[Centraal] Spyware & Adware

[Chilli Dude]

Citaat:

Rach-: schreef op 16-06-2004 @ 14:54 :
Tadaaa...

Logfile of HijackThis v1.97.7
Scan saved at 14:53:33, on 16-6-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

C:\Program Files\Messenger Plus! 2\MsgPlus.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/NowOnline/Portal/portal.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/NowOnline/Portal/portal.html

O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"

Files\Java\j2re1.4.2_03\bin\jusched.exe

xal wel veel over het hoofd gezien hebben maar bekijk iig deze even...

[freyk]

Leuk geprobeert Chillidude
Maar het volgende kan je wel wegstrepen uit je lijst

Citaat:

O4 - HKLM\..\Run: [SoundMan] soundman.exe
Files\Java\j2re1.4.2_03\bin\jusched.exe
Files\Messenger Plus! 2\MsgPlus.exe"

Soundman is voor de geluidskaart,
Jusched is een update mechanisme voor java software voor de desktop.
En messenger plus kan je ook uit je lijstje gooien, omdat ik geen bar ziet staan in de hijackthislog.

We zien wel dat wanneer rach-: haar browser optart, automatisch een pagina laad dat op haar hardeschijf staat.
Om precies te zijn: C:\Program Files\NowOnline\Portal\portal.html
Deze kan ze wel gaan wijzigen bij haar internetopties, maar ik durf dan te wedden dat die dan toch automatisch weer terug komt.
Je kan beter deze gaan wijzigen in je register.

Maar verder zie ik niks verdachts

[Rachel]

Mjah dat helpt idd niet met die startpagina veranderen... want dat doe ik dagelijks maar bij spysweeper krijg je een melding als hij veranderd wordt... zegt ie wil je dat ... veranderd wordt door ... en dan klik ik nee
wel irritant maja

bedankt iig...

[freyk]

Maar om zeker van te zijn dat je geen bar hebt, zou je dan ff een screenshot van je internet verkenner willen maken en deze in deze topic willen plaatsen?


Hoe maak ik een screenshot

• Druk op je printscreenknopje (aan de rechtsbovenaan, prt scrn)
  (Je zult nu niks merken dat er een screenshot word gemaakt.)
• ga naar paint toe.
• druk op bewerken -> plakken
• en sla het bestandje op. (het liefste als een .jpeg)

Hoe je een screenshot in deze topic gooit? gebruik de zoekfunctie van dit forum

Die sleutel heb ik handmatig uit het register moeten gooien. start op in safe mode, oppen register editor, en gebruik de zoekfunctie om te zoeken op NowOnline. Als je niets vindt zoek dan op portal.

[Rachel]

dat ik geen bar heb
wat is een bar :$
zo'n toolbar?! die heb ik iig niet want die heb ik zelf verwijderd

@superduck, denk dat ik dat noooit kan :$

[freyk]

Bar -> Ja, een toolbar dus.

Offtopic:

Citaat:

superduck schreef op 17-06-2004 @ 08:56 :
Die sleutel heb ik handmatig uit het register moeten gooien. start op in safe mode, oppen register editor, en gebruik de zoekfunctie om te zoeken op NowOnline. Als je niets vindt zoek dan op portal.

In safe mode met je register gaan prutsen?!
Waarom zo moeilijk doen als het makkelijk kan?

[Rachel]

Kan je het mij makkelijk uitleggen :$
maar nog ff iets he...
wat ik nou ook niet snap.. is dat ik met Ad-Aware en Spybot dingen kan scannen maar hij verwijderd ze niet ... iig als ik dan weer scan heb ik ze weer
3 verschillende dingetjes :$


edit; wat ik ook zo debiel vind.. als ik ad-aware doe, verwijder ik dingen en scan ik opnieuw en dan vind ie hem weer

*snap der niks van hoor*

[freyk]

Als je de beginposts had doorgelezen, kwam je hier terrecht.

[Rachel]

Oke sorry...
ben nogal huiverig om dat te gaan doen enzo..

edit; heb hem verwijderd

[freyk]

Citaat:

Rach-: schreef op 17-06-2004 @ 10:07 :
Oke sorry...
ben nogal huiverig om dat te gaan doen enzo..

Hoor je ook te zijn als je in het register gaat kloten.
Als hierin iets verkeerd doet, dan kan je je windows weggooien.

