PDA

Volledige versie bekijken : spyware probleemke: wat mag ik wissen



TitaTovenaartje
20 juni 2004, 23:05
Ik heb juist de search gebruikt voor die HijackThis. Ik scan en vindt toch veel. Maar wat zou ik nu weg mogen doen??
Hier zijn de gevonden items:

Logfile of HijackThis v1.97.7
Scan saved at 23:01:56, on 20/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Analog Devices\SoundMAX\PmProxy.exe
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TFNF5.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\ISP Monitor\isp.exe
C:\Program Files\Atheros\ACU.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Documents and Settings\2330080\Bureaublad\HijackThis.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\Avp32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\2330080\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\2330080\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\2330080\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\2330080\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\2330080\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\2330080\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 172.16.201.207:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.phlimburg.be;172.16.*;192.168.*;10.*;<local>
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.phlimburg.be/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: AdsManager Class - {D1C8F9CE-563E-11D8-813C-005022E14DE2} - C:\Program Files\LookNMeet\AddAPI.dll (file missing)
O2 - BHO: (no name) - {60534D4C-E5A1-4507-8A73-E12A8ADC1DC2} - C:\WINDOWS\System32\odc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /wait
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PmProxy] C:\Program Files\Analog Devices\SoundMAX\PmProxy.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ISPMonitor] C:\Program Files\ISP Monitor\isp.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Atheros Client Utility.lnk = C:\Program Files\Atheros\ACU.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_42.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C9A703E2-3145-11D8-813C-005022E14DE2} (Installer Class) - http://www.looknmeet.be:8080/lnm_v4/agent/LNMAgentInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab27571.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = student.phlimburg.be
O17 - HKLM\Software\..\Telephony: DomainName = student.phlimburg.be
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = student.phlimburg.be
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = student.phlimburg.be



Hulp zou welkom zijn

Tita

ZyphO
20 juni 2004, 23:19
Ik heb juist de search gebruikt voor die HijackThis. Ik scan en vindt toch veel. Maar wat zou ik nu weg mogen doen??
Hier zijn de gevonden items:

Logfile of HijackThis v1.97.7
Scan saved at 23:01:56, on 20/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Analog Devices\SoundMAX\PmProxy.exe
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TFNF5.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\ISP Monitor\isp.exe
C:\Program Files\Atheros\ACU.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Documents and Settings\2330080\Bureaublad\HijackThis.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\Avp32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\2330080\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\2330080\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\2330080\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\2330080\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\2330080\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\2330080\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 172.16.201.207:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.phlimburg.be;172.16.*;192.168.*;10.*;<local>
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.phlimburg.be/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: AdsManager Class - {D1C8F9CE-563E-11D8-813C-005022E14DE2} - C:\Program Files\LookNMeet\AddAPI.dll (file missing)
O2 - BHO: (no name) - {60534D4C-E5A1-4507-8A73-E12A8ADC1DC2} - C:\WINDOWS\System32\odc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /wait
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PmProxy] C:\Program Files\Analog Devices\SoundMAX\PmProxy.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ISPMonitor] C:\Program Files\ISP Monitor\isp.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Atheros Client Utility.lnk = C:\Program Files\Atheros\ACU.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_42.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C9A703E2-3145-11D8-813C-005022E14DE2} (Installer Class) - http://www.looknmeet.be:8080/lnm_v4/agent/LNMAgentInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab27571.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = student.phlimburg.be
O17 - HKLM\Software\..\Telephony: DomainName = student.phlimburg.be
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = student.phlimburg.be
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = student.phlimburg.be



Hulp zou welkom zijn

Tita


run eens AdAware en daar kan je alles deleten wat hij toont / vindt van spyware.....

Preske
20 juni 2004, 23:31
run eens AdAware en daar kan je alles deleten wat hij toont / vindt van spyware.....

:ironic: Adaware vind echt ni alles ze.

