[Adware] Hijacker

**07-04-2004, 18:56**

IK heb een hijacker op m'n comp die zichzelf blijft downloaden, ook al heb ik de directory al gedelete en alles met spybot nagekeken. De spyware die ik vond (CommonHijacker) heb ik verwijderd, maar als ik m'n comp vervolgens reboot staat hij er gewoon weer op. Heeft iemand een oplossing?

Martin · **07-04-2004, 19:44**

Heb je wel een virusscanner? Wat dacht je van Spybot Search & Destroy?

freyk · **07-04-2004, 21:24**

Doe het volgende:
1. lees de de anti spyware faq door.
2. Download en gebruik dan spybot of adaware
(download dan wel de nieuwste definities)
3. Post hier je log met hijackthis (zie mijn faq)
zodat wij dan kunnen aangeven welke startup sleutel uit je register moet wissen.

**08-04-2004, 11:50**

Citaat:

superduck schreef op 07-04-2004 @ 19:56 :
en alles met spybot nagekeken.

**08-04-2004, 12:00**

Logfile of HijackThis v1.97.7
Scan saved at 12:56:35, on 8-4-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\autoupdt.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
C:\Program Files\Lexmark X74-X75\lxbbbmgr.exe
C:\windows\redirect7.exe
C:\WINDOWS\System32\ls.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Lexmark X74-X75\lxbbbmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\blastfixer\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/QuickPage/Portal/portal.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/QuickPage/Portal/portal.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: (no name) - {029CA12C-89C1-46a7-A3C7-82F2F98635CB} - C:\Program Files\Kontiki\bin\bh309190.dll
O2 - BHO: NavErrRedir Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6D570A66-4425-8887-13FD-120A6E8CC21E} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2E0099} - (no file)
O3 - Toolbar: (no name) - {0D5BA101-D648-69DC-D587-028CF2E40E41} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [RealTray] C:\Fenne\real player voor idols nodig\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ELR] C:\WINDOWS\ELR.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Flag less] C:\PROGRA~1\ANTIFI~1\boob free.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Program Files\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [easywww] C:\windows\easywww2.exe
O4 - HKLM\..\Run: [redirect] C:\windows\redirect7.exe
O4 - HKLM\..\Run: [QuickZip] C:\WINDOWS\System32\ls.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\2.bin\MWSOEMON.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZC
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/pub...ctor/swdir.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_41.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4F6F50E-D795-45E6-B8CE-ED44E26D72B0}: NameServer = 213.227.141.10 213.227.130.5

2 dingen die ik tegenkwam staan dikgedrukt: de 1e is waar ik het in de startpost over had, de 2e is een toolbar die spybot wel kon vinden maar niet kon verwijderen (ook niet na een reboot)

dafelix · **08-04-2004, 12:02**

spyware alright

start 'ns op in Safe Mode (bij boot-screen F8 indrukken -> safe mode selecteren) en scan met Spybot, laat hem alle troep weghalen en download dan de updates van Spybot (via Online Tools -> update) en scan nogmaals

that SHOULD do the trick... not sure though

freyk · **08-04-2004, 12:35**

Ten eerste, kijk altijd goed uit bij de installatie van messenger plus voor adware.
De installatie vraagt duidelijk of je adware wil instaleren.

Ten tweede, ik herhaal ik heb gezegd: Download voor adaware of voor spybot de nieuwste definities, zodat ze meer spy- adware kunnen ontdekken.

Ten derde, als het echt echt niet lukt, moet je de boel handmatig gaan verwijderen via het register. (pm me maar voor tips)

Ten vierde raad ik je ook nog ff ten strengste aan om mijn faq te lezen op forum faq

Citaat:

dafelix schreef op 08-04-2004 @ 13:02 :
start 'ns op in Safe Mode (bij boot-screen F8 indrukken -> safe mode selecteren) en scan met Spybot, laat hem alle troep weghalen en download dan de updates van Spybot (via Online Tools -> update) en scan nogmaals

Je pc laten scannen in de safe mode, is moeilijk doen als het makkelijk kan.
Laat spybot je pc maar eens scannen, als hij wat vind veel repareren.
Maar sommige bestanden kunnen vast zitten in het geheugen. Spybot zal dat opmerken en zal dan vragen of spybot automatisch kan worden opstart tijdens het opstarten van je pc (selecteer hier ja)
Laat daarna nog ff adaware nog de boel scannen!

**08-04-2004, 18:08**

Citaat:

freyk schreef op 08-04-2004 @ 13:35 :
Ten eerste, kijk altijd goed uit bij de installatie van messenger plus voor adware.
De installatie vraagt duidelijk of je adware wil instaleren.

Ten tweede, ik herhaal ik heb gezegd: Download voor adaware of voor spybot de nieuwste definities, zodat ze meer spy- adware kunnen ontdekken.
gedaan
Ten derde, als het echt echt niet lukt, moet je de boel handmatig gaan verwijderen via het register. (pm me maar voor tips)

Ten vierde raad ik je ook nog ff ten strengste aan om mijn faq te lezen op forum faq

gedaan

Laat spybot je pc maar eens scannen, als hij wat vind veel repareren. gedaan
Maar sommige bestanden kunnen vast zitten in het geheugen. Spybot zal dat opmerken en zal dan vragen of spybot automatisch kan worden opstart tijdens het opstarten van je pc (selecteer hier ja)hij werd gewoon verwijderd, bleef niets achter
Laat daarna nog ff adaware nog de boel scannen!