Citaat:

Rach-: schreef op 17-06-2004 @ 10:07 :
edit; heb hem verwijderd

Die startpagina?
Wat heb je precies gedaan?

[Rachel]

ow ben in dat register ding gegaan
en hem opgezocht en verwijderd

[freyk]

Citaat:

Rach-: schreef op 17-06-2004 @ 12:55 :
ow ben in dat register ding gegaan
en hem opgezocht en verwijderd

Okay, weten we dat ook weer hé

Citaat:

freyk schreef op 17-06-2004 @ 09:25 :
Offtopic:
In safe mode met je register gaan prutsen?!
Waarom zo moeilijk doen als het makkelijk kan?

Omdat Hijackthis hem niet goed verwijderde. En in normal mode verwijderen ging ook niet. Maar goed, hij is nu weg bij Rach-:.


Offtopic: En als je moeilijk gaat doen, doe het dan goed

[freyk]

Citaat:

superduck schreef op 17-06-2004 @ 21:07 :
Omdat Hijackthis hem niet goed verwijderde. En in normal mode verwijderen ging ook niet. Maar goed, hij is nu weg bij Rach-:.

Doe het dan ook niet via hijackthis, maar liever handmatig.

[offtopic]

Citaat:

superduck schreef op 17-06-2004 @ 21:07 :Offtopic: En als je moeilijk gaat doen, doe het dan goed [/B]

Offtopic:
moet je horen wie het zegt

[Chilli Dude]

Citaat:

freyk schreef op 17-06-2004 @ 08:30 :
Leuk geprobeert Chillidude
Maar het volgende kan je wel wegstrepen uit je lijst

Soundman is voor de geluidskaart,
Jusched is een update mechanisme voor java software voor de desktop.
En messenger plus kan je ook uit je lijstje gooien, omdat ik geen bar ziet staan in de hijackthislog.

We zien wel dat wanneer rach-: haar browser optart, automatisch een pagina laad dat op haar hardeschijf staat.
Om precies te zijn: C:\Program Files\NowOnline\Portal\portal.html
Deze kan ze wel gaan wijzigen bij haar internetopties, maar ik durf dan te wedden dat die dan toch automatisch weer terug komt.
Je kan beter deze gaan wijzigen in je register.

Maar verder zie ik niks verdachts

kben niet zo gedreven in hijack lijstjes geloof ik

[Rachel]

Citaat:

freyk schreef op 17-06-2004 @ 20:39 :
Okay, weten we dat ook weer hé

goed he

[freyk]

Citaat:

Rach-: schreef op 17-06-2004 @ 23:49 :
goed he

Ja hoor, maar ik was benieuwd hoe je aan steeds veranderende startpagina komt.
Ik bedoel ik kan de site van NowOnline niet vinden.
Omdat ik ad-ware verzamel en dan uitzoek hoe je het makkelijk kan verwijderen.

[Rachel]

Citaat:

freyk schreef op 18-06-2004 @ 08:34 :
Ja hoor, maar ik was benieuwd hoe je aan steeds veranderende startpagina komt.
Ik bedoel ik kan de site van NowOnline niet vinden.
Omdat ik ad-ware verzamel en dan uitzoek hoe je het makkelijk kan verwijderen.

Ooo... ja ik weet ook niet... en als hij hem dan veranderde, dan kreeg ik niet mijn internetsites waar ik geweest was, maar die lijst van A schijf, C schijf, bla bla bla
maarre..hoe ik aan die site kom... Ik weet het zelf niet Ja heb welles op een site op "ok" geklikt omdat ik iets moest downloadne en voor de rest klik ik altijd op nee

Maar ik las vorige keer in Computer Idee ofzo dat daar ook iemand was die dat gekregen had, en toen zeiden ze als je een internet verbinding hebt, met de telefoon, dat ze dan via jou konden internetten ofzo? (ja altijd zoiets...) maja ik heb kabel dus dacht zal wel mee vallen haha

[freyk]

Citaat:

Rach-: schreef op 18-06-2004 @ 09:41 :
Maar ik las vorige keer in Computer Idee ofzo dat daar ook iemand was die dat gekregen had, en toen zeiden ze als je een internet verbinding hebt, met de telefoon, dat ze dan via jou konden internetten ofzo? (ja altijd zoiets...) maja ik heb kabel dus dacht zal wel mee vallen haha

Juist niet,..met kabel is de risico groter!
(Via een telefoonmodem valt het juist mee)

Daarom word er altijd aangeraden wanneer iemand een asdl/kabel internet abonement heeft, om een firewall moet gaan gebruiken.

