Oud 17-10-2004, 16:54
freyk
Avatar van freyk
freyk is offline
Centraal Spyware & Adware topic (deel 2)

Dit is een centraal topic, dat houdt in dat *alle* vragen over dit onderwerp in dit topic moeten.

Wat mag er in dit topic?
  • Vragen over Spyware & Adware en alles wat daarmee samenhangt
Wat mag er niet in dit topic?
  • Aanmoedigen tot illegaal gebruik van commerciële anti-spyware utilities
  • Offtopic discussies
Verder dien je rekening te houden met het volgende:
  • Niet iedereen weet even goed wat spyware is, hoe je er aan komt, en wat je er aan doet. Spyware is iets wat ook de "ik weet waar de aan/uit knop zit"-gebruiker raakt, bewust of onbewust. Ook zij verdienen het geduld om van hun probleem verlost te zijn, dus wees aardig en probeer ze zo goed mogelijk te helpen.

Veelgestelde Vragen

Wat is Spyware
Spyware zijn kleine programmatjes die zich nestellen in je PC en persoonlijke informatie (email, passwoorden, etc) doorsturen naar de programmamaker.
Dit word vooral gebruikt voor commerciële doeleinden, denk bijvoorbeeld aan het versturen van spam naar jou, en soms ook vanaf jou computer.
Spyware wordt veelal meegeinstalleerd met programma's zonder dat je er een melding van krijgt, denk aan KaZaA.

Wat is Adware
Adware zijn kleine programmatjes die ervoor zorgen dat je meer reclame te zien krijgt dan normaal.
Dit kan in de vorm van bijvoorbeeld popups.
Adware wordt veelal meegeinstalleerd met programma's zonder dat je er een melding van krijgt, denk aan KaZaA en MSN plus.

Symptonen van Spyware en Adware
  • Vertraagde PC
    (maar dit kan door andere dingen gebeuren)
  • Verhoogt dataverkeer
  • Klachten dat je onbekende email stuurt
  • Reclame/Popups (via sites of automatisch)
  • Vreemde Bookmarks
  • Vreemde Icoontjes
  • Een andere startpagina

De oplossing
Bijna voor alle computerproblemen bestaan oplossingen, of eventueel vervangende middelen.

Voorkomen is beter dan genezen
Over het algemeen is het vrij eenvoudig om te zorgen dat je geen spyware en adware (en: virussen) krijgt.
Als je op internet een popup krijgt met een knopjes als [Ja] en [Nee] moet je gewoon altijd op nee klikken.
Verder niet zomaar alles installeren, kijk van tevoren wat erin zit en of er geen alternatief is die niks mee installeerd.
Zoals dit:

Hier vraagt internet explorer om een signeerde activex besturingselement accepteren.
Je kan deze waarschuwingen uit zetten, door het volgende te doen:
  1. Open je browser
  2. extra -> internetopties -> tabblad beveiliging -> aangepast niveau.
  3. ActiveX-besturingselememten met/zonder handtekening -> uitschakelen aanvinken.
Je kan ook een beschermend adware & spyware schild gebruiken zoals SpywareBlaster

Alternatieve browsers
Internet explorer is een grote bron voor spyware/adware, omdat het de meest gebruikte browser is, het gebruik maakt van activex en vele veiligheidslekken heeft.
Daarom is het verstandig om een alternatiefe browser te gebruiken.
Bijvoorbeeld Mozilla Firefox, Opera, enz.

Maar als je dan toch moet genezen...
Er zijn 2 veel gebruikte programma's die adware en spyware weghaalt. Voordat je gaat scannen is het verstandig om de nieuwste defenities te downloaden:Als je het niet weg kan krijgen, post dan hier een Hijack-This-log.

Oplossen is altijd beter dan... tegenhouden
Als je popups krijgt is het beter te zorgen dat het van je computer gehaald word, dan een programma te installeren dat de popups tegenhoud.
Op deze manier staan er 2 programma's op je computer (wat dus vertraagd) terwijl ze geen van beide nodig zijn.

handige links
Archief
__________________
"Typefouten zijn gratis" | "Daar is vast wel een knopje voor" | "Ik weet, want ik zoek" | Powered by Firefox, Chromium, Mac OS X, OpenSuse, and Google.

Laatst gewijzigd op 18-10-2004 om 07:13.
Advertentie
Oud 17-10-2004, 16:57
Infern0
Avatar van Infern0
Infern0 is offline
Win min is nog steeds niet weg. dit is mijn hijack logg.

Logfile of HijackThis v1.97.7
Scan saved at 17:20:31, on 17-10-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEeng.exe
C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\Pavsrv51.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Kazaa Lite K++\KazaaLite.kpp
C:\Documents and Settings\Joris\Mijn documenten\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mypoisk.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mypoisk.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mypoisk.com/index.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.paradigit.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mypoisk.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://mypoisk.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [IEengine] C:\Program Files\Internet Explorer\IEeng.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.paradigit.nl
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
Oud 17-10-2004, 17:06
D@mien
Avatar van D@mien
D@mien is offline
Citaat:
Infern0 schreef op 17-10-2004 @ 17:57 :

C:\Program Files\Internet Explorer\IEeng.exe
Dit is niet je browser, maar een Trojan oid, weg drmee dus

Citaat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mypoisk.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mypoisk.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mypoisk.com/index.htm
Dit is zooi...weg drmee

Citaat:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mypoisk.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://mypoisk.com/index.htm
Wederom zooi...verwijderen

Citaat:

O4 - HKCU\..\Run: [IEengine] C:\Program Files\Internet Explorer\IEeng.exe
Zooi..weg drmee..
__________________
A Hero has died.. Steve Irwin - 22-02-1962 - 04-09-2006
Oud 17-10-2004, 17:29
Infern0
Avatar van Infern0
Infern0 is offline
C:\Program Files\Internet Explorer\IEeng.exe krijg ik niet verwijdert de toegang word me geweigert
Oud 17-10-2004, 17:52
freyk
Avatar van freyk
freyk is offline
Citaat:
Infern0 schreef op 17-10-2004 @ 18:29 :
C:\Program Files\Internet Explorer\IEeng.exe krijg ik niet verwijdert de toegang word me geweigert
Dit kan misschien komen dat hij nu gebruikt word.

doe een ctrl-alt-del om bij je windows taakbeheer te komen.
Klik op tabblad processen en beëndig IEeng.exe.

