[Centraal] Spyware & Adware (deel 2)

[Krekker]

Citaat:

Jadis schreef op 21-11-2004 @ 13:30 :
Bedankt Ik heb gisteren met pandasoftware gescand en die heeft nog 2 virussen eraf gehaald. Maar ik zal straks nog even scannen.

Ik had gisteren ook IEXPLORE.EXE in processen lijst staan en nu dus niet. Volgens een website is dit ook een virus. Moet ik die weghalen of laten staan?

edit: en die messenger.zone troep, kan ik die gewoon met Hijack this weghalen?

IEXPLORE.EXE is gewoon Internet Explorer. Dat weet ik heel zeker, want ik typ dit vanuit een versgeïnstalleerde virtual pc met win2k en ik zie dat proces alleen staan als ik IE opstart.

Citaat:

VIRUS
Omschrijving: Klein computerprogramma, dat bedoeld is om zich onopgemerkt in andere computer te nestelen en vervolgens andere programma's en/of gegevens te beschadigen. Een virus bestaat meestal uit een aantal verschillende onderdelen. Met het identificatiegedeelte wordt gekeken of het eventueel al aanwezig is op een computer. Met het voortplantende deel wordt het virus gekopieerd. Een virus bevat ook een gedeelte dat een bepaalde actie kan ondernemen, zoals bijvoorbeeld het formatteren van een vaste schijf. Een virus hoeft niet altijd kwaadaardig zijn. Het kan soms quasi grappig bedoeld zijn. Ook komen er veel nepvirussen voor, die HOAX genoemd worden.

Bron: http://www.internetwoordenboek.com/

Als je dit leest zou je misschien toch kunnen zeggen dat IE een virus is

[SubbehQ]

Citaat:

Jadis schreef op 21-11-2004 @ 13:30 :
Bedankt Ik heb gisteren met pandasoftware gescand en die heeft nog 2 virussen eraf gehaald. Maar ik zal straks nog even scannen.

Ik had gisteren ook IEXPLORE.EXE in processen lijst staan en nu dus niet. Volgens een website is dit ook een virus. Moet ik die weghalen of laten staan?

edit: en die messenger.zone troep, kan ik die gewoon met Hijack this weghalen?

die messenger troep kan via hijack ja, maar het is niet schadelijk volgensmij hoor.

[freyk]

Citaat:

Jadis schreef op 21-11-2004 @ 13:30 :
Bedankt Ik heb gisteren met pandasoftware gescand en die heeft nog 2 virussen eraf gehaald. Maar ik zal straks nog even scannen.

Ok, maar heb je ook gedaan wat ik zei??
(dus ff snel handmatig sssasas.exe)
Want dat was het enige "zichtbare" probleem.

Citaat:

Jadis schreef op 21-11-2004 @ 13:30 :
Ik had gisteren ook IEXPLORE.EXE in processen lijst staan en nu dus niet. Volgens een website is dit ook een virus. Moet ik die weghalen of laten staan?

Nee: zoals Krekker zei, Iexplorer.exe is een officieële programma van microsoft -> internet explorer.
Ja: er bestaat een trojaans paard, die zich voordoet in je taakbeheer, als iexplore.

Citaat:

Jadis schreef op 21-11-2004 @ 13:30 :
edit: en die messenger.zone troep, kan ik die gewoon met Hijack this weghalen?

Ja, zoals SubbehQ, kan je die verwijzingen gewoon verwijderen.

Citaat:

Krekker schreef op 21-11-2004 @ 13:40 :
IEXPLORE.EXE is gewoon Internet Explorer. Dat weet ik heel zeker, want ik typ dit vanuit een versgeïnstalleerde virtual pc met win2k en ik zie dat proces alleen staan als ik IE opstart.

Als je dit leest zou je misschien toch kunnen zeggen dat IE een virus is

. Okee, dan blijf ik verder overal vanaf. Het zal niet de eerste keer zijn dat ik windows om zeep help.

Citaat:

die messenger troep kan via hijack ja, maar het is niet schadelijk volgensmij hoor.

Ik heb niet zo'n grote harde schijf dus alles wat niet nodig of leuk is, gaat eraf. En ik heb een hekel aan troep op m'n pc.

[freyk]

Offtopic:

Citaat:

Jadis schreef op 21-11-2004 @ 13:59 :
Ik heb niet zo'n grote harde schijf dus alles wat niet nodig of leuk is, gaat eraf. En ik heb een hekel aan troep op m'n pc.

Dan raad ik je ook aan om alle bestanden die jij en je computer niet meer gebruiken (tijdelijke bestanden, cookies van Internet Explorer en uninstall-bestanden van Windows updates. enz) te verwijderen met system cleanup

[Infern0]

Mijn pc is maar weer eens langzaam, heb hem gescant met ad-aware SE, pestpatrol en spybot. Hier is mijn hijack logg.

