PDA

Volledige versie bekijken : Groot spyware probleem



EA lover
3 augustus 2004, 09:15
De laatste dagen heb ik enorm veel last met spyware. Er komen bij elke keer dat windows opstart gewoon een 10tal shortcuts, de startpagina wordt altijd in iets brolachtig verandert en de pc gaat kei traag, IE spirng soms op met van die casino dinges, enz.... Zeg mij nu niet dat ik die sticky niet heb gelezen want ik heb ad - aware 6.0 en spybot 1.3 op mijn pc staan. Ad aware vind elke dag zo'n 100 spyware bestanden en spybot zo'n 20. IK doe die allemaal weg maar de volgende dag zijn ze er alweer terug. Bij de lijst met software zie ik nen helenhoop brol dus ik verwijder die. De volgenden dag staat er weer brol bij die software lijst maar als ik op uninstall klik dan zegt hij dat hij die shortcut niet vind om dat programma te uninstallen dus ik krijg dat programma niet weg. Kan iemand mij helpen want ik ben ten einde raad.

Dekon7
3 augustus 2004, 09:41
Regelmatig uw ad-aware & spybot eens updaten ?
En in't vervolg als ge op sites staat waar er automatisch een venster geopend wordt met daarop "clik yes to continue" WEIGEREN ! (wordt ook veel ongewenste rommel geinstalleerd daardoor).

Cyrano.ak
3 augustus 2004, 11:23
as ze zo hardnekkig zijn-> format c :s

EA lover
3 augustus 2004, 11:48
Ik zen da ni die op zo van die sites kom, da is mijn broer. Altijd als hij op de pc heeft gezeten dan staat die vol brol die ge er i afkrijgt. Ik updated regelamtig mijn norton, ad-aware en spybot. Het is ni mijne pc die zoveel brol heeft maar de pc van iedereen waar dat mijn vader op moet werken en die die nodig heeft voor het werk en als ge van al die bestanden een backup moet maken dan zij de wel efkes zoet.

clubje
3 augustus 2004, 13:45
Spybot en Ad-aware zijn niet genoeg he.
Download een paar tools om te voorkomen dat spyware erop komt (spywareguard, spywareblaster).
Scan ook eens met CWShredder, post uw hijacklog es hier en dan zeggen we wat weg mag.
Scan es op spyware met spysweeper.
Doe enkele online-scans, etc...

KO
3 augustus 2004, 19:50
Hijackthis log posten plz :)

EA lover
4 augustus 2004, 08:43
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\system32\srvany.exe
D:\WINDOWS\system32\resetservice.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\iead.exe
D:\WINDOWS\System32\services\msxmidi.exe
D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
D:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
D:\Program Files\Common Files\Symantec Shared\ccApp.exe
D:\WINDOWS\System32\internst32.exe
D:\WINDOWS\System32\hjvrnq.exe
D:\WINDOWS\syshy32.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\FotoStation Easy\FotoStation Easy AutoLaunch.exe
D:\Program Files\Nikon\NkView5\NkvMon.exe
D:\Program Files\Microsoft Office\Office\OUTLOOK.EXE
D:\Program Files\Messenger\msmsgs.exe
C:\kids\jalle\pc programma's\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32\cwiyr.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cwiyr.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cwiyr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32\cwiyr.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cwiyr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\system32\cwiyr.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.selfsearch.biz
F1 - win.ini: run=D:\WINDOWS\System32\services\msxmidi.exe
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: (no name) - {A1BFF5E6-DA0B-4631-6C01-13196EE7C0B8} - D:\WINDOWS\system32\javasq.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ControlPanel] D:\WINDOWS\System32\internst32.exe internet.dll,LoadNetworkProfile
O4 - HKLM\..\Run: [fsmgezxinn] D:\WINDOWS\System32\hjvrnq.exe
O4 - HKLM\..\Run: [syshy32.exe] D:\WINDOWS\syshy32.exe
O4 - HKLM\..\Run: [xpsystem] D:\WINDOWS\System32\services\msxmidi.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [xpsystem] D:\WINDOWS\System32\services\msxmidi.exe
O4 - HKLM\..\RunOnce: [iead.exe] D:\WINDOWS\system32\iead.exe
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = D:\Program Files\Nikon\NkView5\NkvMon.exe
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=0c8af29cad1529a0c2f12262efe492244d317f6ab2c86bff 7585b7e883263ddf35912dd813dee463c744961d2b31add589 650eef4d876c0fc2a2f745d64562:c31e3730b38c174130e1e 2729109a237
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} - http://www.oyunfabrikasi.com/be/2/060208be.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/saba/us/win/QuickTimeInstaller.exe
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