In iedergeval heb je last van trojan_win32_bizten
__________________
"Typefouten zijn gratis" | "Daar is vast wel een knopje voor" | "Ik weet, want ik zoek" | Powered by Firefox, Chromium, Mac OS X, OpenSuse, and Google.
Oud 17-10-2004, 21:17
Infern0
Avatar van Infern0
Infern0 is offline
Weet iemand met welke te downloaden scanner dat eraf te krijgen is?
Oud 18-10-2004, 01:45
D@mien
Avatar van D@mien
D@mien is offline
Citaat:
Infern0 schreef op 17-10-2004 @ 22:17 :
Weet iemand met welke te downloaden scanner dat eraf te krijgen is?
http://www.virusalert.nl/?show=virus...ame=W32.Bizten
ik denk dat et hiermee wel moet lukken...
__________________
A Hero has died.. Steve Irwin - 22-02-1962 - 04-09-2006
Oud 18-10-2004, 07:09
freyk
Avatar van freyk
freyk is offline
Citaat:
D@mien schreef op 18-10-2004 @ 02:45 :
http://www.virusalert.nl/?show=virus...ame=W32.Bizten
ik denk dat et hiermee wel moet lukken...
Dat is geen scanner, maar de handmatige manier.
Leuk om ff de handmatige oplossing te herhalen, D@mien
__________________
"Typefouten zijn gratis" | "Daar is vast wel een knopje voor" | "Ik weet, want ik zoek" | Powered by Firefox, Chromium, Mac OS X, OpenSuse, and Google.
Oud 18-10-2004, 11:09
D@mien
Avatar van D@mien
D@mien is offline
Citaat:
freyk schreef op 18-10-2004 @ 08:09 :
Dat is geen scanner, maar de handmatige manier.
Leuk om ff de handmatige oplossing te herhalen, D@mien
nieteens gezien
maar volges mij staat er op die site ook een link naar een online scan van symantec...die em zou moeten vinden...
een echte remover kan ik niet vinden...
__________________
A Hero has died.. Steve Irwin - 22-02-1962 - 04-09-2006
Oud 19-10-2004, 12:35
stormtrooper
stormtrooper is offline
Ik heb een paar programma’s op me comp staan waar ik niet van weet wat het is :

Remote administrator v2.2 2,09 MB
Kabobo (niet bekend)
MSXML 4.0 SP2 Parser and SDK 1,28 MB
Nimo Codecs pack v4.33 (remove only) 2,60 MB
Performance test v4.0 1,44 MB

Er word veel gezegd namelijk: als je het niet kent gooi het er dan af. Dit ken ik dus niet. Weet iemand waar ze voor zijn? En of ik ze zonder verdere problemen van mijn comp af kan gooien?
Oud 19-10-2004, 13:23
SubbehQ
Avatar van SubbehQ
SubbehQ is offline
Citaat:
stormtrooper schreef op 19-10-2004 @ 13:35 :
Ik heb een paar programma’s op me comp staan waar ik niet van weet wat het is :

Remote administrator v2.2 2,09 MB
Kabobo (niet bekend)
MSXML 4.0 SP2 Parser and SDK 1,28 MB
Nimo Codecs pack v4.33 (remove only) 2,60 MB
Performance test v4.0 1,44 MB

Er word veel gezegd namelijk: als je het niet kent gooi het er dan af. Dit ken ik dus niet. Weet iemand waar ze voor zijn? En of ik ze zonder verdere problemen van mijn comp af kan gooien?
Remote administrator v2.2
Hiermee kan je andere computers in je netwerk beheren, het is shareware, na 30 dagen 35.00$

Indien je dit niet doet, weggooien dus.

Kabobo
kan ik niks over vinden als een programma. Tis dus waarschijnlijk niks dat je gebruikt. iig niet noodzakelijk.


MSXML 4.0 SP2 Parser and SDK
Dit is een service pack van microsoft voor MSXML.
link

Nimo Codecs pack v4.33 (remove only)
Dit zijn Codecs om bepaalde films te bekijken. films die bijvoorbeeld als extentie hebben .avi of .divx

Performance test v4.0
Tja zoals de naam zegt is het een programma om preformance van iets te testen. Of het hij de waarheid spreekt is de vraag. ik kan er niks over vinden. Nooit gebruik is ook hier: weggooien.
__________________
Not a shred of evidence exists in favor of the idea that life is serious
Oud 19-10-2004, 15:33
Infern0
Avatar van Infern0
Infern0 is offline
Citaat:
D@mien schreef op 18-10-2004 @ 12:09 :
nieteens gezien
maar volges mij staat er op die site ook een link naar een online scan van symantec...die em zou moeten vinden...
een echte remover kan ik niet vinden...
De online scanner heeft hem niet kunnen vinden . Nog steeds snap ik niet hoe ik het moet verwijderen. Ik word steeds van msn gekickt kan dat daardoor komen?
Oud 19-10-2004, 15:40
SubbehQ
Avatar van SubbehQ
SubbehQ is offline
Citaat:
Infern0 schreef op 19-10-2004 @ 16:33 :
De online scanner heeft hem niet kunnen vinden . Nog steeds snap ik niet hoe ik het moet verwijderen. Ik word steeds van msn gekickt kan dat daardoor komen?
dude, doe dan ff wat Feynk en darmien zeggen! Die dingen uit de hijack this log verwijdeeren, en dat proces uitzetten en daarna verwijderen in de folder waar die staat.
__________________
Not a shred of evidence exists in favor of the idea that life is serious
Oud 19-10-2004, 16:51
freyk
Avatar van freyk
freyk is offline
Citaat:
SubbehQ schreef op 19-10-2004 @ 16:40 :
dude, doe dan ff wat Feyk en darmien zeggen!
Dan raad ik toch aan om d@mien's z'n link te volgen.
Deze bevat een nederlandse handleiding hoe je die rotzooi kan verwijderen.
Lukt het nog niet om het te verwijderen dan kan je mijn link gebruiken voor een Engelse uitgebreider handleiding.
__________________
"Typefouten zijn gratis" | "Daar is vast wel een knopje voor" | "Ik weet, want ik zoek" | Powered by Firefox, Chromium, Mac OS X, OpenSuse, and Google.
Oud 21-10-2004, 19:43
CanYouHandleMe
Avatar van CanYouHandleMe
CanYouHandleMe is offline
ik heb sinds 2 maanden een eigen laptop (voor mn opleiding.. in de richting van multimediadesign wat dus niet wil zeggen dat ik veel verstand van computers zelf heb.. maar dat even terzijde )

na een ongelukkige link aangeklikt te hebben in google kreeg ik een hele zooi spyware, waar inmiddels een hoop van weg is maar waarvan een paar irritante dingetjes maar blijven hangen..