[Marcus]

Citaat:

freyk schreef op 18-06-2004 @ 09:45 :
Juist niet,..met kabel is de risico groter!
(Via een telefoonmodem valt het juist mee)

Daarom word er altijd aangeraden wanneer iemand een asdl/kabel internet abonement heeft, om een firewall moet gaan gebruiken.

juist omdat je dan toch (meestal) een statisch ip-adres hebt?

[Rachel]

Grrrr... nou ging het net zo goed... krijg ik hem net weer die achtelijke startpagina

[I love stars]

Ik heb nu zo'n search ding boven mijn beeldscherm. Het verwijderen met instellingen, configuratiescherm, software werkt niet, hij staat er wel bij maar als je er dan op kliktop wijzige/verwijderen krijg je het volgende are you sure you want to remove my search bar yes/no druk je op yes maar dan gebruet er gewoon niks....? hoe kan ik het wegkrijgen?

[SubbehQ]

Citaat:

I love stars schreef op 18-06-2004 @ 12:53 :
Ik heb nu zo'n search ding boven mijn beeldscherm. Het verwijderen met instellingen, configuratiescherm, software werkt niet, hij staat er wel bij maar als je er dan op kliktop wijzige/verwijderen krijg je het volgende are you sure you want to remove my search bar yes/no druk je op yes maar dan gebruet er gewoon niks....? hoe kan ik het wegkrijgen?

Lees dit topic ff door en je zult honderden oplossingen vinden voor jou probleem mocht het dan nog niet weg zijn, DAN kan je hier posten.

danku

[Rachel]

Ja maar ik dacht qua geld enzo... :$
dan kenenn ze bij kabel geen geld krijgen toch?!
omdat ik gewoon zoveel per maand betaal {dat bedoelde ik}
maarre.. ik heb denk geen firewall :$:$:$

[Rachel]

grmbl.. dat now online gezeik weghalen heeft ook geen nut
komt toch terug

[freyk]

Citaat:

Rach-: schreef op 21-06-2004 @ 10:40 :
grmbl.. dat now online gezeik weghalen heeft ook geen nut
komt toch terug

Als die bar toch terug komt nadat je hem in het register hebt verwijdert, dan durf ik te wedden dat je een programma gebruikt waar "now online" aan vast zit.
Je moet het als de mysearchbar zien, die je krijgt bij messengerplus (als je hem installeert met sponsorprogramma).
Je probeert hem handmatig te verwijderen maar komt telkens terug.

Dus we moeten naar de programma's kijken die je gebruikt.

En een tijdelijke oplossing is om een andere browser te gebruiken.
Daarvoor kan ik je Mozilla's Firefox aanraden.

Firefox is zeker aan te raden. Zie ook dit topic

[Fine]

Hoe vreemd het ook is, maar ik zie dat mijn hijackthislog veranderd is... En daarom plaats ik hem nu ook even hiero weer....


Logfile of HijackThis v1.97.7
Scan saved at 1:12:48 PM, on 6/21/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Winamp\winampa.exe
C:\windows\redirect8.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Trust\Trust mouse utility\1.1\mouse32a.exe
C:\Program Files\Trust\Trust keyboard utility\1.1\OFFICEKB.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Trust\Trust keyboard utility\1.1\MMKEYB.EXE
C:\Program Files\Trust\Trust keyboard utility\1.1\TrayMon.exe
C:\Program Files\Trust\Trust keyboard utility\1.1\osd.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Trust\Trust keyboard utility\1.1\nhksrv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\regedit.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\unzipped\hijackthis[1]\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {710F409E-600D-01A7-9659-391248D45B38} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [redirect] C:\windows\redirect8.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [FLMTRUSTMOUSE] C:\Program Files\Trust\Trust mouse utility\1.1\mouse32a.exe
O4 - HKLM\..\Run: [FLMOFFICEKEYBOARD] C:\Program Files\Trust\Trust keyboard utility\1.1\OFFICEKB.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...954.6453472222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab

[freyk]

Ik zie hier geen verdachte dingen, behalve die searchbar die je al had, ikookvanjou.

