voorpagina OE veranderd

[mysty]

Als ik Outlook Express 6 opstart (nederlandse versie) is sinds kort de voorpagina veranderd in een (verouderde?) engelstalige versie, die constant aangeeft dat ik 2 nieuwe berichten heb (ongeacht het werkelijke aantal nieuwe berichten). En alle links erop bv. adressbook, contactpersonen enz verwijzen allemaal naar de zelfde site:
"findwhatevernow.com"
Ik heb Outlook Express opnieuw geinstalleerd, maar het probleem blijft.
Het programma werk verder wel goed. Ik vind het alleen 'n beetje hinderlijk
Hoe raak ik dit kwijt?
groeten:
Mysty.

 

[Pieter Arntz]

Hé, een OE hijack.
Download HijackThis. Uitleg en link vind je hier: http://www.tomcoyote.org/hjt/
Unzip en run het. Klik op Scan > Save log en sla het log op als een .txt bestand.
Kopieer en plak de inhoud in je volgende post.
Fix nog niets. Er zitten ook dingen die je echt nodig hebt.

Groetjes,

Pieter

 

[Bennie]

Pieter, deze vorm van Hijack is inderdaad een recente loot aan de Hijackstam. Meer info.

Groetjes,
Bennie

 

[Pieter Arntz]

Hoi Bennie,

Ik had er wel van gehoord, maar nog nooit een HT log van gezien. Ik ben wel benieuwd of het daar in opduikt.
De oplossing hebben we alvast.

Groetjes,

Pieter

 

[mysty]

te groot

Hoi Pieter,
Dank voor je tip.
Ik heb gedaan wat je zei en het log-bestand opgeslagen:MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL=http://sharempeg.com/xfind/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://sharempeg.com/xfind/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://sharempeg.com/xfind/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.startpagina.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL=http://findloss.com/home.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://sharempeg.com/xfind/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://findloss.com/srchasst.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar=http://findloss.com/srchasst.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page=http://findloss.com/home.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL=http://findloss.com/home.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default)=http://findloss.com/home.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=D:\WINDOWS\System32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=%SystemRoot%\system32\blank.htm
O1 - Hosts: 217.116.231.7 aimtoday.aol.com
O1 - Hosts: 217.116.231.7 aimtoday.aol.com
O2 - BHO: (no name) - {601ED020-FB6C-11D3-87D8-0050DA59922B} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\windows\downloaded program files\GoogleToolbar_nl_1.1.60-deleon.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Qidion - {3789CBF0-C4CA-4e98-B93B-22ACF0587FBA} - D:\WINDOWS\qi32.dll
O4 - HKLM\..\Run: [IgfxTray] D:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] D:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "F:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] D:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] D:\WINDOWS\Drivers\iTouch.exe
O4 - HKLM\..\Run: [NPS Event Checker] D:\PROGRA~1\Navnt\npscheck.exe
O4 - HKLM\..\Run: [NAV DefAlert] D:\PROGRA~1\Navnt\defalert.exe
O4 - HKLM\..\Run: [Norton eMail Protect] D:\Program Files\Navnt\POPROXY.EXE
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [HotVideo_nl] c:\program files\dialers\hotvideo_nl\hotvideo_nl.exe /noconnect
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RapidBlaster] D:\Program Files\RapidBlaster\rb32.exe
O4 - HKLM\..\Run: [AmsterdamXXX] D:\WINDOWS\System32\AmsterdamXXX0312B.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Internet Washer Pro] D:\Program Files\Internet Washer Pro\iw.exe min
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: ConferenceRoom Java Client - http://chat.privatefeeds.com:8000/java/cr.cab
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://www.sexeinvasion.com/2/maisonx.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1DA3C4AB-E6B6-47A6-B0F3-1BD81524B51B} (ActiveWorldsDownload Control) - http://www.activeworlds.com/products/ActiveWorldsDownload.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...apple.com/qt505/nl/win/QuickTimeInstaller.exe
O16 - DPF: {525A15D0-4938-11D4-94C7-0050DA20189B} - http://nl.ea.com/downloads/games/common/snoopy/iesnoopy.cab
O16 - DPF: {7A32634B-029C-4836-A023-528983982A49} (MSN Chat Control 4.2) - http://fdl.msn.com/public/chat/msnchat42.cab
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://www.x0.nl/install2/dialxs.ocx
O16 - DPF: {A51DEDCD-20F7-11D4-98A5-00C0CA130748} (Tintel Class) - http://exe.dialer.tintel.nl/tcw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Ik hoop dat je er wat mee kunt.
Maak maar geen haast, want ik ga morgen-ochtend met vakantie (2 weken)
Alvast bedankt.
Groeten Mysty

 

[Pieter Arntz]