Logfile of HijackThis v1.97.7
Scan saved at 20:01:12, on 21-11-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\Pavsrv51.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\iMesh\iMesh5\iMesh.exe
C:\Documents and Settings\Joris\Mijn documenten\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vi.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.paradigit.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Program Files\iMesh\iMesh5\iMeshBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: C:\WINDOWS\lbbho.dll - {AE96267E-C680-4FC0-BE3B-0BB8CF73DCE8} - C:\WINDOWS\lbbho.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKLM\..\RunOnce: [My Search Bar Installer] "C:\Program Files\MyWay\myBar\s4Setp.exe" /r
O4 - Startup: iMesh.lnk = C:\Program Files\iMesh\Client\iMeshClient.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: START_PAGE_URL=http://www.paradigit.nl
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab

[freyk]

Doe het volgende:

1. Kijk in je softwarelijst (configuratiescherm -> software) of je Newdot.net en my searchbar vind. Zo ja, verwijder ze dan.
2. Start hijackthis en fix het volgende:

Citaat:

Infern0 schreef op 21-11-2004 @ 20:05 :

• O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll
• O2 - BHO: C:\WINDOWS\lbbho.dll - {AE96267E-C680-4FC0-BE3B-0BB8CF73DCE8} - C:\WINDOWS\lbbho.dll
  C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
• O4 - HKLM\..\RunOnce: [My Search Bar Installer] "C:\Program Files\MyWay\myBar\s4Setp.exe" /r
• O10 - Hijacked Internet access by New.Net
  O10 - Hijacked Internet access by New.Net
  O10 - Hijacked Internet access by New.Net
  O10 - Hijacked Internet access by New.Net
  O10 - Hijacked Internet access by New.Net

Klik dan op deze computer -> c-schijf -> map windows -> en verwijder daar Lbbho.dll
Daarna ga je weer terug naar de c-schijf en klikt dan op de map program files. Daar verwijder je de mappen newdotnet en myway.

[Infern0]

Welke taak moet ik stoppen om de map newdotnet te verwijderen?

[freyk]

Citaat:

Infern0 schreef op 21-11-2004 @ 21:22 :
Welke taak moet ik stoppen om de map newdotnet te verwijderen?

Niks.
Je verwijdert de newdotnet dat in je softwarlijst staat.
Als het er niet staat dan fix je eerst de boel met hijackthis en dan verwijder je de bestanden die ik aangaf.

[Infern0]

Heb alles verwijdert at je zei, daarom maar een nieuw hijack logg.

Logfile of HijackThis v1.97.7
Scan saved at 21:33:32, on 21-11-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\Pavsrv51.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iMesh\iMesh5\iMesh.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\Joris\Mijn documenten\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vi.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.paradigit.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Program Files\iMesh\iMesh5\iMeshBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: iMesh.lnk = C:\Program Files\iMesh\Client\iMeshClient.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.paradigit.nl
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab

[freyk]

Citaat:

Infern0 schreef op 21-11-2004 @ 21:34 :
Heb alles verwijdert at je zei, daarom maar een nieuw hijack log.

Ik zie geen verdachte dingen meer.

[Infern0]

De map newdotnet krijg ik alleen niet verwijdert.

[freyk]

Citaat:

Infern0 schreef op 21-11-2004 @ 21:51 :
De map newdotnet krijg ik alleen niet verwijdert.

En als je het in safemode verwijdert?
(hoe je daar komt? gewoon ff een paar keer op F8 drukken als windows word geladen en daar safe mode selecteren)

[nickèsz]

Ik heb sinds net een kwartiertje last van Dashbar, iemand enige idee hoe ik hier van afkomt. Ik heb al Adaware geinstalleerd

Mijn PC wordt langzamer gemaakt door een programmatje dat BIN.EXE heet, en dat steeds te zien is in Windows Taakbeheer/Processen.............PLZ help me!