OT: ge hebt echt heel veel staan waarvan ik nog nooit gehoord heb.

kijk eerst eens op www.pestscan.com (die kunt ge dan al manueel verwijderen)

TitaTovenaartje
20 juni 2004, 23:35
Ik run ad-aware 10 keer na elkaar en hij blijft vinden. Hetzelfde met SpybotSD.
Heb dit sinds gisteren :confused:

Kzal es kijken op pestscan

Preske
21 juni 2004, 00:28
het zou ook handig kunnen zijn als ge een beetje meer uw probleem uitlegt ;)

is het een toolbar? browser hijacker, pr0n popups...

TitaTovenaartje
21 juni 2004, 13:14
Ik weet niet hoe het heet. Maar mijn pc gaat een stuk trager. (het openen van mijn IE bv)
Mijn startpagina veranderd in URL=http://users.skynet.be/TitaTovenaar/spyware.JPG]Dit is mijn startpagina[/URL]
De pop-up die erbij verschijnt, veranderd altijd als ik een andere IE open.

En als tekst staat er in mijn adres balk: about:blank.
Ik weet niet hoe jullie dit noemen.

Als ik scan met ad-aware, dan krijg ik ook dingen zoals:
°CoolWebSearch (RegValue)
°Possible Browser Hijack attempt (Regdata)
°Tracking Cookie (File)
°CoolWebSearch (RegKey)
°CoolWebSearch (File)
...

En iedere keer ik scan krijg ik deze

Die site wat jij gaf, www.pestscan.com , die krijg ik niet geopend. Ik krijg altijd: "Kan server niet vinden"

Hopelijk is dit genoeg info

Tita

An!m0
21 juni 2004, 13:33
Ik weet niet hoe het heet. Maar mijn pc gaat een stuk trager. (het openen van mijn IE bv)
Mijn startpagina veranderd in URL=http://users.skynet.be/TitaTovenaar/spyware.JPG]Dit is mijn startpagina[/URL]
De pop-up die erbij verschijnt, veranderd altijd als ik een andere IE open.

En als tekst staat er in mijn adres balk: about:blank.
Ik weet niet hoe jullie dit noemen.

Als ik scan met ad-aware, dan krijg ik ook dingen zoals:
°CoolWebSearch (RegValue)
°Possible Browser Hijack attempt (Regdata)
°Tracking Cookie (File)
°CoolWebSearch (RegKey)
°CoolWebSearch (File)
...

En iedere keer ik scan krijg ik deze

Die site wat jij gaf, www.pestscan.com , die krijg ik niet geopend. Ik krijg altijd: "Kan server niet vinden"

Hopelijk is dit genoeg info

Tita


Mja das dus de ergste vorm van die spyware, CWSchredder? Of da program da Hijack this verwijdert, als ik het heb gevonden PM ik wel of edit post, verwijzend naar downloadpage
Grtz

BerckX
21 juni 2004, 13:43
Ik zal hier ook maar posten dan.
Ik heb dus ook last van dat mijn startpagina altijd automatisch verandert.
Ad-aware vind niets dus heb ik HijackThis gebruikt.

Mijn startpagina verandert altijd naar mysearchnow.com

Dit heb ik met HijackThis:

Logfile of HijackThis v1.97.7
Scan saved at 13:36:34, on 21/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\WINDOWS\Twain_32\SlimU2TA\HotKey.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 9.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\PROGRA~1\mealaimscr\Multi City Soft.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Glenn Berckx.BERMOR\Local Settings\Temporary Internet Files\Content.IE5\KTEFWTEZ\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mysearchnow.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Program Files\Excid.com Aps\eTrust Antivirus Registration\EzAntivirusRegistrationCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AcctMgr] C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2TA\HotKey.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 9.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Dash upload] C:\PROGRA~1\mealaimscr\Multi City Soft.exe
O4 - HKLM\..\Run: [zSPGuard] c:\program files\pjw\spguard\spguard.exe /s /r
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - Global Startup: Norton System Doctor.lnk = C:\Program Files\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - [url]http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/23b2b94751f7cd2f3306/netzip/RdxIE601.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38030.3040509259
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

Wat mag er precies weg om die mysearchnow.com weg te krijgen?