Hoi mysty,

Dat moeten we kunnen oplossen voor je weggaat.
Download en run eerst: http://www.wilderssecurity.net/specialinfo/rapidblaster.html
Vink dan de onderstaande items aan in HijackThis, sluit alle vensters behalve HijackTHis en klik op Fix checked:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL=http://sharempeg.com/xfind/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://sharempeg.com/xfind/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://sharempeg.com/xfind/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL=http://findloss.com/home.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://sharempeg.com/xfind/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://findloss.com/srchasst.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar=http://findloss.com/srchasst.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page=http://findloss.com/home.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL=http://findloss.com/home.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default)=http://findloss.com/home.html
O1 - Hosts: 217.116.231.7 aimtoday.aol.com
O2 - BHO: (no name) - {601ED020-FB6C-11D3-87D8-0050DA59922B} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [HotVideo_nl] c:\program files\dialers\hotvideo_nl\hotvideo_nl.exe /noconnect
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RapidBlaster] D:\Program Files\RapidBlaster\rb32.exe
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://www.sexeinvasion.com/2/maisonx.exe
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://www.x0.nl/install2/dialxs.ocx
O16 - DPF: {A51DEDCD-20F7-11D4-98A5-00C0CA130748} (Tintel Class) - http://exe.dialer.tintel.nl/tcw.cab

Start daarna opnieuw op en zoek het volgende bestandje op:
D:\WINDOWS\qi32.dll
en mail me daarvan een kopietje. Adres zet ik zo in je PB.
Kun je me misschien vertellen waar dit voor dient:
O4 - HKLM\..\Run: [AmsterdamXXX] D:\WINDOWS\System32\AmsterdamXXX0312B.exe ?

Groetjes,

Pieter

 

[Pieter Arntz]

Nadat je dat bestandje naar mij gestuurd hebt mag je deze:
O3 - Toolbar: Qidion - {3789CBF0-C4CA-4e98-B93B-22ACF0587FBA} - D:\WINDOWS\qi32.dll
ook laten fixen www. qidion.com wordt geredirect naar FindWhateverNow. Dus dat is waarschijnlijk de oorzaak van je probleem.

Groetjes,

Pieter

 

[Pieter Arntz]

Kan geen bericht verwijderen.

 

[mysty]

sorry

Sorry Pieter,
Ik heb per abuis een hoofdletter getyped in mijn adres. Het moet zijn kabee777@hotmail.com
Ik hoop laatste keer, moet koffers nog pakken.
Groet Mysty.

 

[Pieter Arntz]

OK, is onderweg. Je kunt je e-mailadres weghalen.

Groetjes,

Pieter

 

[mysty]

vakantie

Hoi Pieter,
Heb ook dat laatste bestandje gefixed, maar het probleem is er nog steeds.
Ga nu op vakantie.
Ben over 2 weken terug, meld me dan weer hier.
Groet Mysty.

 

[Pieter Arntz]

Ik heb hem gekregen. Met een beetje geluk hoef je alleen nog maar met AdAware of Spybot te scannen, als je terug bent van vakantie, om je probleem helemaal op te lossen, anders hoor ik het hier wel.
Ik zal de email notificatie voor dit topic aanzetten.

Groetjes,

 

[mysty]

nog niet opgelost

Hoi Pieter,
Ben weer terug van vakantie.
Heb de pc gescanned met spy-bot en voor de optie "alle problemen repareren" gekozen. (180!!!). Ik hoop dat dat de bedoeling was.
Maar het probleem met de foute voorpagina van OE is er nog steeds.
Groetjes Mysty.

 

[Pieter Arntz]

Hi mysty,

Grrmbl. Ik zal morgen mijn testcomputer even mishandelen. Ik kom er daarna op terug.
Kun jij ondertussen even zoeken of het
bestandje D:\WINDOWS\qi32.dll nog op je computer staat en zoja, het in veilige modus verwijderen?

Groetjes,

Pieter

 

[mysty]

tijdje geleden

Hoi Pieter,
het is al weer een tijdje geleden, en in die tijd ben ik ook nog even getrouwd, maar kan jij mij nog verder helpen met die stomme voorpagina van OE.
Het laatste was dat ik dat bestandje (qi32.dll) in veilige modus moest verwijderen. Dan zou jij je testpc. gaan mishandelen. Ik heb daarna niets meer vernomen. Je bent toch niet te streng voor hem geweest............
Groet:Mysty

 

[Pieter Arntz]

Hoi mysty,

De blauwe schermen waren niet van de lucht.
Ik ben ondertussen van die voorpagina af, maar dat komt alleen maar doordat ik er een ander OS op heb gezet.

Ondertussen is HijackThis wel sterk veranderd. Zou je eens een nieuwe versie willen downloaden en daarvan een log willen plaatsen?