Mijn advies is hetzelfd wat ik aan Rach-: gaf:

Citaat:

freyk schreef op 21-06-2004 @ 11:01 :
Als die bar toch terug komt nadat je hem in het register hebt verwijdert, dan durf ik te wedden dat je een programma gebruikt waar "now online" aan vast zit.
Je moet het als de mysearchbar zien, die je krijgt bij messengerplus (als je hem installeert met sponsorprogramma).
Je probeert hem handmatig te verwijderen maar komt telkens terug.

Dus we moeten naar de programma's kijken die je gebruikt.

En een tijdelijke oplossing is om een andere browser te gebruiken.
Daarvoor kan ik je Mozilla's Firefox aanraden.

[Rachel]

mjah... ik weet het ook niet.. wat ik standaard gebruik is msn, outlook, IE en winamp ofzo.. maarre. .ik zal dat welles downloaden.. iig.. als ik me pc aan zetn verwijder ik dat nowonline ding meteen en dan heb ik er ff geen last van haha

[freyk]

Ik heb nogmaals rach-: hijacklog eens bekeken, en zag het volgende:

Citaat:

C:\WINDOWS\System32\com.exe

Dit is de oorzaak van die startpagina.
Dit is de nieuwste variant van MsConnect, Startportal,....(Dialer)
De vorige varianten kon je verwijderen via Configuratiescherm - software - zoek naar Switch. Uninstalll het.
Verwijder ook de map C:\Program Files\NowOnline

Hoe verwijder je deze Nederlandse Homepage hijacker

• Klik op “start”op de taakbalk,kies “uitvoeren” en type daar :msconfig
• Klik op het tabblad “opstarten”
• Zoek één van de volgende filenamen:
  Ms-connect , cdm.exe , game.exe , msite18.exe , patch.exe , arr.exe , code.exe , cat.exe Hit.exe , snt.exe , ru.exe , sed.exe . msgplus.exe
  Bij de gevonden programma's de Vinkjes weghalen .
• Herstart je computer, en probeer dan de com.exe handmatig te verwijderen

[Rachel]

jaja hij is weg haha
maarre... switchdealer ofoz moest je ook verwijderen he

[freyk]

Citaat:

freyk schreef op 23-06-2004 @ 09:45 :
Dit is de oorzaak van die startpagina.
Dit is de nieuwste variant van MsConnect, Startportal,....(Dialer)
De vorige varianten kon je verwijderen via Configuratiescherm - software - zoek naar Switch. Uninstalll het.

'nuff said

[Kawoutertje]

'k heb een probleempje op de pc beneden. Als je MSIE opstart, krijg je -zelfs bij startpagina about:blanco - een webpage te zien van "isearch". Je krijgt allerlei popups waarin wordt gemeld dat de pc besmet is met spyware. Bovendien merkte ik dat er een Isearch toolbar is bijgekomen bij MSIE.

Spybot en adaware vinden iedere keer dingen, en verwijderen die, maar ze komen er gewoon opnieuw op. Helaas slaag ik er ook niet in deze twee programma's te updaten, want ze worden afgeblockt.

Iemand een idee wat het is en wat ik er mee doe ?

Hoi hoi

Ik heb nooit problemen met mijn pc, ik ben altijd virus/spyware vrij maar nu heb ik 2 probleempjes.

Steeds als ik aan het surfen ben krijg ik zon kut balk en gaat mijn google balk weg. Dit gebeurt iedere keer en ook steeds wordt mijn pagina ingesteld.

Ik heb hem altijd op blanco staan maar nu staat er steeds dit.
http://mysearchnow.com/passthrough/i...://about:blank

Het heeft dus met mysearchnow te maken. Ik heb het ook al opgezocht in het register maar nu heeft die balk geen naam meer dat isalles.

Wat ik ook af en toe mee maak, 1 x per half uur dat er zon grote balk onder van ongeveer 10 cm omhoog komt. Er verschijnt dan ook een venster onderin.

Ik erger me hier echt dood aan maar hoe kan ik dit weghalen? K heb al ad-aware/Spy-destory/virus scanner er langs gehaald maar dit probleem gaat niet meer weg.

Het lieft wil ik mijn pc formateren maar eerst even kijken of er nog alternatieven zijn!

