verwijder dan krijg ik er alleen maar meerdere foutmeldingen door.

Mogelijk een soort ini bestand waar deze vermelding in staat, maar als jij weet waar, ben ik je zeer dankbaar

Hans

 

[Bennie]

Probleem 1:

Fiets naar deze thread en voer dan de instructies uit van Pieter.

Probleem 2:

Heb je de naam van dat delletje wel goed gespeld?

Groetjes,
Bennie

 

[DJ Hans Legeer]

de tread gevolgd en onderstaand

Hallo Bennie.

Ja de naam van de dll is goed, maar zoals vermeld als ik deze weg haal komen er tig foutmeldingen.

Ik heb de tread gevolgd en moet zeggen interessand progje, onderstaand de gegevens.
Ik neem dus aan dat ik niet alles moet aanvinken en fixen, maar daar hoop ik geef jij mij antwoord op.

Dankzij die stomme srk namelijk kan ik ook geen startpagina meer instellen zoals ik dat wil, en onthoud mijn internet niet meer de gegevans van de laatste door mij bezochte internet pagina's

een vreemd en ...... ding die srk

Oke knippen en plakken daar komt hij
Logfile of HijackThis v1.91.2
Scan saved at 11:33:41, on 28-2-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://scrk.com/passthrough/index.html?http://country.pagina.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar=about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page=http://www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default)=about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer=192.168.0.1
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} - C:\Program Files\E-Book Systems\FlipAlbum 4.0\FpLaunch.dll
O2 - BHO: Natural Language Navigation - {60E78CAC-E9A7-4302-B9EE-8582EDE22FBF} - C:\WINDOWS\System\BHO001.DLL
O2 - BHO: (no name) - {68887259-2566-4416-b2bb-e6ea845ffbad} - C:\DOCUME~1\WHITEE~1\APPLIC~1\vtxbleacb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [BPMInit] BpmInit.exe C:\PROGRA~1\ALCATech\BPM-ST~2
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Startup: DLHelperEXE.exe
O4 - Startup: Lotus QuickStart.lnk = C:\lotus\wordpro\ltsstart.exe
O4 - Startup: Lotus SuiteStart 97.lnk = C:\lotus\smartctr\suitest.exe
O4 - Startup: WebServer.lnk = C:\Program Files\Pinnacle\Pinnacle PCTV\TeleText\WebServer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Program Files\GetRight\getright.exe
O4 - Global Startup: HPAiODevice(hp officejet k series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet k series\Bin\hpoorn07.exe
O4 - Global Startup: HPAiODevice(hp officejet k series) - 2.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet k series\Bin\hpoorn07.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft Works Calendar Reminders.lnk = ?
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O9 - Extra button: Hot Flash (HKLM)
O9 - Extra 'Tools' menuitem: &Search SWF Files (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: SmartWhois (HKLM)
O9 - Extra 'Tools' menuitem: SmartWhois (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {92F88B27-47E6-428F-83B7-E7089445A477} (PowerDrag Edit Module) - http://activeisp.powerdrag.com/download/powerdrag.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37588.1801967593
O16 - DPF: {AED98630-0251-4E83-917D-43A23D66D507} (WebHandler Class) - http://activex.microgaming.com/DLhelper/version6/dlhelper.cab
O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://casinokingdom.microgaming.com/casinokingdom/FlashAX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB01B28D-5354-43D0-9886-958DFAACBF6A}: Domain = wanadoo
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0CBAB20-0906-4D24-BFE1-140E28EE52BE}: Domain = scrk.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3839E7D-0E79-4C0F-9AF5-26A65A262831}: Domain = scrk.com

 

[Bennie]

Vink de volgende zaken in ieder geval aan en klik op "fix":

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://scrk.com/passthrough/index.html?http://country.pagina.nl/

O2 - BHO: Natural Language Navigation - {60E78CAC-E9A7-4302-B9EE-8582EDE22FBF} - C:\WINDOWS\System\BHO001.DLL

O17 - HKLM\System\CCS\Services\Tcpip\..\{E0CBAB20-0906-4D24-BFE1-140E28EE52BE}: Domain = scrk.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{E3839E7D-0E79-4C0F-9AF5-26A65A262831}: Domain = scrk.com

Boosdoeners zijn vooral:
BHO001.DLL
Kijk hier:
http://doxdesk.com/parasite/IGetNet.html
http://www.doxdesk.com/parasite/lop.html

Scan daarna opnieuw met Spybot. Er zit denk ik nog meer rotzooi tussen, weet het niet 100% zeker.