Groetjes,

Pieter

 

[mysty]

hijack log

Hoi Pieter,
Daar gaatie dan weer.
Hier is dat log-file van hijack:

Logfile of HijackThis v1.96.4
Scan saved at 14:42:50, on 7-9-2003
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\AVPersonal\AVGUARD.EXE
D:\Program Files\AVPersonal\AVWUPSRV.EXE
D:\PROGRA~1\Navnt\npssvc.exe
D:\Program Files\Norton Utilities\NPROTECT.EXE
D:\Program Files\Speed Disk\nopdb.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\ZipToA.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\igfxtray.exe
D:\WINDOWS\System32\hkcmd.exe
D:\WINDOWS\Mixer.exe
D:\WINDOWS\System32\pctspk.exe
D:\WINDOWS\System32\qttask.exe
D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
D:\Program Files\Navnt\POPROXY.EXE
D:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
D:\WINDOWS\System32\AmsterdamXXX0312B.exe
D:\Program Files\Common Files\Real\Update_OB\realsched.exe
D:\Program Files\AVPersonal\AVGNT.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\Norton Utilities\SYSDOC32.EXE
D:\Program Files\Iomega\Tools\IMGICON.EXE
D:\Program Files\SpamPal\spampal.exe
D:\WINDOWS\System32\wuauclt.exe
D:\WINDOWS\Drivers\iTouch.exe
D:\Documents and Settings\Computer\Bureaublad\setup\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://sharempeg.com/xsearch/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\windows\downloaded program files\GoogleToolbar_nl_1.1.60-deleon.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] D:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] D:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "F:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] D:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] D:\WINDOWS\Drivers\iTouch.exe
O4 - HKLM\..\Run: [NPS Event Checker] D:\PROGRA~1\Navnt\npscheck.exe
O4 - HKLM\..\Run: [NAV DefAlert] D:\PROGRA~1\Navnt\defalert.exe
O4 - HKLM\..\Run: [Norton eMail Protect] D:\Program Files\Navnt\POPROXY.EXE
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [AmsterdamXXX] D:\WINDOWS\System32\AmsterdamXXX0312B.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] D:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Internet Washer Pro] D:\Program Files\Internet Washer Pro\iw.exe min
O4 - Startup: SpamPal.lnk = D:\Program Files\SpamPal\spampal.exe
O4 - Global Startup: Norton System Doctor.lnk = D:\Program Files\Norton Utilities\SYSDOC32.EXE
O4 - Global Startup: Iomega Icons.lnk = D:\Program Files\Iomega\Tools\IMGICON.EXE
O4 - Global Startup: Iomega Startup Opties.lnk = D:\Program Files\Iomega\Tools\IMGSTART.EXE
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: ConferenceRoom Java Client - http://chat.privatefeeds.com:8000/java/cr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1DA3C4AB-E6B6-47A6-B0F3-1BD81524B51B} (ActiveWorldsDownload Control) - http://www.activeworlds.com/products/ActiveWorldsDownload.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...apple.com/qt505/nl/win/QuickTimeInstaller.exe
O16 - DPF: {525A15D0-4938-11D4-94C7-0050DA20189B} - http://nl.ea.com/downloads/games/common/snoopy/iesnoopy.cab
O16 - DPF: {7A32634B-029C-4836-A023-528983982A49} - http://fdl.msn.com/public/chat/msnchat42.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab

 

[Pieter Arntz]

Hoi Mysty,

Deze kun je in ieder geval door HijackThis laten Fixen (alle vensters behalve HijackThis sluiten):
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://sharempeg.com/xsearch/index.php

Start daarna opnieuw op.
Maak handmatig een herstelpunt aan.
Start > Uitvoeren > regedit > OK
Selecteer Deze computer in de Register Editor > Bewerken > Zoeken > qi32.dll
verwijder alle verwijzingen hiernaar met F3 ga je steeds naar de volgende.

Groetjes,

Pieter

 

[mysty]

qi32.dll verwijderd

Hoi Pieter,
Heb alle verwijzingen naar qi32.dll uit register verwijderd.
Een bestandje bleef echter bestaan (pb standaard --REG_SZ -- (geen waarde ingesteld)).
Ook hijack-fix uitgevoerd, maar volgens mij had dit nix te maken met probleem met OE?
Ik hoor wel weer van je.
Groet:
Mysty.

 

[Pieter Arntz]

Hoi mysty,

Dit zou hem wel eens kunnen zijn.
Maak handmatig een herstelpunt aan voor de zekerheid.

Start > Run > regedit > ok

Ga naar HKEY_USERS\S-1-5-nummer\Identities\{nog een lang nummer}\Software\Microsoft\Outlook Express\5.0

Als er in het rechtergedeelte een sleutel FrontPagePath voorkomt rechtsklik je erop en kiest verwijderen.

Groetjes,

Pieter