Logfile of HijackThis v1.98.2
Scan saved at 21:04:36, on 22-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Linksts.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Pim\LOCALS~1\Temp\Rar$EX00.703\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/MS-Connect/Portal/portal.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CATLEvents Object - {3EC8E271-FAB9-418a-8A8E-65AEB4029E64} - C:\DOCUME~1\Pim\LOCALS~1\Temp\sndagv.dat
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CATLEvents Object - {8109AF33-6949-4833-8881-43DCC232B7B2} - C:\DOCUME~1\Pim\LOCALS~1\Temp\sndagv.dat
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: CATLEvents Object - {ED5ABC42-8E4F-4C39-9972-F0CF619D672F} - C:\DOCUME~1\Thom\LOCALS~1\Temp\nib.dat
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [*bin] C:\WINDOWS\Registration\bin.exe
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binarie...tc32_EN_XP.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2ABE804B-4D3A-41BF-A172-304627874B45} - http://akamai.downloadv3.com/binarie...EGDHTML_XP.cab
O16 - DPF: {2AEEAC34-FD74-4142-B891-4B05C0C03C87} - http://akamai.downloadv3.com/binarie...40_pack_XP.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemp...veSecurity.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.bibliotheekaalten.nl/catalogus/msrdp.cab
O16 - DPF: {94F5DCB7-816C-4B94-A2C1-856C6E323C5B} - http://akamai.downloadv3.com/binarie...ce_4_EN_XP.cab
O16 - DPF: {E3F7205F-2AE0-4BF0-816B-2D24A5F20EC7} - http://fr4-download.strip-player.com...up_minsize.cab
O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binarie...pe32_EN_XP.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab

[freyk]

Gaarne het volgende fixen

Citaat:

Zao schreef op 22-11-2004 @ 21:05 :

• R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/MS-Connect/Portal/portal.html
• R3 - Default URLSearchHook is missing
• O2 - BHO: CATLEvents Object - {3EC8E271-FAB9-418a-8A8E-65AEB4029E64} - C:\DOCUME~1\Pim\LOCALS~1\Temp\sndagv.dat
• O2 - BHO: CATLEvents Object - {8109AF33-6949-4833-8881-43DCC232B7B2} - C:\DOCUME~1\Pim\LOCALS~1\Temp\sndagv.dat
• O2 - BHO: CATLEvents Object - {ED5ABC42-8E4F-4C39-9972-F0CF619D672F} - C:\DOCUME~1\Thom\LOCALS~1\Temp\nib.dat
  O4 - HKLM\..\Run: [*bin] C:\WINDOWS\Registration\bin.exe
• O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binarie...tc32_EN_XP.cab
• O16 - DPF: {2ABE804B-4D3A-41BF-A172-304627874B45} - http://akamai.downloadv3.com/binarie...EGDHTML_XP.cab
• O16 - DPF: {2AEEAC34-FD74-4142-B891-4B05C0C03C87} - http://akamai.downloadv3.com/binarie...40_pack_XP.cab
  http://akamai.downloadv3.com/binarie...ce_4_EN_XP.cab
• O16 - DPF: {E3F7205F-2AE0-4BF0-816B-2D24A5F20EC7} - http://fr4-download.strip-player.com...up_minsize.cab
• O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binarie...pe32_EN_XP.cab

Citaat:

nickèsz schreef op 22-11-2004 @ 21:04 :
Ik heb sinds net een kwartiertje last van Dashbar, iemand enige idee hoe ik hier van afkomt. Ik heb al Adaware geinstalleerd

Lees de eerste post van deze topic.

Lijkt me logisch

[M@rco]

Ik vond laatst nog 2 handige links, misschien leuk voor in de startpost
(Of niet, maar iig wel interessant )

Malware: what it is and how to prevent it
http://arstechnica.com/articles/paedia/malware.ars

Spyware removal tools (test)
http://arstechnica.com/reviews/apps/spyware-removal.ars

Hallo

Sinds een tijdje is er mijn erg erg sloom. Hoe het komt weet ik echt niet, ik bezoek zelden rare sites en download af en toe een liedje van kazaa. Ik heb het oprogramma himtmanpro al gedraaid en die heeft volgens mij al de spyware al verwijderd.

Ik wil alleen ff het programma nog ff draaien in veilige modus.
Even ter verduidelijking Hitman Pro is een programma die automatisch alle spyware programma's op je pc draait
Logfile of HijackThis v1.98.2
Scan saved at 22:34:53, on 22-11-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\sstray.exe
C:\Program Files\Windows AdControl\WinAdAlt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\mIRC\mirc.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Azureus\Azureus.exe
C:\Program Files\Java\j2re1.4.2_05\bin\javaw.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Winamp\winamp.exe
C:\Documents and Settings\Eigenaar\Bureaublad\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://nu.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://nu.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: AceGain DLInterceptor - {CA70AF0D-0D07-4b80-9ECE-B0F1BEFC5822} - C:\Program Files\Byteswarm\DLInterceptor.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\RunOnce: [AAW] "C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe" "+b1"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {3EB4F9EA-51A6-48DA-846A-0D69DCBA39EF} (DownloadManager Control) - http://download.akamaitools.com.edge...oadManager.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097004901696
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {FDF6378C-7B5D-4ABF-BA1F-92748305FFAC} (DownloadManagerInstall Control) - http://beta.byteswarm.com/agent/1.3.0.1/DMInstall.cab

Citaat:

freyk schreef op 21-11-2004 @ 14:33 :
Offtopic:
Dan raad ik je ook aan om alle bestanden die jij en je computer niet meer gebruiken (tijdelijke bestanden, cookies van Internet Explorer en uninstall-bestanden van Windows updates. enz) te verwijderen met system cleanup

Offtopic: Die heb ik al en ik vind het geweldig. Bovendien heb ik sssasas.exe ook weggehaald en alles gaat gelijk een stuk sneller.