Groetjes,
Bennie

 

[Pieter Arntz]

Hoi,

Deze hoort ook nog bij lop.com
O2 - BHO: (no name) - {68887259-2566-4416-b2bb-e6ea845ffbad} - C:\DOCUME~1\WHITEE~1\APPLIC~1\vtxbleacb.dll

Dus die moet je ook weghalen. Als je trouwens iets met HijackTHis laat Fixen is het aan te raden om geen IE, OE en Explorer vensters open te hebben.

En deze vertrouw ik niet:

O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://casinokingdom.microgaming.c...dom/FlashAX.cab

@ Bennie,

Ik heb een stukje over het verwijderen van de laatste versie van lop.com. Daar kun je zien dat de namen van de dll's random zijn en dat er twee BHO's geplaatst worden.
Maar ze zullen binnenkort wel weer met een nieuwe komen, zodra AAW en SSD in staat zijn om deze netjes te verwijderen.

Groetjes,

Pieter

 

[Bennie]

Pieter,

:thumb: :thumb: :thumb:


Zou die "WkWfx.dll" trouwens ook bij een lop.com-variant horen?

Hans,

Kijk via eigenschappen van dat delletje waar het bijhoort. Spoor het dus op met de verkenner en laat ook weten in welke map het staat.

Post anders ook de inhoud van respec. win.ini en system.ini

Typ win.ini in start\uitvoeren [enter]

Plak de inhoud van het bericht in je bericht. Herhaal voor system.ini.

Groetjes,
Bennie

 

[Pieter Arntz]

Geplaatst door Bennie

Zou die "WkWfx.dll" trouwens ook bij een lop.com-variant horen?

Hoi Bennie,

Meestal zijn die namen langer, maar ik durf het niet met zekerheid te zeggen. Het is echter wel vreemd dat er niks over die dll te vinden is.

@ Hans,

In Hijackthis klik je achtereenvolgens op Config > Misc Tools > Generate Startuplist
Dan maakt het een tekst bestandje aan waar we bijna alles kunnen zien dat opstart.
Plaats dat ook eens.

Groetjes,

Pieter

 

[DJ Hans Legeer]

Ja daar is hij weer na even de deur uit te zijn geweest

bijgaand

win INI
; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
CMC=1
CMCDLLNAME=mapi.dll
CMCDLLNAME32=mapi32.dll
MAPIX=1
MAPIXVER=1.0.0.1
OLEMessaging=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo2
asx=MPEGVideo2
au=MPEGVideo
ivf=MPEGVideo2
m1v=MPEGVideo
m3u=MPEGVideo2
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo2
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo2
wm=MPEGVideo2
wma=MPEGVideo2
wmp=MPEGVideo2
wmv=MPEGVideo2
wmx=MPEGVideo2
wvx=MPEGVideo2
[FIMAIN]
b=D:\Program Files\Graphics Depot\160 Textures
[WS_FTP]
VERSION=2000.02.23
DIR=C:\Program Files\WS_FTP
DEFDIR=C:\Program Files\WS_FTP
GROUP=WS_FTP
INSTOPTS=4
[WS_FTP95]
VERSION=2000.02.23
[Indigo Rose]
C:\WINDOWS\iun3405.exe=1
[Software by Design]
SubmitIt for Windows 95/NT=v2.9
[Internet]
UUID=16837150
URLID=16791289
[Adobe Display]
UseGDI=1
[Logic]
MidiIn_MPU_401=1
MidiIn_SB_Live__MIDI_UART=1
MidiOut_A__SB_Live__MIDI_Synth=7
MidiOut_MPU_401=7
MidiOut_B__SB_Live__MIDI_Synth=7
MidiOut_SB_Live__Soft_Synth=7
MidiOut_SB_Live__MIDI_UART=7
MidiOut_Microsoft_GS_Wavetable_software=7
[programs]
Program.exe=C:\Program Files\Adobe\Photoshop 7.0\Photoshop.exe
[GKRegister]
RegisterTo=h.legeer
Email=INFO@LEGEER.NL
Postal1=12 GONDEL
BillStr=
BillZip=