Alvast bedankt!

ps: Hoe krijg je eigenlijk spyware op je computer? K kom namelijk nooit op sex-sites/cracks sites.

ppss:

Logfile of HijackThis v1.97.7
Scan saved at 1:11:08, on 25-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\view anti deaf\Media htm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\Messenger\msmsgs.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
D:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Winamp\winamp.exe
C:\Program Files\mIRC\mirc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ROBBED~1\LOCALS~1\Temp\Rar$EX00.860\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearchnow.com/passthrough/i...://about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {B1CAD3EF-8589-9C77-309B-52F2B5B6497B} - C:\PROGRA~1\TIMESU~1\Pollcamp.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {36E1EE14-689C-9379-502B-D3E28E2FD00C} - C:\PROGRA~1\TIMESU~1\Pollcamp.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SUService] C:\WINDOWS\system32\SUService.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [zsv] C:\WINDOWS\zsv.exe
O4 - HKLM\..\Run: [Uploadlong] C:\PROGRA~1\view anti deaf\Media htm.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {018A066F-584A-422F-AC4C-0B1F5FE5C040} (VacPro.olanda_ver3) - http://www.advnt01.com/dialer/olanda_ver3.CAB
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binarie...tc32_EN_XP.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {427273CC-764E-11D3-823D-006097F90453} (Pixami Image Editor Control) - http://www.imagestation.com/common/c...b?ver=1,1,0,32
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28578.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...055.4834722222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {DC187740-46A9-11D5-A815-00B0D0428C0C} - http://ds1.downloadtech.net/cn1060/pcpowerscan.cab

pppsss: Ik heb eigenlijk nu het hele topic doorgelezen, na mijn post. Wel lomp als je msn-plus installeerd dat je akkoord ziet en niet akkoord. Tja logisch dat ik op akkoord klikt maar ja, is ff kijken hoe het nu is gegaan. Ik heb hem nu zonder sponsers geinstallewrd.

Wat mij ook opvalt is dat de programma's waarvoor je moet betalen altijd alles vind of veel meer dan de programmas die gratis zijn.

[freyk]

Nou, omdat die mysearch gewoon niet te verwijderen is met spybot of adaware omdat mysearchbar hiervoor beveiligd is.

Omdat je met adaware en spybot er overheen bent gegaan, is de beveiliginsscript van mysearchbar beschadigd.

Doe het volgende gewoon nu het volgende:

1. verwijder messengerplus
2. installeer messengerplus opnieuw mét sponsorprogramma
3. verwijder hem opnieuw en als het goed is komt de beveiligingsscript in werking en vraagt je een code in te typen. Welke code je moet intypen dat zie je vanzelf.
4. En als laatste installeer messengerplus nu zonder sponsorprogramma.
   (dus niet in het begin kiezen voor automatisch instaleren)

Je kan ook "tijdelijk" ook een andere browser gaan gebruiken, zoals Mozilla's Firefox

Citaat:

Syphon schreef op 25-06-2004 @ 00:51 :
Het lieft wil ik mijn pc formateren maar eerst even kijken of er nog alternatieven zijn!

Alternatieven voor je browser zijn er genoeg, maar we kunnen jouw hier adviseren om Mozilla's Firefox te instaleren. (ik kan in iedergeval niet meer zonder )

Citaat:

Syphon schreef op 25-06-2004 @ 00:51 :
ps: Hoe krijg je eigenlijk spyware op je computer? K kom namelijk nooit op sex-sites/cracks sites.

Lees de begintopic maar eens door, en op forumfaq.nl
(maar ik zie nu pas dat forumfaq is gesloten )
Bedankt dat je dat even NIET aan mij zegt, martin!
Uuhm, je kan het in de toekomst lezen op mijn anti-spyware & adware site.

[Rundfunk]

Ik heb een probleem met het verwijderen van het adware van Internet Optimizer. Misschien dat jullie mij kunnen helpen.
Ik heb de instructies op deze site gelezen: http://www.spysweeper.com/internet-o...r-removal.html

Ik heb alle stappen netjes gemaakt maar dan: bij stap 4 staat dat ik bepaalde entries moet verwijderen (DyFuca en Dyfuca Active Alert) maar ik zie het nergens staat. Wel zie ik InternetOptimizer. Bedoelen ze hetzelfde of doe ik iets verkeerd?

[freyk]

Als je even een hijackthislog van je krijgen, kunnen we je verder helpen.

[Rundfunk]

Citaat:

freyk schreef op 26-06-2004 @ 23:37 :
Als je even een hijackthislog van je krijgen, kunnen we je verder helpen.

Ik heb Hijack This gedownload en laten scannen maar wat moet ik nu doen? Op Save Log klikken?