[freyk]

Citaat:

Syphon schreef op 22-11-2004 @ 22:35 :
Sinds een tijdje is er mijn erg erg sloom. Hoe het komt weet ik echt niet, ik bezoek zelden rare sites en download af en toe een liedje van kazaa. Ik heb het oprogramma himtmanpro al gedraaid en die heeft volgens mij al de spyware al verwijderd.

Klopt, maar je gebruikt wel een anti-ad programma met spyware: windows adcontrol van windupdates.

Citaat:

Syphon schreef op 22-11-2004 @ 22:35 :
Even ter verduidelijking Hitman Pro is een programma die automatisch alle spyware programma's op je pc draait

Kon daarvan niks vinden...(maar die proggie gebookmarkt!)

Citaat:

Syphon schreef op 22-11-2004 @ 22:35 :

C:\Program Files\Windows AdControl\WinAdAlt.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
O2 - BHO: AceGain DLInterceptor - {CA70AF0D-0D07-4b80-9ECE-B0F1BEFC5822} - C:\Program Files\Byteswarm\DLInterceptor.dll (file missing)
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe

[Black Butterfly]

mijn computer is de laatste tijd extreem langzaam, zo erg zelfs dat ik nauwelijks meer kan internetten. Ik heb ad-aware gedraaid (net ge-update) en die heeft een groot aantal dingen verwijderd, maar 1 programma krijg ik niet weg: Virtumundo heet het. handmatig verwijderen lukt niet, want het proces wat erbij hoort (bakurl.exe) restored zichzelf zó snel dat ik de kans niet heb het progje te verwijderen omdat het steeds in gebruik is. Weten jullie wat ik hier aan kan doen? Ook zit er volgens mij nog een hoop andere rotzooi op mijn computer... zouden jullie even willen kijken?

mijn hijack-this log:

Logfile of HijackThis v1.98.2
Scan saved at 19:32:37, on 26-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\RaboCommSrv.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Rabotwin\RaboComm\RaboSessionMon.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Program Files\Webshots\WebshotsTray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wininet.exe
C:\Documents and Settings\Eigenaar\Mijn documenten\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.home.nl/?from=start.home.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.home.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://nl8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://start.home.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door @Home
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REGystem.ini: UserInit=c:\windows\system32\userinit.exe
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: CATLEvents Object - {02F96FB7-8AF6-439B-B7BA-2F952F9E4800} - C:\DOCUME~1\Eigenaar\LOCALS~1\Temp\lrukab.dat
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IEWorkaround Class - {08442457-929D-4522-AE24-9D3E4664A0C1} - C:\Program Files\IE URL Spoofing Patch\IEWorkaround3.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ShowShifter TVTV EPG Daemon] "C:\Program Files\Home Media Networks Limited\ShowShifter\TVTVD.exe"
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [*svcutil] C:\WINDOWS\Fonts\svcutil.exe
O4 - HKLM\..\Run: [*bakurl] C:\WINDOWS\Driver Cache\bakurl.exe
O4 - HKLM\..\RunOnce: [*bakurl] C:\WINDOWS\Driver Cache\bakurl.exe rerun
O4 - HKCU\..\Run: [wininet] C:\WINDOWS\system32\wininet.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\WebshotsTray.exe
O4 - Global Startup: Rabo Session Monitor.lnk = C:\Program Files\Rabotwin\RaboComm\RaboSessionMon.exe
O4 - Global Startup: Ulead Photo Express 3.0 SE Calendar Checker.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .UVR: %programfiles%\Internet Explorer\Plugins\NPUPano.dll
O14 - IERESET.INF: START_PAGE_URL=http://start.home.nl/
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game17.zylomgames.com/activex/zylomloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab

[snieky]

dus hier moest ik hem nog een keer posten? Nou hier komt ie dan, hopelijk kan r wat fouts uitgehaald worden ofzo..