1. een extra zoekbalk bovenin internet explorer, met icoontjes met o.a. gamble, dating, cool, useful, software..
2. steeds dezelfde terugkerende pop-ups, o.a. pensioeninbeeld, pabo-catalogus, viagra, hot flash games..
3. bepaalde woorden worden overal in websites herkend en er worden links van gemaakt, bijvoorbeeld overal waar spyware, dating, sex, music enz staat daar worden links van gemaakt, waarbij dan onderin de adresbalk verschijnt "sponsoredlink"..
4. een programmaatje "my daily horoscope" dat zich, hoe vaak je het ook (volledig?) verwijdert, telkens weer opnieuw installeert

spybot en ad-aware zijn al (meerdere malen!) ge-update en hebben al vaaaaak gelopen, en de "meneer-van-de-laptops" op school heeft al handmatig vanalles erafgegooid (ik kan je zo niet precies vertellen wat)
messenger plus heb ik ook al erafgegooid incl sponsorprogramma's..

ik heb al een deel van dit topic deel 1 doorgelezen maar er staat nogal wat door elkaar.. is het onbeleefd om niet alle reacties nog eens door te lezen maar zo maar eens advies te vragen? (ik weet ook dat zoekbalken-in-internet-explorer al vaker behandeld zijn maar dat zijn er ook verschillende.. daarom heb ik er even wat specifieker bij gezet hoe die van mij er uit ziet )

lang verhaal.. maar alvast bedankt
__________________
Please just don't play with me my paper heart will bleed..
Oud 21-10-2004, 20:05
CanYouHandleMe
Avatar van CanYouHandleMe
CanYouHandleMe is offline
"http://www.free-web-browsers.com/su...-mysearch.shtml" uit topic deel 1 helpt in ieder geval niet voor die zoekbalk..

owwja en dan nog iets.. als ik een verkeerd adres opgeef in internet explorer springt het scherm van het standaard "pagina kan niet worden weergegeven" door naar deze pagina:


De pagina is niet gevonden
De pagina die u zoekt, is verwijderd, de naam van de pagina is gewijzigd of de pagina is tijdelijk niet beschikbaar.

--------------------------------------------------------------------------------

Ga als volgt te werk:

Controleer of u geen typefout hebt gemaakt in het pagina-adres dat u in de adresbalk hebt getypt.

Open de www.incredifind.com introductiepagina en kijk of er koppelingen zijn naar de gewenste informatie.
Klik op de knop Vorige om een andere koppeling te proberen.
HTTP 404 - Bestand niet gevonden
Internet Information Services


--------------------------------------------------------------------------------

Technische informatie (voor ondersteuningsmedewerkers)

Meer informatie:
Ondersteuning van Microsoft




--> incredifind???
__________________
Please just don't play with me my paper heart will bleed..
Oud 21-10-2004, 20:16
freyk
Avatar van freyk
freyk is offline
Citaat:
CanYouHandleMe schreef op 21-10-2004 @ 20:43 :
ik heb al een deel van dit topic deel 1 doorgelezen maar er staat nogal wat door elkaar..
Gelukkig zijn bijna alle oplossingen samengevoegd tot één openingspost, die je hier dus vind.
Je hebt veel dingen gedaan, maar zoals je leest in de openingspost mis je dus nog één belangrijk ding
Citaat:
freyk schreef op 17-10-2004 @ 17:54 :
Als je het niet weg kan krijgen, post dan hier een Hijack-This-log.
Citaat:
CanYouHandleMe schreef op 21-10-2004 @ 20:43 :
(ik weet ook dat zoekbalken-in-internet-explorer al vaker behandeld zijn maar dat zijn er ook verschillende.. daarom heb ik er even wat specifieker bij gezet hoe die van mij er uit ziet )
Dat was niet nodig geweest, want dat zullen we allemaal aflezen in je hijackthis log.
__________________
"Typefouten zijn gratis" | "Daar is vast wel een knopje voor" | "Ik weet, want ik zoek" | Powered by Firefox, Chromium, Mac OS X, OpenSuse, and Google.
Oud 21-10-2004, 20:24
CanYouHandleMe
Avatar van CanYouHandleMe
CanYouHandleMe is offline
je was me voor.. was er net een aan het maken

Logfile of HijackThis v1.97.7
Scan saved at 21:23:53, on 21-10-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EZEJTRAY.EXE
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\System32\rpbgyv.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\A.T.P\ATP.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\temp\Local Setings\Tijdelijke Internet-bestanden\Content.IE5\2E7QO67V\HijackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.begin2search.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.begin2search.com/sidesearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/sidesearch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Program Files\TV Media\TvmBho.dll (file missing)
O2 - BHO: (no name) - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll
O2 - BHO: (no name) - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:\WINDOWS\multimpp.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINDOWS\System32\winb2s32.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: (no name) - {AEECCF8C-3C11-1281-E6D1-55A51288BE7E} - C:\WINDOWS\Iqglgmyf.dll
O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Search - {EA05CF12-968B-87A6-0788-8AB7D64F30EB} - C:\WINDOWS\Iqglgmyf.dll
O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINDOWS\System32\winb2s32.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [EZEJTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\EZEJTRAY.EXE
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [QCWLIcon] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [UC_Start] C:\Program Files\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [fagtvnad] C:\WINDOWS\System32\rpbgyv.exe
O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINDOWS\bxxs5.dll,DllRun
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\StorageGuard\sgtray.exe" /r
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATP.LNK = C:\Program Files\A.T.P\ATP.exe
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - http://fpdownload.macromedia.com/get...re/awswaxd.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
__________________
Please just don't play with me my paper heart will bleed..
Ads door Google
Oud 21-10-2004, 21:11
CanYouHandleMe
Avatar van CanYouHandleMe
CanYouHandleMe is offline
heb zo'n vaag vermoeden dat begin2search iets met die zoekbalk te maken heeft..?
__________________
Please just don't play with me my paper heart will bleed..
Oud 21-10-2004, 21:55
Miles
Avatar van Miles
Miles is offline
freyk, wat ik nog zou willen toevoegen aan jouw beginpost: Bij ActiveX waarschuwingen is het verstandiger om op het kruisje te klikken dan op de 'Nee' knop; vaak komt het voor dat 'Ja' 'Nee' is en andersom. Klik dus altijd op het kruisje in de rechterhoek. Soms wil er nog wel eens staan: 'Click Yes to continue' dan zou ik gewoon Control+Alt+Delete indrukken en IE's taak beeindigen.
__________________
Un electrodoméstico es una máquina que realiza algunas tareas domésticas rutinarias
Oud 21-10-2004, 22:22
D@mien
Avatar van D@mien
D@mien is offline
Citaat:
CanYouHandleMe schreef op 21-10-2004 @ 21:24 :