[freyk]

Citaat:

Rundfunk schreef op 26-06-2004 @ 23:46 :
Op Save Log klikken?

Ja, er zal dan een logje verschijnen.
Deze kopieer je hier in de topic. (zie de voorbeelden van de rest )

[Rundfunk]

Logfile of HijackThis v1.97.7
Scan saved at 15:07:28, on 27-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\System32\hevjiov.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Documents and Settings\Leby\Mijn documenten\Computer Spul\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_p...ount_id=144940
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_p...ount_id=144940
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...ount_id=144940
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.hotmail.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem218.dll
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem218.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [trgver] C:\WINDOWS\System32\hevjiov.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...lInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8F24DE00-0D66-4F93-9405-3F21E97AEE99} (TestingCtl Control) - http://esb.alcena.com/ESBAdultInstaller.ocx
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...100.1763078704


Tadaa.

[freyk]

Citaat:

Rundfunk schreef op 26-06-2004 @ 22:12 :
Ik heb alle stappen netjes gemaakt maar dan: bij stap 4 staat dat ik bepaalde entries moet verwijderen (DyFuca en Dyfuca Active Alert) maar ik zie het nergens staat. Wel zie ik InternetOptimizer. Bedoelen ze hetzelfde of doe ik iets verkeerd?

In de handleiding lees je:

Citaat:

Restart the computer and you should be able to delete the DLL from the Windows folder, and the 'DyFuCA', 'Internet Optimizer' or 'STWSI' folder you may have inside Program Files.

Wat betekend "or" volgends jou?

Spoiler

Or betekend of -> Ja dus, de map internet optimizer moet je dus ook wissen

[Rundfunk]

Ja okee, maar dan ben je al bij stap 6, ik ben nog bij stap 4.
Maar ik begrijp dus dat het hetzelfde betekent. Bedankt!

[Rundfunk]

Het lukt mij niet om stap 5 te maken

( Internet Optimizer removal step 5: Now open a DOS command prompt window (from Start->Programs->Accessories), and enter the following commands

For the Iopti variant:


cd "%WinDir%System"
regsvr32 /u ..iopti130.dll



Or, for the Nem variant:
cd "%WinDir%System"
regsvr32 /u .. em207.dll

Or, for the Wsem variant:
cd "%WinDir%System"
regsvr32 /u ..wsem210.dll)

Ik kom in DOS en dan staat er C:\documents and settings\Leby>

ik heb geprobeerd om het te kopiëren en te plakken maar dan zegt ie dat ie het niet kan vinden en blabla. Ik heb geprobeerd om de computer toch op te starten en ze te verwijderen maar dat lukte natuurlijk niet... Wat moet ik nu doen?

[freyk]

Citaat:

Rundfunk schreef op 27-06-2004 @ 19:04 :

1. step 5: Now open a DOS command prompt window (from Start->Programs->Accessories), and enter the following commands For the Iopti variant:
2. cd "%WinDir%System"
   regsvr32 /u ..iopti130.dll
3. Or, for the Nem variant:
   cd "%WinDir%System"
   regsvr32 /u .. em207.dll
4. Or, for the Wsem variant:
   cd "%WinDir%System"
   regsvr32 /u ..wsem210.dll)

Doe het volgende:

1. Ga naar start -> uitvoeren,
   typ daarin: cmd (of command voor de oudere versies) en druk op uitvoeren.
2. Er verschijnt een dos prompt schermpje,
   typ daarin: cd\ en druk op de enter-toets.
3. typ dan in: cd windows\system druk op de entertoets
4. typ dan in: regsvr32 /u iopti130.dll druk op de entertoets.
5. typ dan in: regsvr32 /u nem207.dll ,, ,, ,, ,,
6. typ dan in: regsvr32 /u wsem210.dll ,,, ,, ,, ,,
7. Verwijder dan als laatste die internet optimizer uit je map program files!