Logfile of HijackThis v1.97.7
Scan saved at 9:58:19, on 26-11-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Toolbar\TBPSSvc.exe
C:\Program Files\Common Files\WinTools\WToolsS.exe
C:\WINDOWS\System32\MsPMSPSv.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\AEIWLSTA.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\ewupdater.exe
C:\WINDOWS\system32\voocku.exe
C:\PROGRA~1\Toolbar\TBPS.exe
C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe
C:\Program Files\Web_Rebates\WebRebates0.exe
C:\temp\salm.exe
C:\Program Files\Windows TaskAd\WinTaskAd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Windows TaskAd\WinSched.exe
C:\PROGRA~1\Toolbar\PIB.exe
C:\Program Files\Common Files\WinTools\WSup.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Web_Rebates\WebRebates1.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Games(Niek)\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.seekerbar.com/ie.aspx?tb_id=50154
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onlinesoccermanager.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.seekerbar.com/ie.aspx?tb_id=50154
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://forum.scholieren.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.seekerbar.com/ie.aspx?tb_id=50154
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - (no file)
O2 - BHO: (no name) - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: HyperBHO - {4B2F5308-2CB0-40E2-8030-59936ED5D22C} - C:\Program Files\Common Files\Hyperbar\Hyperbar.dll
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\COMMON~1\Real\Toolbar\realbar.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - (no file)
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - (no file)
O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\COMMON~1\Real\Toolbar\realbar.dll
O3 - Toolbar: Startnow - {1BC1FC4B-B0D2-4D8D-9307-2E40E2A8C257} - C:\Program Files\Common Files\Hyperbar\Hyperbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\PROGRA~1\Toolbar\toolbar.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AEIWLSTA.EXE] AEIWLSTA.EXE START
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [ewupdater] C:\WINDOWS\ewupdater.exe
O4 - HKLM\..\Run: [aylkqljxwhkjw] C:\WINDOWS\system32\voocku.exe
O4 - HKLM\..\Run: [TBPS] C:\PROGRA~1\Toolbar\TBPS.exe
O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [gpml] C:\WINDOWS\gpml.exe
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Onderzoek (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binar...kr.cab30149.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0EB1CA3E-C9C7-42B6-8016-B0CBA435E291} (ImclCtl Class) - http://messenger.lycos.nl/messenger...veXMsgrCore.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...nt.cab30149.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...58557e5bc28b0d9
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/...director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binar...er.cab30149.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeu...ontent/opuc.cab
O16 - DPF: {3F2705D0-C9D8-4020-A15C-E495A0050EC6} (Easywebinstaller Control) - http://s7.blingblingcontent.com/too...ebinstaller.ocx
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://212.41.157.233:8080/mmawap/j...r/mmsPlayer.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...nt.cab30149.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.c...7891.1378240741
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binar...ro.cab30149.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/...ash/swflash.cab
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - http://guard.gunbound.net/nProtect/keyCrypt/npkcx.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binar...wn.cab30149.cab

[SubbehQ]

Citaat:

snieky schreef op 27-11-2004 @ 00:13 :
dus hier moest ik hem nog een keer posten? Nou hier komt ie dan, hopelijk kan r wat fouts uitgehaald worden ofzo..

Ga naar configuratiescherm - software - haal hier alles weg dat je niet kent en/of niet nodig hebt. Zoek eventueel via google op of je het echt nodig hebt.

Run een online virusscan zoals die van panda of symantec (zoek em via google)

Dan run ad-aware upgedate en al, gooi alles weg wat tie vindt.
Dan run spybot search and destroy upgedate en al, gooi alles weg wat tie vindt.

Zijn dan deze gegevens ernog. Gooi ze dan als volgd weg:

Weg door in hijack this ze aan te vinken en laten fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.seekerbar.com/ie.aspx?tb_id=50154
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.seekerbar.com/ie.aspx?tb_id=50154
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.seekerbar.com/ie.aspx?tb_id=50154
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - (no file)
O2 - BHO: HyperBHO - {4B2F5308-2CB0-40E2-8030-59936ED5D22C} - C:\Program Files\Common Files\Hyperbar\Hyperbar.dll
O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\COMMON~1\Real\Toolbar\realbar.dll
O3 - Toolbar: Startnow - {1BC1FC4B-B0D2-4D8D-9307-2E40E2A8C257} - C:\Program Files\Common Files\Hyperbar\Hyperbar.dll
O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\PROGRA~1\Toolbar\toolbar.dll
O4 - HKLM\..\Run: [ewupdater] C:\WINDOWS\ewupdater.exe
O4 - HKLM\..\Run: [TBPS] C:\PROGRA~1\Toolbar\TBPS.exe
O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...58557e5bc28b0d9
O16 - DPF: {3F2705D0-C9D8-4020-A15C-E495A0050EC6} (Easywebinstaller Control) - http://s7.blingblingcontent.com/too...ebinstaller.ocx
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://212.41.157.233:8080/mmawap/j...r/mmsPlayer.cab
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - http://guard.gunbound.net/nProtect/keyCrypt/npkcx.cab
O4 - HKLM\..\Run: [AEIWLSTA.EXE] AEIWLSTA.EXE START Unknown
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe


weg doorjezelf, ga naar de folder en verwijder ze. (zie je ze niet? ga dan naar map opties - weergave - toon verborgen bestanden:
C:\Program Files\Common Files\WinTools\WToolsS.exe
C:\PROGRA~1\Toolbar\TBPSSvc.exe
C:\WINDOWS\ewupdater.exe
C:\PROGRA~1\Toolbar\TBPS.exe
C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe
C:\Program Files\Web_Rebates\WebRebates0.exe
C:\Program Files\Windows TaskAd\WinTaskAd.exe
C:\Program Files\Windows TaskAd\WinSched.exe
C:\PROGRA~1\Toolbar\PIB.exe
C:\Program Files\Common Files\WinTools\WSup.exe
C:\Program Files\Web_Rebates\WebRebates1.exe
C:\WINDOWS\system32\AEIWLSTA.EXE
C:\temp\salm.exe

Deze kunnen ook weg via hijack this, onnodig:
O2 - BHO: (no name) - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - (no file)
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - (no file)
O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)


onbekend:

O4 - HKLM\..\Run: [gpml] C:\WINDOWS\gpml.exe

[SubbehQ]

Citaat:

Black Butterfly schreef op 26-11-2004 @ 19:44 :
mijn computer is de laatste tijd extreem langzaam, zo erg zelfs dat ik nauwelijks meer kan internetten. Ik heb ad-aware gedraaid (net ge-update) en die heeft een groot aantal dingen verwijderd, maar 1 programma krijg ik niet weg: Virtumundo heet het. handmatig verwijderen lukt niet, want het proces wat erbij hoort (bakurl.exe) restored zichzelf zó snel dat ik de kans niet heb het progje te verwijderen omdat het steeds in gebruik is. Weten jullie wat ik hier aan kan doen? Ook zit er volgens mij nog een hoop andere rotzooi op mijn computer... zouden jullie even willen kijken?

mijn hijack-this log:

Zeg, lezen even mijn post hierboven en doe dan hetzelfde, met jou gegevens hier. Over dat tie in gebruik is, mocht dat nog zo zijn na deze fix: start dan op via veilge modus (bij het opstarten op F8 drukken) dan zou het moeten kunnen!

Veel succes, ik ga slapen


hijack this laten doen:
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/content...er/imloader.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O4 - HKCU\..\Run: [wininet] C:\WINDOWS\system32\wininet.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\RunOnce: [*bakurl] C:\WINDOWS\Driver Cache\bakurl.exe rerun
O4 - HKLM\..\Run: [*bakurl] C:\WINDOWS\Driver Cache\bakurl.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O2 - BHO: CATLEvents Object - {02F96FB7-8AF6-439B-B7BA-2F952F9E4800} - C:\DOCUME~1\Eigenaar\LOCALS~1\Temp\lrukab.dat
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

Zelf:
C:\WINDOWS\system32\wininet.exe

onbekend:
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game17.zylomgames.com/activex/zylomloader.cab
O4 - HKLM\..\Run: [*svcutil] C:\WINDOWS\Fonts\svcutil.exe Unknown

onnodig:
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)

[Lucky Duck]

't Zal er vast al wel 's instaan, maar ik zie het zo gauw niet

IE Explorer Search, buitengewoon vervelend dingetje dat niet weg wil. Heeft m'n startpagina veranderd, voegt dingen toe aan m'n favorieten en gaat niet weg. Help?

[freyk]

Citaat:

Lucky Duck schreef op 29-11-2004 @ 14:35 :
't Zal er vast al wel 's instaan, maar ik zie het zo gauw niet

Heb je dan ook al de eerste post van deze topic gelezen??

Citaat:

Lucky Duck schreef op 29-11-2004 @ 14:35 :
IE Explorer Search, buitengewoon vervelend dingetje dat niet weg wil. Heeft m'n startpagina veranderd, voegt dingen toe aan m'n favorieten en gaat niet weg. Help?