C:\WINDOWS\System32\rpbgyv.exe
dit proggie is mij onbekend...google kent em niet....en ik kan dr nix van bakken...ken jij dit? (kijk desnoods ff bij de eigenschappen van et bestand of de fabrikant erbij staat...)
Citaat:


C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
2x Messenger? Dit is niet ernstig, maar zonde van de RAM enzo...als je een van de 2 niet gebruikt, ff bij de opties van dat programma uitzetten dat ie automatisch met windows opstart

Citaat:

C:\Program Files\Digital Line Detect\DLG.exe
Gebruik je iets van Phone Tools software suite van BVRP? Heeft et iets met de modem te maken?

Citaat:


R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.begin2search.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.begin2search.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/sidesearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/sidesearch.html
O2 - BHO: (no name) - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll
O2 - BHO: (no name) - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:\WINDOWS\multimpp.dll
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINDOWS\System32\winb2s32.dll
O2 - BHO: (no name) - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: (no name) - {AEECCF8C-3C11-1281-E6D1-55A51288BE7E} - C:\WINDOWS\Iqglgmyf.dll
O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: Search - {EA05CF12-968B-87A6-0788-8AB7D64F30EB} - C:\WINDOWS\Iqglgmyf.dll
O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINDOWS\System32\winb2s32.dll
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINDOWS\bxxs5.dll,DllRun
Dit is foute troep...verwijderen dus...
multimpp.dll schijnt terug te komen nadat je et fixt met hijackthis, maar et is wel troep en je kan kijken of je et in 1x kan fixen.... et nestelt zich in IE....wat een heerlijke browser toch

Ik moet dr ff bijzeggen dat ik nogal wat probleempjes had met et analyseren van deze log zal wel komen omdat et een thinkpad is ofsow...iig veel onbekende dingen....maar wat ik heb aangegeven als troep is iig zooi...en et moet de meeste problemen (of alle) wel oplossen

oja...en om zulk soort problemen te voorkmen, download dan een echte browser....

Als alles werkt is et ook een goed idee om SP2 te installen via windowsupdate...(en dan natuurlijk die windowsfirewall uit te zetten etc.)
__________________
A Hero has died.. Steve Irwin - 22-02-1962 - 04-09-2006

Laatst gewijzigd op 21-10-2004 om 22:25.
Oud 21-10-2004, 23:28
freyk
Avatar van freyk
freyk is offline
Citaat:
CanYouHandleMe schreef op 21-10-2004 @ 22:11 :
heb zo'n vaag vermoeden dat begin2search iets met die zoekbalk te maken heeft..?
klopt, dat kunnen we in je hijackthis-log lezen.

Citaat:
Miles schreef op 21-10-2004 @ 22:55 :
freyk, wat ik nog zou willen toevoegen aan jouw beginpost: Bij ActiveX waarschuwingen is het verstandiger om op het kruisje te klikken dan op de 'Nee' knop; vaak komt het voor dat 'Ja' 'Nee' is en andersom.
Is dit een scriptje of toch een activex besturingselement waarschuwing?
En als het een activex besturingselement waarschuwing is, sinds wanneer gebeurt dit dan?
Is activex nu dan zó lek dat ze de boel kunnen mannipuleren?
Heb je misschien een linkje waar dit gebeurt?

Citaat:
Miles schreef op 21-10-2004 @ 22:55 :
Klik dus altijd op het kruisje in de rechterhoek. Soms wil er nog wel eens staan: 'Click Yes to continue' dan zou ik gewoon Control+Alt+Delete indrukken en IE's taak beeindigen.
klopt, ik werd hier zo str*ndziek van toen ik warez-sites bezocht.
Na vele van dit soort voorvallen, ben ik mozilla suite gaan gebruiken.
En na een tijdje ben ik helemaal overgestapt.

Citaat:
D@mien schreef op 21-10-2004 @ 23:22 :
2x Messenger? Dit is niet ernstig, maar zonde van de RAM enzo...als je een van de 2 niet gebruikt, ff bij de opties van dat programma uitzetten dat ie automatisch met windows opstart
Wat dacht je van dat ze windows messenger (op de achtergrond) en msn messenger (op de voorgrond) gebruikte.
Windows messenger word standaard geinstalleert bij windows xp, en het is verstandig om dit te verwijderen.
Hoe je dit doet, lees je op het forum (en anders google.nl)

Citaat:
D@mien schreef op 21-10-2004 @ 23:22 :
Dit is foute troep...verwijderen dus...
multimpp.dll schijnt terug te komen nadat je et fixt met hijackthis, maar et is wel troep en je kan kijken of je et in 1x kan fixen....
Het is normaal dat ze terugkomen dan terugkomen, omdat je de verwijzing verwijdert en niet het bestandje zelf.

Hijackthis is een register-editor, die alleen de bekende plekken laat zien waar spyware/adware zich in graag nestelt.
Als je dus iets "fixt" met hijackthis, dan verwijder je dus een verwijzing/sleutel/enz maar niet het bestandje zelf.
Kijk dus goed naar de dingen wanneer je iets wil "fixen".

Het is handig om te zeggen wat je moet fixen met hijackthis, maar vertel dan ook a.u.b hoe je die andere bestanden handmatig moet verwijderen.
__________________
"Typefouten zijn gratis" | "Daar is vast wel een knopje voor" | "Ik weet, want ik zoek" | Powered by Firefox, Chromium, Mac OS X, OpenSuse, and Google.