[Mara]

Ik had per ongeluk een nieuw topic geopend, link staat hier . Daar wordt mijn probleem uitgelegd. Er stond dat ik mijn Hijack log dan maar moest plaatsen, hier komt hij:

Logfile of HijackThis v1.97.7
Scan saved at 17:15:03, on 30-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Pulse\Pulse.exe
C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\BENQ\AWL300\WlanMonitor.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 My Custom Edition\CalCheck.exe
C:\Program Files\DV Series\Console\Watch.exe
C:\Program Files\WallpaperToy\Wallpapertoy.Exe
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\plugin.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\GEBRUI~1\LOCALS~1\Temp\Rar$EX00.188\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/FirstEnter/Portal/portal.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - (no file)
O2 - BHO: (no name) - {029CA12C-89C1-46a7-A3C7-82F2F98635CB} - C:\Program Files\Kontiki\bin\bh309190.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: (no name) - {824AA5FE-8998-BBCA-F980-D40907AA9D1D} - (no file)
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [CLSID] C:\WINDOWS\System32\plugin.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RealPopup] "\\Romy\C ROMY\Program Files\RealPopup\RealPopup.exe" BOOT
O4 - HKCU\..\Run: [Pulse] C:\Program Files\Pulse\Pulse.exe -splash
O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [SpySweeper] C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - Startup: Wallpaper Changer.lnk = C:\Program Files\WallpaperToy\Wallpapertoy.Exe
O4 - Global Startup: Configuration & Monitor Utility.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Photo Express Calendar Checker For My Custom Edition.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 My Custom Edition\CalCheck.exe
O4 - Global Startup: Watch.lnk = C:\Program Files\DV Series\Console\Watch.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Aanpassen &Menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Get It With Kontiki - res://C:\Program Files\Kontiki\bin\bh309190.dll/201
O8 - Extra context menu item: InvulFormulieren &] - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Opslaan Formulieren &^ - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
O9 - Extra button: InvulFormulieren (HKLM)
O9 - Extra 'Tools' menuitem: InvulFormulieren &] (HKLM)
O9 - Extra button: Opslaan (HKLM)
O9 - Extra 'Tools' menuitem: Opslaan Formulieren &^ (HKLM)
O9 - Extra button: RoboForm (HKLM)
O9 - Extra 'Tools' menuitem: RoboForm Werkbalk &2 (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
O15 - Trusted Zone: http://www.macromedia.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {11EC003D-C1FA-4C18-AB6D-C5D1E6F281CE} - http://cab.accesorapido.com/mp3bankpop.cab
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interacti...tallPlugIn.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binarie...ia32_EN_XP.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {47CE07C6-7856-466A-B9FB-34616CD08A55} (MAXXPlayer Class) - http://www.maxx-xs.nl/player/Package/maxx2.cab
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - http://www2.flingstone.com/cab/2000XP/new/bridge.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab

[freyk]

Bedankt voor je log, meelfriek.

De volgende dingen vond ik verdacht:

Citaat:

MeelFriek schreef op 30-06-2004 @ 17:15 :

C:\Program Files\Pulse\Pulse.exe
C:\WINDOWS\System32\plugin.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
file:///C:/Program%20Files/FirstEnter/Portal/portal.html
O4 - HKLM\..\Run: [CLSID] C:\WINDOWS\System32\plugin.exe
O4 - HKCU\..\Run: [RealPopup] "\\Romy\C ROMY\Program Files\RealPopup\RealPopup.exe" BOOT
O4 - HKCU\..\Run: [Pulse] C:\Program Files\Pulse\Pulse.exe -splash
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
http://dload.ipbill.com/del/loader.cab

Als ik zo goed kijk heb je een mysearchbar en een yahoobar in je internet explorer zitten.

Mysearchbar kan je verwijderen door mgsplus te verwijderen.
Is mysearchbar beschadigt? installeer opnieuw messengerplus met sponsorprogramma en verwijder hem opnieuw.
Installeer nu messengerplus zonder sponsorprogramma.

Volgends mij kan je die yahoo verwijderen door hem te verwijderen uit je softwarelijst in je configuratiescherm.

voor die pulse.exe kan je hier terrecht. Maar of dit spyware is vraag ik me af.

[SubbehQ]

Pulse.exe = Flooder: A program that overloads a connection by any mechanism, such as fast pinging, causing a DoS attack.

Zou ik maar wel weghalen dus

O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} - http://dialxs.nl/install/dialxs.ocx

Toen op op dailxs zocht kwam ik op een forum waar ze porno dailers bespreken deze kan dus ook niet veel goeds zijn.
Zou ik maar wel weghalen dus


En wees niet bang dat je msnplus niet meer mag hebben, gewoon ff installeren ZONDER sponsors, dus NIET accepteren.

[Fine]

Hey Ik zag in mijn windows map het bestandje: easywww2 , staan... Kan ik die eigenlijk zomaar verwijderen? Offuh is dat dangerous....