toolbar verwijderen

[Pentagram]

Ongevraagd een toolbar van searchweb gekregen en in eerste instantie was hij nog te sluiten. Helaas, als we hem nu willen sluiten, sluiten we internet af, maar de toolbar staat er nog steeds irritant te wezen.

log;
Logfile of HijackThis v1.98.2
Scan saved at 21:10:58, on 21-10-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
C:\Program Files\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Panda Software\Panda Antivirus Titanium\apvxdwin.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Messenger Plus! 3\MsgPlus1.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Panda Software\Panda Antivirus Titanium\pavProxy.exe
C:\PROGRA~1\MI1933~1\Office\OUTLOOK.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Panda Software\Panda Antivirus Titanium\TitJobs.exe
C:\Program Files\Panda Software\Panda Antivirus Titanium\TitJobs.exe
C:\Documents and Settings\Gebruiker\Mijn documenten\HH\anti spyware\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tmkvkymhvvanbj.com/37NT4oGJKH/JFKznZ5Zx6cWMsKYN_feRRoE/1edhKIpUT3in4G1Nxhb528ie6GXk.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.geocaching.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.MegaSellers.nl\welkom
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.megasellers.nl/welkom
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E69E031-B267-0187-7953-7A5CFDB6F18C} - C:\DOCUME~1\GEBRUI~1\APPLIC~1\PILEHE~1\thebib.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus1.exe"
O4 - HKLM\..\Run: [ByteBoobFourProxy] C:\Documents and Settings\All Users\Application Data\cool wipe byte boob\NurbInternet.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [close face] C:\DOCUME~1\GEBRUI~1\APPLIC~1\encbook\vc hope bin.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http:\\www.MegaSellers.nl\welkom
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/CursorManiaInitialSetup1.0.0.6.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} - http://www.spywarestormer.com/files2/Install.cab



Eerder gescand met adware 6.0

 

[buffy]

Geplaatst door Pentagram

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tmkvkymhvvanbj.com/37NT4oGJKH/JFKznZ5Zx6cWMsKYN_feRRoE/1edhKIpUT3in4G1Nxhb528ie6GXk.html

O2 - BHO: (no name) - {1E69E031-B267-0187-7953-7A5CFDB6F18C} - C:\DOCUME~1\GEBRUI~1\APPLIC~1\PILEHE~1\thebib.exe

O4 - HKLM\..\Run: [ByteBoobFourProxy] C:\Documents and Settings\All Users\Application Data\cool wipe byte boob\NurbInternet.exe
O4 - HKCU\..\Run: [close face] C:\DOCUME~1\GEBRUI~1\APPLIC~1\encbook\vc hope bin.exe

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/CursorManiaInitialSetup1.0.0.6.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} - http://www.spywarestormer.com/files2/Install.cab

Met de installatie van deze fijne toolbar ben je akkoord gegaan toen je Messenger Plus installeerde. In het vervolg dus een beetje uitkijken wat je allemaal aanvinkt en installeert. Verwijderen van dit soort onzin is lastig, maar ervoor zorgen dat het niet op je pc terechtkomt is eigenlijk heel simpel.

AdAware 6 is trouwens verouderd. Installeer de opvolger, AdAware SE: http://www.majorgeeks.com/download506.html



1. Scan met HijackThis, vink de bovenstaande items (zie quote) aan, sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

2. Herstart de pc in veilige modus.
Mocht je niet weten hoe dat moet, kijk dan hier even: http://www.virushelp.nl/veilige_modus.htm

Zorg ervoor dat verborgen bestanden en mappen worden weergegeven.
Hier kun je lezen hoe dat moet: http://users.telenet.be/marcvn/spyware/1117602.htm

Verwijder nu, in veilige modus dus, de volgende mappen:

C:\Documents and Settings\Gebruiker\Application Data\encbook <- die map
C:\Documents and Settings\Gebruiker\Application Data\PILEHE~1 <- d.w.z. die map waarvan de naam begint met "Pilehe..."
C:\Documents and Settings\All Users\Application Data\cool wipe byte boob <- die map

3. Herstart de pc in 'normale modus'.

4. Maak een nieuw log en plaats dat hier.

 

[Pentagram]

Logfile of HijackThis v1.98.2
Scan saved at 10:27:16, on 25-10-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
C:\Program Files\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE
C:\WINDOWS\Mixer.exe
C:\Program Files\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Messenger Plus! 3\MsgPlus1.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Panda Software\Panda Antivirus Titanium\pavProxy.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\MI1933~1\Office\OUTLOOK.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Gebruiker\Mijn documenten\HH\anti spyware\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.pizfdjexfjfwxpeg.uk/37NT4oGJKH/JFKznZ5Zx6cWMsKYN_feRRoE/1edhKIouStgBLnDjfRb528ie6GXk.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.geocaching.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.MegaSellers.nl\welkom
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.megasellers.nl/welkom
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus1.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http:\\www.MegaSellers.nl\welkom
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab



Het lijkt erop of het nu weer goed gaat. We hebben inmiddels ook nog allerlei snelkoppelingen op ons bureaublad gekregen en een hele reeks mappen bij "favorieten", die konden we na het "schonen", gewoon weer verwijderen. Ik weet niet of die gein veroorzaakt werd door hetzelfde euvel, maar vermoed het wel.

Heel hartelijk bedankt in ieder geval.

 

[buffy]

Dat werd inderdaad veroorzaakt door hetzelfde euvel.


Laat HijackThis het volgende item nog even fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.pizfdjexfjfwxpeg.uk/37NT...Rb528ie6GXk.asp

Start daarna de pc opnieuw op.

 

[Pentagram]

Ook meteen gedaan dus. Nogmaals, hartelijk bedankt.

Wil wel even kwijt, dat ik ontzettend blij ben dat deze service bestaat. In een gezin met opgroeiende kinderen en ouders die niet digitaal grootgebracht zijn, gebeuren er nog weleens "onverklaarbare" dingen en dan wordt een en ander knap lastig.

 

[buffy]

Graag gedaan.

Hier staat wat nuttige informatie over het voorkomen van dit soort problemen: http://www.helpmij.nl/forum/showthread.php?threadid=184512