Laatst gewijzigd op 21-10-2004 om 23:36.
Oud 22-10-2004, 12:58
flippje
Avatar van flippje
flippje is offline
Logfile of HijackThis v1.98.2
Scan saved at 2:02:40, on 22-10-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINNT\Mixer.exe
D:\Messenger Plus! 3\MsgPlus.exe
C:\WINNT\system32\rdkutv.exe
C:\Program Files\Winamp\winampa.exe
C:\WINNT\system32\internat.exe
C:\PROGRA~1\PANICW~1\POP-UP~2\PSFree.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Sitecom\Bluetooth Software\BTTray.exe
C:\PROGRA~1\Sitecom\BLUETO~1\BTSTAC~1.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\WALDFI~1\LOCALS~1\Temp\mbkhydro.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\waldfight\Bureaublad\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://forum.scholieren.com
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Program Files\TV Media\TvmBho.dll
O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINNT\system32\ATPART~1.DLL
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {17584AB3-4325-22E8-46D8-12C0463B768F} - C:\DOCUME~1\WALDFI~1\APPLIC~1\CASTMA~1\Roam Software.exe
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINNT\system32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINNT\system32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\system32\msbe.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [rustxepf] C:\WINNT\system32\rdkutv.exe
O4 - HKLM\..\Run: [alchem] C:\WINNT\alchem.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [TV Media] C:\Program Files\TV Media\Tvm.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~2\PSFree.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [TV Media] C:\Program Files\TV Media\Tvm.exe
O4 - Global Startup: BTTray.lnk = C:\Program Files\Sitecom\Bluetooth Software\BTTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\inetadpt.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab27571.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...3a3d9a4a0e3a56
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/fu...tup1.0.0.8.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab30149.cab
O16 - DPF: {6211AC26-A1B4-422A-AC52-1E70B7D24465} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.co...haringctrl.cab
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://212.41.157.233:8080/mmawap/js.../mmsPlayer.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab27571.cab
O16 - DPF: {A51DEDCD-20F7-11D4-98A5-00C0CA130748} (Tintel Class) - http://exe.dialer.tintel.nl/tcw.cab
O16 - DPF: {AE609930-A6EB-4A78-B7DA-B3200705FEBD} (Mophun Control) - http://www.mophun.com/codebase/mophun.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab30149.cab
O16 - DPF: {D3A7982E-915D-4589-8ECE-249F70D0C941} (Launch Control) - http://aaotracker.4players.de/LaunchGame.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab30149.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{39F90891-1DB2-4BAC-BF5F-D9DF168B8A0A}: NameServer = 192.168.1.1


Wat weg doen
__________________
Wat is een leven zonder ananas?--->all bout ananas
Oud 22-10-2004, 13:45
stormtrooper
stormtrooper is offline
mijn computer is vrijwel spyware vrij, maar elke keer als ik met spybot scan vint hij telkens dit :
DSO Exploit
dan verwijder ik het, scan opnieuw, en vind hij het weer. elke keer weer

hoe kom ik hier definitief vanaf? moet ik dan weer een Hijackthis-log plaatsen?
Oud 22-10-2004, 13:56
M@rco
Avatar van M@rco
M@rco is offline
Misschien dat er iets kan worden veranderd aan de openingspost. Het slaat nl. nergens op om ActiveX elementen helemaal uit te schakelen, omdat dan ook een hoop sites die gebruik maken van legitieme ActiveX-elementen, ook niet meer zullen werken; denk bijv. aan online bankieren.

Wat iedere IE gebruiker met Windows XP (en sowieso iedere XP gebruiker) zou moeten doen, is Service Pack 2 installeren en daarna in IE de beveiligingsinstellingen voor de 4 zones terugzetten naar de standaardinstellingen. Vervolgens kun je via deze site:

http://www.spywareguide.com/blockfile.php

een .reg file downloaden die informatie aan het register toevoegt waardoor bekende ActiveX spy/adware genegeerd zal worden (kan ook als je nog geen SP1 hebt, maar de beveiliging in SP2 is gewoon zoveel beter geregeld). Sowieso blokkeert IE6 SP2 standaard de installatie van ActiveX controls en moet je zelf via de informatiebalk specifiek aangeven dat je die wilt installeren.

Het is overigens ook niet zo dat IE een bron van spy/adware zou zijn doordat het ActiveX ondersteunt. ActiveX an sich heeft daar niets mee te maken, het zijn a) de eerdere beveiligingslekken die ervoor zorgen dat er ActiveX controls kunnen worden geïnstalleerd zonder tussenkomst van de gebruiker, hoewel deze natuurlijk makkelijk zjn te dichten door de daarvoor bestemde patches te installeren, en b) de stupiditeit van de gebruiker die overal op "Ja" klikt, die ervoor zorgen dat IE als onveilig wordt beschouwd.
__________________
What experience and history teach is this — that people and governments never have learned anything from history, or acted on principles deduced from it.

Laatst gewijzigd op 22-10-2004 om 14:01.
Advertentie
Oud 22-10-2004, 14:25
D@mien
Avatar van D@mien
D@mien is offline
Citaat:
M@rco schreef op 22-10-2004 @ 14:56 :
Sowieso blokkeert IE6 SP2 standaard de installatie van ActiveX controls en moet je zelf via de informatiebalk specifiek aangeven dat je die wilt installeren.
Ik ken anders een 'bekende serials' site die zonder dat je et ziet in IE spyware installed...waarschijnlijk dmv activeX, aangezien ik dr in een goede browser geen last van heb...
__________________
A Hero has died.. Steve Irwin - 22-02-1962 - 04-09-2006
Oud 22-10-2004, 14:33
Verwijderd
Dan moet je het beveiligingsniveau hoger zetten of die site specifiek blocken. Het is inderdaad slecht, maar hee, het is Microsoft. SP2 is geen garantie voor een waterdichte PC, in tegendeel.
Oud 22-10-2004, 15:46
CanYouHandleMe
Avatar van CanYouHandleMe
CanYouHandleMe is offline
Citaat:
quote:
--------------------------------------------------------------------------------
CanYouHandleMe schreef op 21-10-2004 @ 21:24 :

C:\WINDOWS\System32\rpbgyv.exe

--------------------------------------------------------------------------------


dit proggie is mij onbekend...google kent em niet....en ik kan dr nix van bakken...ken jij dit? (kijk desnoods ff bij de eigenschappen van et bestand of de fabrikant erbij staat...)
nee ken het niet.. kan het niet zomaar verwijderen want dan geeft ie aan dat het in gebruik is..

ik heb mijn log ook al eens laten analyseren via deze site en daar geeft ie dat laatste ook als unknown, net als:

C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\system32\TpKmpSVC.exe

(unknown)
en
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Program Files\TV Media\TvmBho.dll (file missing)
(possibly nasty)

ken je die wel dan?

wat "C:\Program Files\Digital Line Detect\DLG.exe" is weet ik ook niet precies maar het staat wel op alle laptops (iedereen op de opleiding heeft dezelfde) dus dat zal wel ok zijn

de windows messenger heb ik weggehaald

ehm en verder:

Citaat:
Hijackthis is een register-editor, die alleen de bekende plekken laat zien waar spyware/adware zich in graag nestelt.
Als je dus iets "fixt" met hijackthis, dan verwijder je dus een verwijzing/sleutel/enz maar niet het bestandje zelf.
Kijk dus goed naar de dingen wanneer je iets wil "fixen".

