verwijderen ongewenste startpagina's

[habermehl]

elke keer wijzigt de startpagina automatisch in www.firehunter.com. waarschijnlijk is hij er per ongeluk ingesteld door mijzelf ( ik wilde een cd downloaden via mp3.com). Als ik de startpagina wijzig in bijv. de startpagina.nl , staat hij na een paar min. weer op www.firehunter.com. Ook verschijnt deze pagina(het zijn er trouwens 3) ook als ik gewoon op het internet bezig ben. Via de normale weg, dus via eigeschappen-startpagina instellen, gaat het niet. controleren op spywire heeft ook niet geholpen. WIE WEET RAAD !!!

alvast bedankt voor 't meedenken

ruud

 

[Jappie-zland]

Dat is waarschijnlijk een soort spyware
Scan je computer eens met Spybot Search en Destroy

 

[the_dannyboy]

'K verwacht dat het een virus is (trojan)

 

[Pieter Arntz]

Download HijackThis. Uitleg en link vind je hier: http://www.tomcoyote.org/hjt/
Unzip en run het. Klik op Scan > Save log en sla het log op als een .txt bestand.
Kopieer en plak de inhoud in je volgende post.

Groetjes,

Pieter

 

[Pieter Arntz]

habermehl,

Je stuurde me een mailtje dat je de pagina verwijderd had met HijackThis, maar dat de pagina toch terug kwam.
Wil je dan svp het log plaatsen? Dat p****kke programma start ook ergens op en verandert dan gewoon je startpagina, dus met alleen de startpagina verwijderen kom je er niet.

Groetjes,

Pieter

 

[habermehl]

Logfile of HijackThis v1.92.1
Scan saved at 22:20:21, on 25-3-03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL=http://searchbar.linksummary.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL=http://ie.shopforgood.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://www.free-popup-killer.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://www.free-popup-killer.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.egoog.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL=http://ie.shopforgood.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar=http://www.free-popup-killer.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page=http://www.free-popup-killer.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://www.free-popup-killer.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default)=http://www.free-popup-killer.com/ie/?q=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer=http=proxy.12move.nl:8080
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL
O2 - BHO: (no name) - {6ACD11BD-4CA0-4283-A8D8-872B9BA289B6} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {A8B9F08F-2FC4-4ADE-9049-CFBA586971BA} - C:\WINDOWS\SYSTEM\BHO2.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SM56ACL] sm56hlpr.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [NPROTECT] C:\Program Files\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\SYSTEM\QTTASK.EXE
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [Creative Launcher] C:\PROGRAM FILES\CREATIVE\LAUNCHER\CTLAUNCHER.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Eac_Download] C:\PROGRAM FILES\COMMON FILES\EACCELERATION\DOWNLOAD.EXE -k
O4 - HKLM\..\Run: [PromulGate] "C:\Program Files\DelFin\PromulGate\PgMonitr.exe"
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [MSRegSvc] C:\WINDOWS\SYSTEM\REGSVC32.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [KM9801U] C:\PROGRA~1\KM9801U\MMHotKey.EXE
O4 - HKLM\..\Run: [regsvc32] C:\WINDOWS\SYSTEM\REGSVC32.exe
O4 - HKLM\..\Run: [KAZAA] C:\Program Files\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [WhenUSave] C:\Program Files\Save\Save.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [NPROTECT] C:\Program Files\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [ccEvtMgr] C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKCU\..\Run: [eZulaMain] C:\Program Files\eZula\eZulaMain.exe
O4 - HKCU\..\Run: [AutoEA] C:\PROGRAM FILES\CREATIVE\SBLIVE\AUDIOHQ\ahqrun.exe "C:\Program Files\Creative\ShareDLL\AHQ\CTAutoEA.ahq" 0
O4 - HKCU\..\Run: [Babylon Translator] C:\Program Files\Babylon\Babylon.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Norton System Doctor.lnk = C:\Program Files\Norton Utilities\SYSDOC32.EXE
O4 - Startup: UD Agent.lnk = C:\Program Files\United Devices\UD.EXE
O4 - Startup: Digimax Viewer 1.0.lnk = C:\Program Files\Samsung\Digimax Viewer 1.0\DigimaxViewer.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Onderzoekscentrum (HKLM)
O12 - Plugin for .avi: C:\PROGRA~1\Intern~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .vbs: C:\PROGRA~1\Intern~1\PLUGINS\npqtplugin.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/20011202/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - http://activex.microsoft.com/activex/controls/sdkupdate/sdkinst.cab
O16 - DPF: {1D2DCA0D-B30F-40AD-9690-087105F214EC} (IEDial Class) - http://download.nocreditcard.com/download/Object/ieaccess2.cab
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://www.x0.nl/install2/dialxs.ocx
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37631.5685416667
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {11BF0E2B-4229-4ADC-9C11-1C6968731018} (Download Class) - http://download1.0190-dialer.com/Borkum.cab