TitaTovenaartje
21 juni 2004, 14:05
Mja das dus de ergste vorm van die spyware, CWSchredder? Of da program da Hijack this verwijdert, als ik het heb gevonden PM ik wel of edit post, verwijzend naar downloadpage
Grtz

Ok Merci!
Hartelijk dank alvast

Want da begint ferm op mijn zenuwen te werken :sad:


Tita

An!m0
21 juni 2004, 15:20
Ok Merci!
Hartelijk dank alvast

Want da begint ferm op mijn zenuwen te werken :sad:


Tita

Zoals in zovelen andere threads:
klik (@merijn.org) (http://www.spywareinfo.com/~merijn/)
Hie ralvast mijn absolute remedie tot hiertoe (+gebruik FireFox, tot hiertoe heb ik het daarmee nog niet gehad) Dus hier die remedie waar ik over sprak: klik-klak (http://209.133.47.12/~merijn/files/HijackThis.exe)

An!m0
21 juni 2004, 15:22
sry vo dubbelpost, ma ff info: ik heb me ook laten vertellen dat dit gezever allemaal 'mede-opgewekt' wordt door MSN Messenger (Plus!)

TitaTovenaartje
21 juni 2004, 17:47
die hijackthis.exe had ik al uitgevoerd. Ik weet gewoon niet welke ik mag weg doen en welke niet :sad:

Preske
21 juni 2004, 18:08
kijk ook eens in de sticky voor meer programam's.

kan goed zijn dat ge de smerigste variant van cws hebt

capt_snow
21 juni 2004, 18:35
heb geen zin om nieuwe topic voor te starten dus post ik het hier even.

welk programma zou ik best gebruiken om dit weg te krijgen? :help:
http://users.telenet.be/capt_snow/WTF/wtf.JPG
ik krijg da ier nie zo makelijk weg(met ad-aware,CWSchredder en nog wat programs maar steeds zonder resultaat).

Preske
21 juni 2004, 19:06
heb geen zin om nieuwe topic voor te starten dus post ik het hier even.

welk programma zou ik best gebruiken om dit weg te krijgen? :help:
http://users.telenet.be/capt_snow/WTF/wtf.JPG
ik krijg da ier nie zo makelijk weg(met ad-aware,CWSchredder en nog wat programs maar steeds zonder resultaat).

probeer hijack this eens.
@bercx probeer eerst cwshredder eens.

@ tita. ik heb serieuze twijfels over een ganse hoop files, maar ik weet niet of ze nu van een of ander programma behoren.
sommige zijn precies van toshiba, andere dan weer van intel....

TitaTovenaartje
21 juni 2004, 19:21
Het is op een laptop van Toshiba en die graka daarvan is iets van intel
Apoint2K en Atheros is van mijn wireless kaart
www.phlimburg.be is de school waar ik zit

Misschien ben je hier iets mee?
Ik ga nu es in de stickey kijken

TitaTovenaartje
21 juni 2004, 22:39
Ik heb juist eens geprobeert met CWShredder te scannen. Maar die zegt dat mijn systeem completely clean is.
Dus nu weet ik het ook niet meer :cry:

Mss nog wat hulp?




+edit+ Tis mij dan toch gelukt :applause: <-- voor mij :D
Kheb het kunnen verwijderen door Spy Sweeper (DENK IK)


Merci voor uwe tijd

Tita

An!m0
22 juni 2004, 08:58
+edit+ Tis mij dan toch gelukt :applause: <-- voor mij :D
Kheb het kunnen verwijderen door Spy Sweeper (DENK IK)


Merci voor uwe tijd

Tita
LOL, allé proficiat, ma kvin het toch ma raar da HijackThis.exe da ni wegdoe
:eek:

Prior
22 juni 2004, 13:12
Hijack is toch nie moeilijk, ik gebruik het regelmatig en verwijdert altijd alles wat ik wil, en resulteert in een snelle pc zonder vervelende redirect popups

maar ik zie daar een ellenlange lijst, waar ik zelfs de rillingen zou van krijgen van Titatovenaartje, moest die config op mijn pc staan

alles wat begint met codes R1, R2 en O13 moet je verwijderen

In R1 zie ik onder andere uw proxy setting staan, als je normaal gezien de optie "proxy automatisch detecteren aanvinkt" in uw internet-netwerkinstellingen, komt dat vanzelf terug de volgende keer dat je Internet opnieuw start

maar ik zie ook al gauw de reden waarom gij daar met popups in het begin en soms ne redirect pagina krijgt die ge zelfs niet wilt:

titatovenaartje quote:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\2330080\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\2330080\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\2330080\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\2330080\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\2330080\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\2330080\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 172.16.201.207:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.phlimburg.be;172.16.*;192.168.*;10.*;<local>
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.phlimburg.be/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

zegt duidelijk genoeg dat uw pc spyware bezit, ge ziet het direct dat de pc automatisch doorverwijst naar uw C schijf naar uw tijdelijke directory en de regel met "about blank" moogt ge eraltijd op rekenen dat ge met spyware zit, want die blank is onderdeel van de meeste spyware die ge tegenkomt



Wat uitleg met de codes in Hijack:

Het programma Hijack is te gebruiken op eigen risico moet ik er wel bij zeggen, wat codes betreft beginnend met R1, R2, O13 en als je dit verwijderd mag je gerust zijn dat er niets verkeerd gaat lopen met uw pc.

Let echter wel op wat je zou verwijderen O8 codes, deze codes geeft alles weer in verband met uw background applicaties waarvan ze niet allemaal met het blote oog te waarnemen zijn.

Sommige als windows messenger en enige tools voor uw temperatuur van graka of soundtools gaat daar normaal tussenstaan, maar het kan ook zijn dat er een verdacht programma tussenstaat waarvan je zeker van bent dat je dat nooit op eigenhandige manier hebt geinstalleerd

1 FEIT MAG JE NIET VERGETEN MET HET GEBRUIK VAN HIJACK (sorry voor caps, maar kwil het per sé benadrukken):

Het programma Hijack zoekt en tovert alles wat op uw pc staat in verband met uw internet opties en allerlei applicaties.
Het enige nadeel met Hijack is als volgt: Hijack kent het onderscheid niet tussen een goedaardige of kwaadaardige files, als het programma scant, geeft hij het gewoon weer, je moet zelf uitmaken wat goed of slecht is.

bv; alles wat staat in uw system32 folder van Tita zou ik laten staan, behalve ik heb wel een vraag wat dees programma feitelijk doet, want ik denk meer dat het kwaadaardig file is:
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
Hotkey voor wat? ook 000stthk en tfnf5 zijn volgens mij geen microsoft applicaties


Het programma CWShredder zoekt browsers met een geinstalleerde hijack CoolWebSearch en zijn varianten op, deze coolwebsearch zijn onder meer de vervelende popups die je als startpagina krijgt als je internet opstart:

bv: about blank => ge ziet een witte pagina, of één of andere pagina die ongeveer dezelfde eigenschappen heeft als google maar eigenlijk heel vervelend is, want alles staat hier door elkaar

Prior
22 juni 2004, 13:27
heb geen zin om nieuwe topic voor te starten dus post ik het hier even.

welk programma zou ik best gebruiken om dit weg te krijgen? :help:
http://users.telenet.be/capt_snow/WTF/wtf.JPG
ik krijg da ier nie zo makelijk weg(met ad-aware,CWSchredder en nog wat programs maar steeds zonder resultaat).

doe exact dezelfde uitleg die ik geef in mijn reply in topic:
http://games.telenet.be/forum/showthread.php?t=226641

Je moet de programma's cws shredder en hijack in die volgorde uitvoeren
vergeet niet dat je eerst je internetkabel die in je pc of modem komt uit te schakelen (weg nemen, uit trekken) anders ga je die pagina altijd weer zien

die foto die ik daar zie is vrij normaal onderdeel van een spyware programma

advies: ga niet naar rare sites die ge zelfs niet vertrouwt en gebruik in geen geval "Antileech of Netpumper" want dat heeft nen achterdeur, waardoor ge meestal een dag of 2 erna die pagina gaat zien opdat je samen met iets te downen een adder onder het gras hebt meegedownd