Het is handig om te zeggen wat je moet fixen met hijackthis, maar vertel dan ook a.u.b hoe je die andere bestanden handmatig moet verwijderen.
ok.. maar hoe moet ik het nu verwijderen?
__________________
Please just don't play with me my paper heart will bleed..
Oud 22-10-2004, 15:51
M@rco
Avatar van M@rco
M@rco is offline
Citaat:
nare man schreef op 22-10-2004 @ 15:33 :
Dan moet je het beveiligingsniveau hoger zetten of die site specifiek blocken. Het is inderdaad slecht, maar hee, het is Microsoft. SP2 is geen garantie voor een waterdichte PC, in tegendeel.
Tuurlijk niet, de enige garantie voor een waterdichte PC ben je zelf. "Security is a process, not a product". Neemt niet weg dat de beveiliging in IE6 SP2, mits goed ingesteld, gewoon goed voor elkaar is.
__________________
What experience and history teach is this — that people and governments never have learned anything from history, or acted on principles deduced from it.
Oud 22-10-2004, 15:55
CanYouHandleMe
Avatar van CanYouHandleMe
CanYouHandleMe is offline
Citaat:
CanYouHandleMe schreef op 22-10-2004 @ 16:46 :
nee ken het niet.. kan het niet zomaar verwijderen want dan geeft ie aan dat het in gebruik is..

ok bij nader inzien.. heb het via taakbeheer uitgeschakeld en daarna verwijderd
__________________
Please just don't play with me my paper heart will bleed..
Oud 22-10-2004, 15:58
D@mien
Avatar van D@mien
D@mien is offline
Citaat:
CanYouHandleMe schreef op 22-10-2004 @ 16:46 :
ik heb mijn log ook al eens laten analyseren via deze site en daar geeft ie dat laatste ook als unknown, net als:

C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\system32\TpKmpSVC.exe

(unknown)
en
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Program Files\TV Media\TvmBho.dll (file missing)
(possibly nasty)

ken je die wel dan?
QCONSVC.EXE = IBM Access Connection manager...geen spyware...als je et niet gebruikt kan je et gewoon unistallen..zonder dat et problemen geeft denk ik..maar et kan iig geen kwaad.

RegSrvc.exe = iets van Intel....wat et exact doet weet ik niet, maar et kan gloofik geen kwaad...kep hier op zitten googelen...maar nergens gevonden dat et schadelijk is....of je et zomaar weg kan smijten weet ik niet...

TpKmpSVC.exe = iets van de IBM voor de Thinkpad...lijkt me dus belangrijk voor je PC...

die laatste heb ik gemist gloofik....is ook iets van een IE plugin....
__________________
A Hero has died.. Steve Irwin - 22-02-1962 - 04-09-2006
Oud 22-10-2004, 17:00
murwari
Avatar van murwari
murwari is offline
svchost.exe?
CalCheck.exe?
khooker.exe?
spoolsv.exe?

Wat zijn dit voor programma's? Is iets hiervan spyware? En zoja: hoe krijg ik het weg?
__________________
Love is the answer, At least for most of the questions in my heart. Like why are we here? And where do we go? And how come it's so hard?
Oud 22-10-2004, 17:12
TopDrop
Avatar van TopDrop
TopDrop is offline
Citaat:
stormtrooper schreef op 22-10-2004 @ 14:45 :
mijn computer is vrijwel spyware vrij, maar elke keer als ik met spybot scan vint hij telkens dit :
DSO Exploit
dan verwijder ik het, scan opnieuw, en vind hij het weer. elke keer weer

hoe kom ik hier definitief vanaf? moet ik dan weer een Hijackthis-log plaatsen?

Ditzelfde heb ik dus ook. Wat is DSO Exploit en kan het kwaad? Ik neem aan dat als Spybot S&D aangeeft dat het een probleem is dat het toch niet helemaal onschadelijk is.
Oud 22-10-2004, 17:27
Verwijderd
Citaat:
murwari schreef op 22-10-2004 @ 18:00 :
svchost.exe?
CalCheck.exe?
khooker.exe?
spoolsv.exe?

Wat zijn dit voor programma's? Is iets hiervan spyware? En zoja: hoe krijg ik het weg?
svchost.exe en spoolsv.exe zijn windows processen. De overige 2 zouden spyware kunnen zijn. Maak een HijackThis log en post hem hier, en scan je pc met een spywarescanner (Zie beginpost voor links).
Oud 22-10-2004, 17:29
CanYouHandleMe
Avatar van CanYouHandleMe
CanYouHandleMe is offline
Citaat:
D@mien schreef op 22-10-2004 @ 16:58 :
QCONSVC.EXE = IBM Access Connection manager...geen spyware...als je et niet gebruikt kan je et gewoon unistallen..zonder dat et problemen geeft denk ik..maar et kan iig geen kwaad.

RegSrvc.exe = iets van Intel....wat et exact doet weet ik niet, maar et kan gloofik geen kwaad...kep hier op zitten googelen...maar nergens gevonden dat et schadelijk is....of je et zomaar weg kan smijten weet ik niet...

TpKmpSVC.exe = iets van de IBM voor de Thinkpad...lijkt me dus belangrijk voor je PC...

die laatste heb ik gemist gloofik....is ook iets van een IE plugin....
ok thanks.. TVmedia daar is al een deel van weggegooid maar er blijft altijd iets van hangen.. zal nog eens op google kijken anders kom ik wel weer terug voor raad

maar hoe kan ik de rest nu het beste verwijderen? bij Hijackthis fixen of handmatig (en in het geval van handmatig.. hoe precies?)
__________________
Please just don't play with me my paper heart will bleed..
Oud 22-10-2004, 19:12
freyk
Avatar van freyk
freyk is offline
Citaat:
CanYouHandleMe schreef op 22-10-2004 @ 18:29 :
maar hoe kan ik de rest nu het beste verwijderen? bij Hijackthis fixen of handmatig (en in het geval van handmatig.. hoe precies?)
Soms staan er ook uninstall programma's op de site zelf waar de "besmette" startpagina naar verwijst.
Voor die Begin2search, ga je naar de hoofdsite van begin2search en kijk je rechtsonderaan voor de uninstall.
Maar denk er wel aan, je kan deze uninstall-programma's nooit 100% vertrouwen.
(Nee, deze keer geef ik geen directe link, laat de mensen zelf maar eens zoeken)