[romtech]
2dTable1path=D:\PINBAL~1\Game\Pinball2D1
2dTable1exe=Pinball2D_FULLVERSION.exe
2dTable2path=D:\PINBAL~1\Game\Pinball2D2
2dTable2exe=Pinball2D_FULLVERSION.exe
2dTable3path=D:\PINBAL~1\Game\Pinball2D3
2dTable3exe=Pinball2D_FULLVERSION.exe
2dTable4path=D:\PINBAL~1\Game\Pinball2D4
2dTable4exe=Pinball2D_FULLVERSION.exe
3dTable1path=D:\PINBAL~1\Game\Pinball3D1
3dTable1exe=Pinball3D_FULLVERSION.exe
3dTable2path=D:\PINBAL~1\Game\Pinball3D2
3dTable2exe=Pinball3D_FULLVERSION.exe
3dTable3path=D:\PINBAL~1\Game\Pinball3D3
3dTable3exe=Pinball3D_FULLVERSION.exe
PinballMasteroptionspath=D:\PINBAL~1\assets
PinballMasteroptionsexe=options.exe
PinballMasterRegpath=D:\PINBAL~1\register
PinballMasterRegexe=Reg32.exe
[logo-comp]
ioread=C3D903009F
[The Complete MP3 Manager]
RegReference=376790013


System.ini

; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app850.FON
EGA80WOA.FON=EGA80850.FON
EGA40WOA.FON=EGA40850.FON
CGA80WOA.FON=CGA80850.FON
CGA40WOA.FON=CGA40850.FON
msacm.l3acm=L3codeca.acm
[network]
NIC=29396951
Bios=29381424
[vcache]
MinFileCache=8196
MaxFileCache=8196
Rem by Logic Audio Platinum v5.01 Setup MinFileCache=8196
Rem by Logic Audio Platinum v5.01 Setup MaxFileCache=8196
Rem by Logic Audio Platinum v5.10 Setup MinFileCache=8196
Rem by Logic Audio Platinum v5.10 Setup MaxFileCache=8196


En in de bijll de uitgevoerde startup.


Het is verder met die srk goed.

Alleen blijft in het scherm bovenaan nog een soort Hotbar balk zichtbaar, waar ik een en ander van srk mee kan blijven zoeken.

Ook zijn juist het opslaan van de bezochte internetsite's en de gegevens in de taakbalk daarvoor niet beschikbaar, mogelijk dat een en ander ook te maken heeft met een ooit geinstallerde versie van tweak xp en het daarna weer unionstallen van deze bende

Ik hoor je graag, want een groot aantal ergernissen zijn hierdoor al weg, ook op de andere PC's

 

[Pieter Arntz]

Heb je deze niet weggekregen?

(no name) - C:\DOCUME~1\WHITEE~1\APPLIC~1\vtxbleacb.dll - {68887259-2566-4416-b2bb-e6ea845ffbad}

Die zou verantwoordelijk kunnen zijn voor die balk.

Groetjes,

Pieter

 

[DJ Hans Legeer]

HELAAS

Mensen Mensen

Wat een klus.

Oke ik heb een en ander aan troep weg gekregen, maar als ik de pc aan en uit zet, of beter weer opnieuw opstart, staan al die stomme srk.com vermeldingen en balken weer in mijn scherm

Ik weet me geen raad.

De rest is wel weg, maar dat works delletje is een DLL die de WrkCal.exe gebruikt

Geen benul waar dat nou van is

Hans

 

[Pieter Arntz]

Hans,

Kun je nog eens een nieuw HijackThis log plaatsen?
Dan ga ik er morgen met een grote bak kofiie uitgebreid voor zitten.
Als dit weer een nieuwe variant van lop.com is wordt ik :evil:

Groetjes,

Pieter

 

[DJ Hans Legeer]

Mijn reactie ik hoop voor de koffie.

Ik heb in ieder geval mijn eerste bakkie naast mij staan

vanmorgen start ik op en ja hoor internet gaat naar http://scrk.com/passthrough/index.html?http://country.pagina.nl/
Bovenin het scherm weer een menubalk die ik uit moet vinken met de naam NSHBRBLFRDI
Inderdaad als ik ergens op klik krijg ik de site van lop.com in beeld.
Dus

onderstaand nogmaals de hijjack startup list di hij nu aanmaakt. want ik heb inmiddels al veel verijderd maar..


ik stuur ook als bijll deze startup van hijjack

StartupList report, 1-3-2003, 10:17:28
StartupList version: 1.51
Started from : C:\Documents and Settings\White Eagle\Local Settings\Temp\Tijdelijke map 8 voor hijackthis191.zip\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\WinPortrait\wpctrl.exe
C:\Program Files\Winamp\Winampa.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\McAfee\QuickClean\PlgUni.exe
C:\DOCUME~1\WHITEE~1\APPLIC~1\frnglldq.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Picasa\PicasaMediaDetector.exe
C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\WINDOWS\system32\gearsec.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\DOCUME~1\WHITEE~1\LOCALS~1\Temp\pgt1.exe
C:\Program Files\Common Files\Real\Update_OB\rnathchk.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\mqsvc.exe
C:\Program Files\Hewlett-Packard\AiO\hp officejet k series\Bin\hpoorn07.exe
C:\Program Files\Hewlett-Packard\AiO\hp officejet k series\Bin\hpoorn07.exe
C:\lotus\wordpro\ltsstart.exe
C:\lotus\smartctr\suitest.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\server.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\White Eagle\Local Settings\Temp\Tijdelijke map 8 voor hijackthis191.zip\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Documents and Settings\White Eagle\Menu Start\Programma's\Opstarten]
DLHelperEXE.exe
Lotus QuickStart.lnk = C:\lotus\wordpro\ltsstart.exe
Lotus SuiteStart 97.lnk = C:\lotus\smartctr\suitest.exe
WebServer.lnk = C:\Program Files\Pinnacle\Pinnacle PCTV\TeleText\WebServer.exe