 

[Pieter Arntz]

Hoi habermehl,

Eerst even in Configuratiescherm > Software de volgende verwijderen: KaZaa en SaveNow aka WhenUSave.

Dan Hijackthis nog een scan draaien en de volgende aanvinken. Zorg dat alle IE, OE en verkenner vensters gesloten zijn en klik dan op Fix checked.
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL=http://searchbar.linksummary.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL=http://ie.shopforgood.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://www.free-popup-killer.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://www.free-popup-killer.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.egoog.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL=http://ie.shopforgood.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar=http://www.free-popup-killer.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page=http://www.free-popup-killer.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://www.free-popup-killer.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default)=http://www.free-popup-killer.com/ie/?q=%s
O2 - BHO: (no name) - {6ACD11BD-4CA0-4283-A8D8-872B9BA289B6} - (no file)
O4 - HKLM\..\Run: [MSRegSvc] C:\WINDOWS\SYSTEM\REGSVC32.exe
O4 - HKLM\..\Run: [KAZAA] C:\Program Files\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [WhenUSave] C:\Program Files\Save\Save.exe
O4 - HKCU\..\Run: [eZulaMain] C:\Program Files\eZula\eZulaMain.exe
O16 - DPF: {1D2DCA0D-B30F-40AD-9690-087105F214EC} (IEDial Class) - http://download.nocreditcard.com/do...t/ieaccess2.cab
O16 - DPF: {11BF0E2B-4229-4ADC-9C11-1C6968731018} (Download Class) - http://download1.0190-dialer.com/Borkum.cab

Deze weet ik niet zeker:
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://www.x0.nl/install2/dialxs.ocx
Svp even daarvoor in de map Downloaded Program Files dat bestand opzoeken, erop rechtsklikken en bij eigenschappen kijken of het iets is dat je kent.
Zoniet verwijderen.

Start dan opnieuw op en download Spybot S&D of Adaware 6. Beide verkrijgbaar hier: http://www.majorgeeks.com/showfiles.php?cat=31
Zorg ervoor dat je eerst update voor je scant.
Als je voor Spybot kiest verwijder dan de eerste keer alleen die dingen die in het rood zijn aagegeven.
Als je voor Adaware kiest klik dan na de scan eerstop quarantaine voor je alles verwijderd.

Voor een spywarevrije versie van Kazaa kun je hier terecht: http://www.kazaalite.nl/nl/

Bij verdere vragen, hoor ik het wel. Maak voor de zekerheid nog een HijackThis log als je alles gedaan hebt, dan kijk ik even of het allemaal goed gegaan is.

Groetjes,

Pieter

 

[habermehl]

probleem opgelost

beste pieter,

HET LIJKT EROP DAT HET GELUKT IS !!

Na het scannen met Hijjackthis en later spybot, heb nu al twee dagen geen last . Die vervelende ongewenste pagina's zijn (lijken) eruit.

bedankt voor je hulp !

ruud

 

[Pieter Arntz]

Mooi zo. :thumb:
Linksummary is een taaie. Kijk nog even naar je instellingen van ActiveX in IE of download SpywareBlaster om toekomstige besmettingen te voorkomen.

Groetjes,

Pieter

 

[bolleke]

@Pier Arntz
Bedankt voor de tip inzake Hijack This.
Bolleke

 

[Pieter Arntz]

Geplaatst door bolleke
@Pier Arntz
Bedankt voor de tip inzake Hijack This.
Bolleke

Graag gedaan, maar bedank Merijn maar voor het maken ervan.

Als je hulp nodig hebt, zie ik het wel.

Groetjes,

Pieter