Als je iets handmatig wilt gaan verwijderen, gebruik je dus eerst hijackthis om uit te zoeken waar de verdachte bestanden staan.
Laten we bijvoorbeeld
C:\Program Files\TV Media\TvmBho.dll (file missing) gaan verwijderen.
(ik weet dat hij niet meer op je harde schijf staat, maar toch ff als voorbeeld)

TvmBho stond in het mapje "TV Media", dat in je program files-map je staat, die op je c: schijf staat.
Omdat deze dus niet op je harde schijf staat, staat hij nog wel geregistreert in je register.
Oftewel deze kan je rustig fixen, zodat hijackthis de verwijzing uit je register haalt.
__________________
"Typefouten zijn gratis" | "Daar is vast wel een knopje voor" | "Ik weet, want ik zoek" | Powered by Firefox, Chromium, Mac OS X, OpenSuse, and Google.
Ads door Google
Oud 22-10-2004, 21:16
CanYouHandleMe
Avatar van CanYouHandleMe
CanYouHandleMe is offline
Citaat:
freyk schreef op 22-10-2004 @ 20:12 :
Soms staan er ook uninstall programma's op de site zelf waar de "besmette" startpagina naar verwijst.
Voor die Begin2search, ga je naar de hoofdsite van begin2search en kijk je rechtsonderaan voor de uninstall.
Maar denk er wel aan, je kan deze uninstall-programma's nooit 100% vertrouwen.
(Nee, deze keer geef ik geen directe link, laat de mensen zelf maar eens zoeken)


mn balk & links zijn weg!! (tot nu toe.. dus afkloppen ) maar thanks!!

mn nieuwe log is nu:

Logfile of HijackThis v1.98.2
Scan saved at 22:13:14, on 22-10-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EZEJTRAY.EXE
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\A.T.P\ATP.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\temp\Local Setings\Tijdelijke Internet-bestanden\Content.IE5\TKCB550H\HijackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/sidesearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll
O2 - BHO: MultimppObj Class - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:\WINDOWS\multimpp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: (no name) - {AEECCF8C-3C11-1281-E6D1-55A51288BE7E} - C:\WINDOWS\Iqglgmyf.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Search - {EA05CF12-968B-87A6-0788-8AB7D64F30EB} - C:\WINDOWS\Iqglgmyf.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [EZEJTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\EZEJTRAY.EXE
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [QCWLIcon] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [UC_Start] C:\Program Files\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [fagtvnad] C:\WINDOWS\System32\rpbgyv.exe
O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINDOWS\bxxs5.dll,DllRun
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\StorageGuard\sgtray.exe" /r
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATP.LNK = C:\Program Files\A.T.P\ATP.exe
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O18 - Filter: text/html - {8D9EB643-179B-4833-9538-D811AAA7EFA5} - C:\Documents and Settings\Administrator\Local Settings\Application Data\microsoft\internet explorer\V0.26.dat
__________________
Please just don't play with me my paper heart will bleed..
Oud 22-10-2004, 21:22
CanYouHandleMe
Avatar van CanYouHandleMe
CanYouHandleMe is offline
*vervolg* ok ten eerste.. er staat nog één keer iets van begin2search in.. kan dat kwaad, moet dat weg?

ten tweede..
in mn eerste log waren de "foute dingen" deze:
O2 - BHO: (no name) - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll
O2 - BHO: (no name) - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:\WINDOWS\multimpp.dll
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINDOWS\System32\winb2s32.dll
O2 - BHO: (no name) - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: (no name) - {AEECCF8C-3C11-1281-E6D1-55A51288BE7E} - C:\WINDOWS\Iqglgmyf.dll
O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: Search - {EA05CF12-968B-87A6-0788-8AB7D64F30EB} - C:\WINDOWS\Iqglgmyf.dll
O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINDOWS\System32\winb2s32.dll
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINDOWS\bxxs5.dll,DllRun


en nu:

O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll
O2 - BHO: MultimppObj Class - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:\WINDOWS\multimpp.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: (no name) - {AEECCF8C-3C11-1281-E6D1-55A51288BE7E} - C:\WINDOWS\Iqglgmyf.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: Search - {EA05CF12-968B-87A6-0788-8AB7D64F30EB} - C:\WINDOWS\Iqglgmyf.dll


dit zijn ze niet allemaal maar het gaat me hierom:
er zijn wat dingen veranderd (bijv. (no name) -> CExtension Object) kan/moet ik ze nu evengoed nog gewoon fixen met Hijackthis?
__________________
Please just don't play with me my paper heart will bleed..
Oud 22-10-2004, 22:16
freyk
Avatar van freyk
freyk is offline
Citaat:
CanYouHandleMe schreef op 22-10-2004 @ 22:22 :
*vervolg* ok ten eerste.. er staat nog één keer iets van begin2search in.. kan dat kwaad, moet dat weg?
Klopt, je zoekpagina is nog besmet.
Deze mag je fixen.

Citaat:
CanYouHandleMe schreef op 22-10-2004 @ 22:22 :
dit zijn ze niet allemaal maar het gaat me hierom:
er zijn wat dingen veranderd (bijv. (no name) -> CExtension Object) kan/moet ik ze nu evengoed nog gewoon fixen met Hijackthis?
Als je je hijackthis-log door hijackthis.de haalt, dan zie je toch dat er nog een hoop dingen dat er gefixt (en daarna handmatig verwijdert) moet worden.
__________________
"Typefouten zijn gratis" | "Daar is vast wel een knopje voor" | "Ik weet, want ik zoek" | Powered by Firefox, Chromium, Mac OS X, OpenSuse, and Google.
Oud 23-10-2004, 08:04
CanYouHandleMe
Avatar van CanYouHandleMe
CanYouHandleMe is offline
Citaat:
freyk schreef op 22-10-2004 @ 23:16 :