**08-04-2004, 18:09**

Citaat:

dafelix schreef op 08-04-2004 @ 13:02 :
spyware alright

start 'ns op in Safe Mode (bij boot-screen F8 indrukken -> safe mode selecteren) en scan met Spybot, laat hem alle troep weghalen en download dan de updates van Spybot (via Online Tools -> update) en scan nogmaals

that SHOULD do the trick... not sure though

Waarom scannen, udaten en nog een keer scannen? Waarom niet gewoon updaten en dan pas scannen?

dafelix · **08-04-2004, 18:27**

Citaat:

superduck schreef op 08-04-2004 @ 19:09 :
Waarom scannen, udaten en nog een keer scannen? Waarom niet gewoon updaten en dan pas scannen?

zo staat het bescrhreven op de Spybot S&D site, wss omdat spyware de updates ook nog wel 'ns wil vern**ken oid

freyk · **08-04-2004, 19:44**

En als spybot of adaware hem niet kan wissen.
Dan verwijder je hem toch handmatig?

**08-04-2004, 21:16**

Dan moet ik handmatig het register gaan veranderen, denk niet dat dat goed gaat.......

M@rco · **08-04-2004, 21:18**

CWShredder.

http://www.spywareinfo.com/~merijn/cwschronicles.html

freyk · **09-04-2004, 20:17**

Citaat:

superduck schreef op 08-04-2004 @ 22:16 :
Dan moet ik handmatig het register gaan veranderen, denk niet dat dat goed gaat.......

Tuurlijk gaat dat wel goed, zolang je maar een backup maakt van je register.

**09-04-2004, 20:32**

Citaat:

M@rco schreef op 08-04-2004 @ 22:18 :
CWShredder.

http://www.spywareinfo.com/~merijn/cwschronicles.html

Heb van die site Startup list gedownload. Hoe kan ik die veranderen? M'n autoexec.bat(of hoe heet dat ding) aanpassen?

freyk · **09-04-2004, 20:55**

Citaat:

superduck schreef op 09-04-2004 @ 21:32 :
Heb van die site Startup list gedownload. Hoe kan ik die veranderen? M'n autoexec.bat(of hoe heet dat ding) aanpassen?

Die beide dingen zijn scanner, die helpen je dus geen zier.
Ze scannen maar verwijderen niet.

Offtopic: Je krijgt het er maar moeilijk af, he?! Pm me maar als ik je persoonlijk ff mag helpen.
Want het automatisch verwijderen van adware is altijd onwijs saai, handmatig wissen is veel leuker!

**09-04-2004, 21:03**

Citaat:

freyk schreef op 09-04-2004 @ 21:55 :
Die beide dingen zijn scanner, die helpen je dus geen zier.
Ze scannen maar verwijderen niet.

Offtopic: Je krijgt het er maar moeilijk af, he?! Pm me maar als ik je persoonlijk ff mag helpen.
Want het automatisch verwijderen van adware is altijd onwijs saai, handmatig wissen is veel leuker!

Weet dat het scanners zijn, mar nu zie ik tenminste wel welke er allemaal draaien. (Er zitten er een paar bij waar ik nog geen last van heb)

freyk · **09-04-2004, 21:05**

En dat hebben spybot en adaware dus ook.
Ik heb liever een allen-in-één programma dan een aantal losse programma's.

Offtopic: Maar mijn uitnodiging om je te helpen staat nog steeds vast he?! Ik wacht op je pm,...

**09-04-2004, 21:10**

die is gestuurd voor ik postte.........

**09-04-2004, 22:32**

Alles is weg! Bedankt!

*knielt*

07-04-2004, 18:56
Verwijderd	IK heb een hijacker op m'n comp die zichzelf blijft downloaden, ook al heb ik de directory al gedelete en alles met spybot nagekeken. De spyware die ik vond (CommonHijacker) heb ik verwijderd, maar als ik m'n comp vervolgens reboot staat hij er gewoon weer op. Heeft iemand een oplossing?

07-04-2004, 19:44
Martin	Heb je wel een virusscanner? Wat dacht je van Spybot Search & Destroy?

08-04-2004, 12:02
dafelix	spyware alright start 'ns op in Safe Mode (bij boot-screen F8 indrukken -> safe mode selecteren) en scan met Spybot, laat hem alle troep weghalen en download dan de updates van Spybot (via Online Tools -> update) en scan nogmaals that SHOULD do the trick... not sure though __________________ $karma++;

08-04-2004, 19:44
freyk	En als spybot of adaware hem niet kan wissen. Dan verwijder je hem toch handmatig? __________________ "Typefouten zijn gratis" \| "Daar is vast wel een knopje voor" \| "Ik weet, want ik zoek" \| Powered by Firefox, Chromium, Mac OS X, OpenSuse, and Google.

08-04-2004, 21:16
Verwijderd	Dan moet ik handmatig het register gaan veranderen, denk niet dat dat goed gaat.......

08-04-2004, 21:18
M@rco	CWShredder. http://www.spywareinfo.com/~merijn/cwschronicles.html __________________ What experience and history teach is this — that people and governments never have learned anything from history, or acted on principles deduced from it.

09-04-2004, 21:05
freyk	En dat hebben spybot en adaware dus ook. Ik heb liever een allen-in-één programma dan een aantal losse programma's. Offtopic: Maar mijn uitnodiging om je te helpen staat nog steeds vast he?! Ik wacht op je pm,... __________________ "Typefouten zijn gratis" \| "Daar is vast wel een knopje voor" \| "Ik weet, want ik zoek" \| Powered by Firefox, Chromium, Mac OS X, OpenSuse, and Google.

09-04-2004, 21:10
Verwijderd	die is gestuurd voor ik postte.........

09-04-2004, 22:32
Verwijderd	Alles is weg! Bedankt! knielt

Advertentie