Lees de eerste post door en doe wat er staat.
Krijg je het dan nog steeds niet weg, post dan hier een hijackthis-log en dan zullen we je verder helpen.

http://master.mx-targeting.com/mx/se...L&lastAdTime=0|0|0|0|0|1102095090|0|0|0|&lastAdCode=6&cookie1=capdate%3D0320%26capda tedy%3D1203%26lupgtry%3D1%26lupgid%3D184%26lupgdt%3D1101337425600%26lf lshdt%3D1096233722%26lstlogdt%3D20041203%26cntp%3Dcable%26capcnt%3D0%2 6capcntdy%3D30%26&cookie2=fstcidt%3D1096233722481%26&cookie3=1-1102095090-5826:177721:5647:1619:4174:384


dat probleem heb ik dus al een tijdje
en heb geen idee hoe ik er vanaf kom
elke keer als ik iets plak met control+v of gewoon
met de muis krijg ik dit. en het is irritant
iemand enig idee hoe dit verholpen kan worden ?

[freyk]

Citaat:

TheFragile schreef op 04-12-2004 @ 02:22 :
*knip *
dat probleem heb ik dus al een tijdje
en heb geen idee hoe ik er vanaf kom
elke keer als ik iets plak met control+v of gewoon
met de muis krijg ik dit. en het is irritant
iemand enig idee hoe dit verholpen kan worden ?

Verwijder eerst mx-targeting uit je softwarelijst
(configuratiescherm -> software -> mx targerting -> verwijderen)

Volg dan de stappen die we je adviseren in de eerste post van deze topic.
(lees vooral goed wat er staat als je het niet weg kan krijgen.)

[Jolt]

Citaat:

Dat is een van de zwaktste redenen om over te schakelen naar firefox.
Want zo los je het probleem niet op, maar ontwijkt deze.

Dus nare man (en anderen), zullen verder gaan posten in
[centraal] spyware & adware (deel 2) b.v.d

Ik was zowizo al van plan om Fire Fox te gebruiken, veel makkelijk vooral met de middle mouse button, maar mij boeit die spy en adware niet, laat ze maar lekker nestelen, als alles past is dichtgeslibt doe ik pas een format of zo.

ik post m nog maar een keer:

Logfile of HijackThis v1.97.7
Scan saved at 8:05:14, on 10-12-04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\GRISOFT\AVG6\AVGSERV9.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\MK9885.EXE
C:\PROGRAM FILES\AHEAD\INCD\INCD.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\GRISOFT\AVG6\AVGCC32.EXE
C:\WINDOWS\SYSTEM\LVCOMSX.EXE
C:\PROGRAM FILES\LOGITECH\VIDEO\LOGITRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAM FILES\LOGITECH\VIDEO\FXSVR2.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\TEMP\TD_0001.DIR\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.nl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINDOWS\system32\searchbar.html
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [CHotKey] mk9885.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\SYSTEM\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\PROGRAM FILES\LOGITECH\VIDEO\MANIFESTENGINE.EXE" boot
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: AIM (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp04.photoprintit.de/microsi...ex/XUpload.ocx
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8302.601724537
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://virusscan.zdnet.nl/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab

[freyk]

Fix het volgende

Citaat:

Anneka schreef op 10-12-2004 @ 08:07 :

• C:\WINDOWS\MK9885.EXE
  
• R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINDOWS\system32\searchbar.html
  
• O4 - HKLM\..\Run: [CHotKey] mk9885.exe

En verwijder dan in je windows map het bestandje MK9885.exe.

[hi]

Ik heb een vraag! Misschien staat het wel in het topic maar ik kon het niet echt snel vinden! Ik zoek een lijst waar al de programma's die in je windows task manager bij processes staan, op internet. Er wordt dan uitgelegd wat het programma doet en of het goed is ja of nee. Dan kan ik achterhalen wat er fout is op mijn computer! Er probeert elke keer een programma (vermoed ik) mij aan te melden voor een internetverbinding. Dit gebeurd elke 15 seconde ! Het zal wel een domme vraag zijn excuses maar het heeft wel met adware te maken dacht ik. Ik gebruik adawre, spybot en avast dus begin daar niet over.

Citaat:

freyk schreef op 10-12-2004 @ 09:15 :
Fix het volgende

En verwijder dan in je windows map het bestandje MK9885.exe.

gedaan, dank je wel

[edit] ik weet alleen niet zeker of ik die MK9885.exe. moet verwijderen, het lijkt voor mijn gevoel net een stuurprogramma, is het echt spyware ofzo? [/edit]

[freyk]

Citaat:

Anneka schreef op 10-12-2004 @ 14:54 :
[edit] ik weet alleen niet zeker of ik die MK9885.exe. moet verwijderen, het lijkt voor mijn gevoel net een stuurprogramma, is het echt spyware ofzo? [/edit]

Ja, het is een stuurprogramma voor je spyware.
Gaarne dumpen die handel!

[freyk]

Citaat:

hi schreef op 10-12-2004 @ 14:44 :
Ik gebruik adawre, spybot en avast dus begin daar niet over.

Zoals je in de topicstart leest, heb je ook hijackthis nodig.
En daar kan je aflezen wat wel/niet verdacht.

