PDA

Volledige versie bekijken : Hardnekkige spyware



john de non
31 mei 2004, 13:22
Ik zit met het volgende probleem, zoals de titel al doet vermoeden.
Ik heb al een keer of 5-6 met adaware 6 gescanned en iedere keer de gevonden spyware verwijderd, maar het blijft maar weerkomen. Ik reboot en het is er weer. RegCleaner ook al gebruikt, alle proggies die ik niet ken er af gesmeten... Geen baat.
Het is zo erg dat overal, bij woordjes zoals 'games' automatisch een link wordt gemaakt naar Ntsearch, sommige sites worden gewoon niet meer geopend en blijven blanco, mijn startpagina blijft maar terugspringen naar mysearchnow.com ofzoiets etc..
Tevens kan ik 'taakbeheer' ook niet meer openen, zodat het onmogelijk is bepaalde processen af te sluiten. :/
Alle hulp is welkom.

Mvg.

-(erbje)-
31 mei 2004, 16:34
Ik zit met het volgende probleem, zoals de titel al doet vermoeden.
Ik heb al een keer of 5-6 met adaware 6 gescanned en iedere keer de gevonden spyware verwijderd, maar het blijft maar weerkomen. Ik reboot en het is er weer. RegCleaner ook al gebruikt, alle proggies die ik niet ken er af gesmeten... Geen baat.
Het is zo erg dat overal, bij woordjes zoals 'games' automatisch een link wordt gemaakt naar Ntsearch, sommige sites worden gewoon niet meer geopend en blijven blanco, mijn startpagina blijft maar terugspringen naar mysearchnow.com ofzoiets etc..
Tevens kan ik 'taakbeheer' ook niet meer openen, zodat het onmogelijk is bepaalde processen af te sluiten. :/
Alle hulp is welkom.

Mvg.

Kijk is in deze post: http://games.telenet.be/forum/showthread.php?t=219386

Bij de eerste reply staat er iets over het programma hijackthis, download dit, open het, druk op "Scan", duid alles aan, druk daarna op "Fix.." en u probleem is opgelost :)

Had ook heeel veel last van spyware, zelfs ad-aware enzo werkte niet. ik had ook zo eens tartpage die constant veranderde naar mysearchnow en had zo een extra balk ik IE die ik niet weg kreeg. Maar door dat programma is ales opgelost :niceone:

j .
31 mei 2004, 18:08
Bij de eerste reply staat er iets over het programma hijackthis, download dit, open het, druk op "Scan", duid alles aan, druk daarna op "Fix.." en u probleem is opgelost

NIET DOEN! (Sorry -(erbje)- ;) )
Als je alles aanduidt, ga je tot de vaststelling komen dat heel wat programma's plots niet meer opstarten, zoals: firewall, antivirus, en al het andere wat normaal in je taakbalk staat.

j .
31 mei 2004, 18:21
Om mysearchnow(startpagina) te verwijderen:
ga naar de startpagina, onderaan staat help, klik daarop en download hun uninstaller. Als je de toolbar ook hebt->2de uninstaller.

N.B. Heb je onlangs msn plus geïnstalleerd? Dit is een van de sponsors. In dat geval Msn plus verwijderen, en herinstalleren zonder sponsors.

En zoals -(erbje)- zegt, maak best een log met hijackthis, want die geblokkeerde takenplanner is normaal niet het werk van mysearchnow.

Als je niet weet wat je moet verwijderen, post het volledige log dan hier.

kijk daarna in de sticky eerste hulp bij spyware... , en installeer minstens startupmonitor en spybot/spywareguard of spywareblaster.

Henne
31 mei 2004, 20:09
Logfile of HijackThis v1.97.7
Scan saved at 20:08:42, on 31/05/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\TrayIcon.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\PROGRA~1\ACTIVE~1\byte iso dale.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\FlashGet\flashget.exe
C:\Program Files\Common Files\Real\Update_OB\rnathchk.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\GEBRUI~1\LOCALS~1\Temp\Rar$EX00.328\Hi jackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchweb2.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchweb2.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.telenet.be
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchweb2.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchweb2.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchweb2.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.telenet.be
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = +s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchweb2.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telenet Internet
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (disabled by BHODemon)
O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFB2} - C:\WINDOWS\msnhek.dll (disabled by BHODemon)
O2 - BHO: 3721CMail - {6231D512-E4A4-4DF2-BE62-5B8F0EE348EF} - C:\PROGRA~1\3721\Ces\cesweb.dll (disabled by BHODemon)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll (disabled by BHODemon)
O2 - BHO: (no name) - {B6A53A7C-3937-4C65-BA16-F665095815EB} - C:\WINDOWS\System32\bkakcd.dll (disabled by BHODemon)
O2 - BHO: (no name) - {BD20A143-95C2-4BEA-A043-007B25229B72} - C:\WINDOWS\System32\bkakcd.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll (disabled by BHODemon)
O2 - BHO: (no name) - {E7ECAAAD-B05E-C5C8-B035-06E6FF76FB18} - C:\PROGRA~1\SOAPLI~1\Settingsknob.dll (disabled by BHODemon)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: ProgramHeartDefy - {D51B536F-B025-C4C8-B71B-6882E0AFBAA3} - C:\PROGRA~1\SOAPLI~1\Settingsknob.dll
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINDOWS\System32\TrayIcon.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [cesmain.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\Ces\cmail.dll,Rundll32
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [StoreWin] C:\PROGRA~1\ACTIVE~1\byte iso dale.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Startup: BHODemon.lnk = C:\Program Files\BHODemon\BHODemon.exe
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: 3721CMail (HKLM)
O9 - Extra button: Short Message (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/sikes/nl/win/QuickTimeInstaller.exe
O16 - DPF: {6211AC26-A1B4-422A-AC52-1E70B7D24465} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/nl/filesharingctrl.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://www.telenet.be/gamezone/classes/ExentCtl.ocx
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2e529727a6ef04/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37919.2237268519
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

Pro
31 mei 2004, 21:18
same here
heb men log ook gepost gelieve iemand er eens naar te kijken

j .
31 mei 2004, 22:07
@ Henne: is hetzelfde bedrijf, klik op iets in het menu, volg dan mijn vorige post.