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten]
Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
HPAiODevice(hp officejet k series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet k series\Bin\hpoorn07.exe
HPAiODevice(hp officejet k series) - 2.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet k series\Bin\hpoorn07.exe
Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

washindex = C:\Program Files\Washer\washidx.exe "White Eagle"

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe
BPMInit = BpmInit.exe C:\PROGRA~1\ALCATech\BPM-ST~2
MSMSGS = "C:\Program Files\Messenger\msmsgs.exe" /background
DivXOP =
McAfee.InstantUpdate.Monitor = "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\Program Files\E-Book Systems\FlipAlbum 4.0\FpLaunch.dll - {4401FDC3-7996-4774-8D2B-C1AE9CD6CC25}
NAV Helper - C:\Program Files\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Norton AntiVirus - Scan my computer.job
Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave ActiveX Control]
InProcServer32 = C:\WINDOWS\system32\Macromed\Director\SwDir.dll
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab

[PowerDrag Edit Module]
InProcServer32 = C:\WINDOWS\DOWNLO~1\POWERD~1.DLL
CODEBASE = http://activeisp.powerdrag.com/download/powerdrag.cab

[Update Class]
InProcServer32 = C:\WINDOWS\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37588.1801967593

[WebHandler Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\dlhelper.dll
CODEBASE = http://activex.microgaming.com/DLhelper/version6/dlhelper.cab

[{CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA}]

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[FlashXControl Object]
InProcServer32 = C:\WINDOWS\System32\FlashAX\FlashAX.ocx
CODEBASE = https://casinokingdom.microgaming.com/casinokingdom/FlashAX.cab

--------------------------------------------------
End of report, 6.743 bytes
Report generated in 0,330 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

 

[DJ Hans Legeer]

NOG EVEN

Er zit trouwens veel puin in het opstarten wat ik wel kwijt wil eigenlijk, maar die zijn ook niet te uninstakken zoals getrigtt en een klokje in het beeld wat destijds gekomen is samen met dit srk verhaal en een soort agenda tje

Ik hoop dat het lukt Peter en Bennie want ik word gek van die bende.

Ik heb inderdaar zelfs op schijf D al een 2e versie van windows geinstalleerd, maar of ik die nu zomaar kan verwijderen.
Ik heb er nog niets mee gedaan maar ik start de pc nu op mt een keuze balk welk besturings systeem ik wil laden.
XP Pro of
XP Pro

en dan moet ik binnen 25 seconden naar de onderste versie gaan anders krijg ik mijn D schijf met een lege xp

 

[Pieter Arntz]

In je lopende processen is het in ieder geval duidelijk actief:
C:\DOCUME~1\WHITEE~1\APPLIC~1\frnglldq.exe
Gooi om te beginnen in Taakbeheer die eens uit, zoek het bestandje frnglldq.exe op en probeer het te verwijderen.
Ga dan in IE naar je favorieten en verwijder daar alle mappen die je niet zelf aangemaakt hebt.
Het enige verdachte in je lijstje vind ik die twee ActiveX componenten van microgaming. Als je naar de map Windows\Downloaded Program Files gaat kun je ze daar verwijderen of tijdelijk verplaatsen.
En eentje waar ik niks over kan vinden:
BPMInit = BpmInit.exe C:\PROGRA~1\ALCATech\BPM-ST~2
Zoek ook eens dit bestand op: pgt1.exe en rechtsklik erop en bekijk de eigenschappen.
Download eens: http://www.mlin.net/StartupCPL.shtml
zodat je gemakkelijk alles wat opstart kunt manipuleren.
Vink daarin alles uit behalve McAfee (als je die gebruikt), Adobe (als je die meteen startklaar wilt hebben), de hpoorn en WindowsWasher (washidx) en start dan opnieuw op.
Niet meteen gefrustreerd raken, want doordat lop.com weer gedraaid heeft kan het zijn dat er alsnog van alles tevoorschijn komt.
Laat me even weten welke symptomen je dan nog hebt en scan nog een keer met HijackThis en plaats nog een log.
We gaan dit echt wegkrijgen.