[hi]

Citaat:

freyk schreef op 10-12-2004 @ 15:42 :
Zoals je in de topicstart leest, heb je ook hijackthis nodig.
En daar kan je aflezen wat wel/niet verdacht.

dat snap ik wel dat dat ook kan maar daar vroeg ik niet om! ZO'n antwoord probeerde ik al te voorkomen maar ik was hijack this vergeten erbij te zetten. Kijk nog eens waar ik om vraag:

Ik zoek een internetadres waar een lijst op staat met al die programma's zodat je kan zien waar een programma uit je task manager list (in het Nederlands heet het taakbeheer) voor dient! Zo kom je er achter of je het programma moet tegenhouden ja/nee.

maar toch bedankt!

[freyk]

Citaat:

hi schreef op 10-12-2004 @ 15:55 :
Ik zoek een internetadres waar een lijst op staat met al die programma's zodat je kan zien waar een programma uit je task manager list (in het Nederlands heet het taakbeheer) voor dient! Zo kom je er achter of je het programma moet tegenhouden ja/nee.

Oow zo, dat doe ik dus met hijackthis en de site hijackthis.de.
(en google.nl)

[hi]

Citaat:

freyk schreef op 10-12-2004 @ 16:54 :
Oow zo, dat doe ik dus met hijackthis en de site hijackthis.de.
(en google.nl)

jah maar ik ben een noeb en ben bang dingen te verwijderen die ik niet had moeten verwijderen maar jij weet zo'n site niet

Citaat:

freyk schreef op 10-12-2004 @ 15:40 :
Ja, het is een stuurprogramma voor je spyware.
Gaarne dumpen die handel!

ok is gedaan

danke voor de medewerking:0

[hi]

Citaat:

hi schreef op 10-12-2004 @ 17:15 :
jah maar ik ben een noeb en ben bang dingen te verwijderen die ik niet had moeten verwijderen maar jij weet zo'n site niet

Ik heb het gevonden voorbeeld van zo'n site computercops dankzij computertotaal de faq spyware bij beveiliging & privacy.

[freyk]

Citaat:

hi schreef op 10-12-2004 @ 20:00 :
Ik heb het gevonden voorbeeld van zo'n site computercops dankzij computertotaal de faq spyware bij beveiliging & privacy.

Ja, maar wat heb je eraan als er iedere dag nieuwe ad/spyware programma's uitkomen??

[Dennis Wösten]

Automatische updater downloaden...

[freyk]

Citaat:

Dennis Wösten schreef op 10-12-2004 @ 23:57 :
Automatische updater downloaden...

Dat helpt geen f*ck.

De eerste drie stappen om deze zooi te voorkomen is:

1. Een alternatiefe browser downloaden
   (het liefst eentje die niet gebasseerd is op ms internet explorer)
2. Een firewall gebruiken.
3. en niet te veel op vreemde dingen klikken, ook niet op de dingen die je dus niet snapt.

[hi]

Citaat:

freyk schreef op 10-12-2004 @ 20:02 :
Ja, maar wat heb je eraan als er iedere dag nieuwe ad/spyware programma's uitkomen??

hmm ok

Dan hier mijn scan met hijack this:

Logfile of HijackThis v1.97.7
Scan saved at 11:30:41, on 11-12-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Program Files\aswUpdSv.exe
D:\Program Files\ashServ.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
D:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
D:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\System32\sistray.EXE
C:\Program Files\ahead\InCD\InCD.exe
D:\Program Files\MsgPlus.exe
D:\PROGRA~1\ashDisp.exe
D:\PROGRA~1\ashmaisv.exe
C:\Program Files\QuickTime\qttask.exe
D:\Program Files\iTunesHelper.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\mscl32.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\WINDOWS\System32\ctfmon.exe
F:\Minidisc\Programma\Omgtray.exe
D:\Office\OSA.EXE
D:\Office\FINDFAST.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\SpySub.exe
C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
F:\Joost\Algemeen\HijackThis.exe
C:\WINDOWS\System32\rasautou.exe

[SubbehQ]

Er is geen enkel process dat wordt aangegeven als fout, maar deze zijn onduidelijk en zitten zeker een paar tussen (spysub, rasautou) die waarschijnlijk spyware zijn.
Gebruik samen met google en je gezocht verstand om de juiste weg te gooien


C:\WINDOWS\System32\mscl32.exe
F:\Minidisc\Programma\Omgtray.exe
D:\Program Files\SpySub.exe
C:\WINDOWS\System32\rasautou.exe
C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe Unknown

[Enlightenment]

Ga verder in Deel 3:
http://forum.scholieren.com/showthre...readid=1040501