Download toolbarcop (http://www.mvps.org/sramesh2k/toolbarcop.htm) en zet de volgende BHO's terug aan:
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (disabled by BHODemon)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll (disabled by BHODemon)


Verwijderen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchweb2.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchweb2.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchweb2.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchweb2.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchweb2.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = +s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchweb2.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (disabled by BHODemon)
O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFB2} - C:\WINDOWS\msnhek.dll (disabled by BHODemon)
O2 - BHO: 3721CMail - {6231D512-E4A4-4DF2-BE62-5B8F0EE348EF} - C:\PROGRA~1\3721\Ces\cesweb.dll (disabled by BHODemon)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll (disabled by BHODemon)
O2 - BHO: (no name) - {B6A53A7C-3937-4C65-BA16-F665095815EB} - C:\WINDOWS\System32\bkakcd.dll (disabled by BHODemon)
O2 - BHO: (no name) - {BD20A143-95C2-4BEA-A043-007B25229B72} - C:\WINDOWS\System32\bkakcd.dll
O3 - Toolbar: ProgramHeartDefy - {D51B536F-B025-C4C8-B71B-6882E0AFBAA3} - C:\PROGRA~1\SOAPLI~1\Settingsknob.dll
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [cesmain.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\Ces\cmail.dll,Rundll32
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - Startup: PowerReg Scheduler V3.exe
O9 - Extra button: 3721CMail (HKLM)
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab



O4 - HKLM\..\Run: [StoreWin] C:\PROGRA~1\ACTIVE~1\byte iso dale.exe tenzij je weet wat het is

Lees eens de sticky over spyware, en zet wat beveiligingsprogramma's op. Antivirus helpt meestal niet tegen spyware en adware.

platzak
1 juni 2004, 13:07
"hijack this" allemaal goed en wel, maar ik heb schrik om dingen van mijne computer te gooien. doe alleen weg waar je zeker van bent dat het weg mag!

j .
1 juni 2004, 22:23
@ platzak: hijackthis verwijdert geen programma's of bestanden, je verwijdert alleen opstartinstructies of instellingen, in het ergste geval gaat een programma uit je taakbalk niet meer werken of ben je je startpagina kwijt.

Trouwens, als je hijackthis in een eigen folder zet en die niet wist, houdt hij bij wat er gewist is, en kan je het zo terugzetten.
Anders moet je gewoon een programma herinstalleren (of systeemherstel gebruiken).

Als je alles in de lijst zou wissen wat je kan wissen, zou je computer gewoon opstarten, en zou je het op 20 seconden kunnen terugzetten (+ 3 minuten voor windows ;) )

de fitnessbonk
1 juni 2004, 23:15
Ik zat daarnet even op letssingit.com en jah, pc vol brol ineens.

Ad-aware laten scannen, alles wat ie gevonden heeft verwijderd maar nu heb ik steeds last van dit als ik m'n browser open

http://users.pandora.be/madmanxp/ma.../vuilepopup.JPG

En ik merk dat er tijdens het surfen enorm veel pop-ups geblokt worden nu.
Maar die ene zoals op bovenstaande screenshot blijft maar komen.

help anyone?

$andman
1 juni 2004, 23:31
Ik zit met het volgende probleem, zoals de titel al doet vermoeden.
Ik heb al een keer of 5-6 met adaware 6 gescanned en iedere keer de gevonden spyware verwijderd, maar het blijft maar weerkomen. Ik reboot en het is er weer. RegCleaner ook al gebruikt, alle proggies die ik niet ken er af gesmeten... Geen baat.
Het is zo erg dat overal, bij woordjes zoals 'games' automatisch een link wordt gemaakt naar Ntsearch, sommige sites worden gewoon niet meer geopend en blijven blanco, mijn startpagina blijft maar terugspringen naar mysearchnow.com ofzoiets etc..
Tevens kan ik 'taakbeheer' ook niet meer openen, zodat het onmogelijk is bepaalde processen af te sluiten. :/
Alle hulp is welkom.

Mvg.

spysweeper :applause:

j .
2 juni 2004, 22:28
http://users.pandora.be/madmanxp/ma.../vuilepopup.JPG
Link werkt niet.
Download hijackthis (sticky spyware), verwijder alles wat naar die popup verwijst. Als je niets vindt, log posten.

KO
3 juni 2004, 16:21
http://209.133.47.12/~merijn/files/CWShredder.exe dit eerst eens probere :doc:

D3Amon
3 juni 2004, 19:33
Link werkt niet.
Download hijackthis (sticky spyware), verwijder alles wat naar die popup verwijst. Als je niets vindt, log posten.

http://users.pandora.be/madmanxp/madmanxp/vuilepopup.JPG

j .
3 juni 2004, 22:43
Je zal een log met hijackthis moeten maken, die popup gebruikt verschillende en/of willekeurige opstartinstructies.