Als je je hijackthis-log door hijackthis.de haalt, dan zie je toch dat er nog een hoop dingen dat er gefixt (en daarna handmatig verwijdert) moet worden.
ja ik weet dat die dingen er nog staan maar ik doelde dus op die veranderingen, zoals dat bij bxxs5 eerst "(no name)" stond en nu "CExtension Object".. moet ik me daar verder iets van aantrekken?
__________________
Please just don't play with me my paper heart will bleed..
Oud 23-10-2004, 08:13
freyk
Avatar van freyk
freyk is offline
Citaat:
CanYouHandleMe schreef op 23-10-2004 @ 09:04 :
moet ik me daar verder iets van aantrekken?
Nee, zolang je maar verwijdert.
In iedergeval kan bxxs5.dll weg!
__________________
"Typefouten zijn gratis" | "Daar is vast wel een knopje voor" | "Ik weet, want ik zoek" | Powered by Firefox, Chromium, Mac OS X, OpenSuse, and Google.
Oud 23-10-2004, 08:19
CanYouHandleMe
Avatar van CanYouHandleMe
CanYouHandleMe is offline
Citaat:
freyk schreef op 23-10-2004 @ 09:13 :
Nee, zolang je maar verwijdert.
In iedergeval kan bxxs5.dll weg!
ok thanks.. moet nu gaan werken fix het straks wel
__________________
Please just don't play with me my paper heart will bleed..
Oud 23-10-2004, 14:29
CanYouHandleMe
Avatar van CanYouHandleMe
CanYouHandleMe is offline
gefixt.. nu spybot (ge-update) en ad-aware (geen updates gevonden) nog eens laten lopen

dalijk ff nieuwe log posten


& als ik nu nog een pop-up zie ga ik echt gillen denk ik
__________________
Please just don't play with me my paper heart will bleed..
Oud 23-10-2004, 14:43
CanYouHandleMe
Avatar van CanYouHandleMe
CanYouHandleMe is offline
Logfile of HijackThis v1.98.2
Scan saved at 15:44:09, on 23-10-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EZEJTRAY.EXE
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\A.T.P\ATP.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\temp\Local Setings\Tijdelijke Internet-bestanden\Content.IE5\TKCB550H\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [EZEJTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\EZEJTRAY.EXE
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [QCWLIcon] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [UC_Start] C:\Program Files\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\StorageGuard\sgtray.exe" /r
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATP.LNK = C:\Program Files\A.T.P\ATP.exe
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O18 - Filter: text/html - {8D9EB643-179B-4833-9538-D811AAA7EFA5} - C:\Documents and Settings\Administrator\Local Settings\Application Data\microsoft\internet explorer\V0.26.dat
__________________
Please just don't play with me my paper heart will bleed..
Oud 23-10-2004, 14:56
CanYouHandleMe
Avatar van CanYouHandleMe
CanYouHandleMe is offline
balk weg, links weg, pop-ups weg (tot nu toe!*afkloppen*).. en hij start opeens megasnel op

dankjewellll!!!!

toch vreemd eigelijk.. dat ik hier wel geholpen wordt en door de "expert" op school niet..
__________________
Please just don't play with me my paper heart will bleed..

Laatst gewijzigd op 23-10-2004 om 15:00.
Oud 24-10-2004, 16:44
SubbehQ
Avatar van SubbehQ
SubbehQ is offline
Citaat:
CanYouHandleMe schreef op 23-10-2004 @ 15:56 :
balk weg, links weg, pop-ups weg (tot nu toe!*afkloppen*).. en hij start opeens megasnel op

dankjewellll!!!!

toch vreemd eigelijk.. dat ik hier wel geholpen wordt en door de "expert" op school niet..
mooizo erzitten ook geen foute dingen meer in, nog wel wat processen die onbekend zijn, maar zolang je niks hebt lijkt me dat oke.
__________________
Not a shred of evidence exists in favor of the idea that life is serious
Oud 25-10-2004, 08:42
stormtrooper
stormtrooper is offline
Citaat:
stormtrooper schreef op 22-10-2004 @ 14:45 :
mijn computer is vrijwel spyware vrij, maar elke keer als ik met spybot scan vint hij telkens dit :
DSO Exploit
dan verwijder ik het, scan opnieuw, en vind hij het weer. elke keer weer

hoe kom ik hier definitief vanaf? moet ik dan weer een Hijackthis-log plaatsen?
Weet iemand hier iets vanaf?
Oud 25-10-2004, 09:36
freyk
Avatar van freyk
freyk is offline
Citaat:
stormtrooper schreef op 25-10-2004 @ 09:42 :
Weet iemand hier iets vanaf?
Tuurlijk!
De zoekfunctie van dit forum weet alles!!!
__________________
"Typefouten zijn gratis" | "Daar is vast wel een knopje voor" | "Ik weet, want ik zoek" | Powered by Firefox, Chromium, Mac OS X, OpenSuse, and Google.
Oud 26-10-2004, 18:31
geen punt.
Avatar van geen punt.
geen punt. is offline
Bij deze wil ik Freyk nog even bedanken voor de fantastische hulp in het vorige spyware topic (alsof ik een of andere debiel ben ofzo) Ik vraag al nx meer.
__________________
Zeg vaker NEE (tegen Europa)
Oud 26-10-2004, 18:51
freyk
Avatar van freyk
freyk is offline
Citaat:
geen punt. schreef op 26-10-2004 @ 19:31 :
Bij deze wil ik Freyk nog even bedanken voor de fantastische hulp in het vorige spyware topic (alsof ik een of andere debiel ben ofzo) Ik vraag al nx meer.
Wat doe ik dan verkeerd dan?
Volgends mij ben ik gewoon zo debiel om alles te herhalen voor de mensen die niet de geduld hebben of niet de zoekfunctie gebruiken.

Ik wil je nog steeds helpen, maar zonder een hijackthis-log kan ik niks.
Ennuh het scannen en verwijderen met spybot/adaware is het halve werk.
__________________
"Typefouten zijn gratis" | "Daar is vast wel een knopje voor" | "Ik weet, want ik zoek" | Powered by Firefox, Chromium, Mac OS X, OpenSuse, and Google.

Laatst gewijzigd op 26-10-2004 om 19:50.
Advertentie
Topic gesloten

Topictools Zoek in deze topic
Zoek in deze topic:

Geavanceerd zoeken

Regels voor berichten
Je mag geen nieuwe topics starten
Je mag niet reageren op berichten
Je mag geen bijlagen versturen
Je mag niet je berichten bewerken

BB code is Aan
Smileys zijn Aan
[IMG]-code is Aan
HTML-code is Uit

Spring naar

Soortgelijke topics
Forum Topic Reacties Laatste bericht
Software & Hardware Centraal spyware, adware & virussen topic [5]
M@rco
499 26-03-2008 13:10
Software & Hardware [Centraal] Spy-, adware & virussen [4]
M@rco
500 01-12-2006 11:27
Software & Hardware [Centraal] Spyware & Adware [3]
Enlightenment
461 24-01-2006 09:53


Alle tijden zijn GMT +1. Het is nu 19:43.