Groetjes,

Pieter

 

[DJ Hans Legeer]

Nou ben ik weer hoor

Het progje frnglldq.exe is verwijderd.

Uit de map Favorieten heb ik een drietal mappen verwijderd, die mij onbekend voorkwamen, zoals een Adult map.
Oke ik ben een adult maar, geen idéé en kinderen zijn er niet in huis dus vreemd.

die twee active x elementen zijn volgens mij van casino kingdom, dus die staan er nog in maar als je denkt dat het beter is deze te verwijderen oke.

BPMinit is een onderdeel van BPM studio een DJ programma van Alcatech waar ik dagelijks mee werk, dus om die nou te verwijderen, maar oké als dat de oplossing is dan pleuren we die er ook uit.
danmaar op de andere pc.

pgt1.exe is niet te vinden op de pc via zoeken alle bestanden of mappen op beide harde schijven niet.

via dat niewe sartup programma heb ik een programmas uitgezet die hij laad, maar waar ik niets meer mee doe, en die er volgens mij deels niet eens meer op staan.
Wat hij opstart is nu nog

in startup user start hij lotus en lotussuite
In common startup Adobe - 2 x HPofficejet en Office
in hklm creative - browser mouse - music match - nero check - norton - en portrait van mijn kantelbare flatscreen volgens het pictogram

Wel is vreemd dat Norton na het opstarten een rood kruisje heeft gekregen en niet meer gelijk open staat.

Bijgaand de listing.

Wel staat al die bende natuurlijk nog gewoon in het scherm voor en van srk bij het opstarten van internet.

ik wacht nog even dit berichtje af, en dan moet ik helaas voor vandaag even stoppen want er moet ingepakt en gewerkt worden straks.

Je kunt aan mijn naam natuurlijk al zien wat ik doe, en tja het is ook in mijn country wereldje een beetje carnaval natuurlijk

Groet en anders tot morgen

Hans

 

[Pieter Arntz]

Jammer dat je geen tijd hebt. Op deze manier schiet het niet op, want nu is deze weer teruggekeerd:
(no name) - C:\DOCUME~1\WHITEE~1\APPLIC~1\vtxbleacb.dll - {292b0706-60a4-4bca-91c5-a77a04153fc2}

Als je weer wel tijd hebt wil ik de volgende dingen even van je weten:
Gebruik je nog iets van McAfee?
Heb je in Explorer > Extra > Mapopties > tabblad Weergave wel een vinkje staan bij Verborgen bestanden en mappen weergeven?

Wat je nu bijgevoegd had was een Startuplist.
De volgende keer wil ik een HijackThis log zien en bij voorkeur één waar je nog niks aan veranderd hebt.

Programma´s die je knet, gebruikt en vertrouwd kun je natuurlijk gewoon laten opstarten. Dat ik ze niet ken wil nog niet zeggen dat het foute boel is. (Eerder andersom )

Feest ze,

Pieter

 

[DJ Hans Legeer]

Ja Ja daar benm ik weer.

Inmiddels uit ge carnavald.

Toch wel vermoeiend hoor die hossende mmensen met een slok op om je heen.

oke, ik plaats bijgaand de hijjack list van vanmorgen, want alles staat er nog gewoon in.

Ik hoop dat je tijd hebt, dus ik kijk regelmatig mijn mail even na

Hans

 

[Pieter Arntz]

OK. Deze moeten gefixed worden:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://scrk.com/passthrough/index.html?http://country.pagina.nl/
O2 - BHO: (no name) - {292b0706-60a4-4bca-91c5-a77a04153fc2} - C:\DOCUME~1\WHITEE~1\APPLIC~1\vtxbleacb.dll

De gebruikelijke manier, dus alle IE, OE en Explorer vensters gesloten als je op Fixed checked klikt.
Dan meteen opnieuw opstarten, het bestandje vtxbleacb.dll opzoeken en verwijderen.
Verwijder dan ook alle mappen in je favorieten die niet van jou zijn.
Download en installeer dan eens SpywareBlaster en SpywareGuard om nieuwe besmetting te voorkomen. Scan daarna je computer nog een keer met Adaware 6 en Spybot S&D.
Als je het aandurft kun je ook nog het volgende doen:
Start > Uitvoeren > regedit > OK of Enter > In het regsiter > Bewerken > Zoeken > scrk.com > Verwijder alle verwijzingen hiernaar. Met F3 zoek je naar de volgende.

Groetjes,

Pieter