da krijg ik alllemaal op de hoofdpc

KO
4 augustus 2004, 10:20
Te fixen/verwijderen :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32\cwiyr.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cwiyr.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cwiyr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32\cwiyr.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cwiyr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\system32\cwiyr.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cus...//www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.selfsearch.biz
F1 - win.ini: run=D:\WINDOWS\System32\services\msxmidi.exe (meer info : http://www.pestpatrol.com/PestInfo/m/msxmidi.asp)
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O4 - HKLM\..\Run: [ControlPanel] D:\WINDOWS\System32\internst32.exe internet.dll,LoadNetworkProfile
O4 - HKLM\..\Run: [fsmgezxinn] D:\WINDOWS\System32\hjvrnq.exe
O4 - HKLM\..\Run: [syshy32.exe] D:\WINDOWS\syshy32.exe
O4 - HKLM\..\Run: [xpsystem] D:\WINDOWS\System32\services\msxmidi.exe
O4 - HKCU\..\Run: [xpsystem] D:\WINDOWS\System32\services\msxmidi.exe
O4 - HKLM\..\RunOnce: [iead.exe] D:\WINDOWS\system32\iead.exe (als je niet weet wat het is, removen)
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} - http://www.oyunfabrikasi.com/be/2/060208be.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

Stap 2 : download http://downloads.subratam.org/AboutBuster.zip unzip het en run het (open het en neem Ok, Start, & Ok) als dat tootlje klaar is geeft het een log, post dat hier samenb met je nieuwe hijacthis log

EA lover
4 augustus 2004, 11:52
dit is van Hijackthis :
Logfile of HijackThis v1.97.7
Scan saved at 11:47:53 AM, on 8/4/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\system32\srvany.exe
D:\WINDOWS\system32\resetservice.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\iead.exe
D:\WINDOWS\System32\services\msxmidi.exe
D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
D:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
D:\Program Files\Common Files\Symantec Shared\ccApp.exe
D:\WINDOWS\System32\internst32.exe
D:\WINDOWS\System32\hjvrnq.exe
D:\Program Files\FotoStation Easy\FotoStation Easy AutoLaunch.exe
D:\Program Files\Nikon\NkView5\NkvMon.exe
C:\kids\jalle\pc programma's\HijackThis.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Messenger\msmsgs.exe
C:\kids\jalle\pc programma's\AboutBuster\AboutBuster.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32\cwiyr.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cwiyr.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cwiyr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32\cwiyr.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cwiyr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\system32\cwiyr.dll/sp.html#96676
F1 - win.ini: run=D:\WINDOWS\System32\services\msxmidi.exe
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - D:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: (no name) - {A1BFF5E6-DA0B-4631-6C01-13196EE7C0B8} - D:\WINDOWS\system32\javasq.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [xpsystem] D:\WINDOWS\System32\services\msxmidi.exe
O4 - HKLM\..\Run: [jwavuly] D:\WINDOWS\System32\hjvrnq.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [xpsystem] D:\WINDOWS\System32\services\msxmidi.exe
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = D:\Program Files\Nikon\NkView5\NkvMon.exe
O15 - Trusted Zone: *.clickspring.net
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=0c8af29cad1529a0c2f12262efe492244d317f6ab2c86bff 7585b7e883263ddf35912dd813dee463c744961d2b31add589 650eef4d876c0fc2a2f745d64562:c31e3730b38c174130e1e 2729109a237
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

en dit van dat programmatje :
-- Scan 1 --------
About:Buster Version 2.0
Deleted Service Key Successfully!
Removed! : D:\WINDOWS\gxalhf.dat
Removed! : D:\WINDOWS\hqffs.dat
Removed! : D:\WINDOWS\jtpbe.dat
Removed! : D:\WINDOWS\syshy32.exe
Removed! : D:\WINDOWS\System32\cwiyr.dll
Removed! : D:\WINDOWS\System32\gfmjx.dat
********************************
Removed sys\explorer.exe (fake)
********************************
-----------------------------
Removed! infected hosts file.
Attempted Clean Of Temp folder.
Removed Uninstall Key (HSA)
Removed Uninstall Key (SE)
Removed Uninstall Key (SW)
Pages Reset... Done!

-- Scan 2 --------
About:Buster Version 2.0
Attempted Clean Of Temp folder.
Removed Uninstall Key (HSA)
Removed Uninstall Key (SE)
Removed Uninstall Key (SW)
Pages Reset... Done!

KO
5 augustus 2004, 20:16
start op in veilige modus en verwijder :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32\cwiyr.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cwiyr.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cwiyr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32\cwiyr.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cwiyr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\system32\cwiyr.dll/sp.html#96676
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O15 - Trusted Zone: *.clickspring.net

en run dat ander tootltje ook 1 keer

edit deze ook :
O4 - HKLM\..\Run: [xpsystem] D:\WINDOWS\System32\services\msxmidi.exe (http://www.pestpatrol.com/PestInfo/m/msxmidi.asp)
O4 - HKLM\..\Run: [jwavuly] D:\WINDOWS\System32\hjvrnq.exe (kent google zelfs niet)

j .
5 augustus 2004, 20:38
Vergeet deze niet:
F1 - win.ini: run=D:\WINDOWS\System32\services\msxmidi.exe
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - D:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {A1BFF5E6-DA0B-4631-6C01-13196EE7C0B8} - D:\WINDOWS\system32\javasq.dll
O4 - HKCU\..\Run: [xpsystem] D:\WINDOWS\System32\services\msxmidi.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...1e 2729109a237

Hernoem deze bestanden in veilige modus, en als er geen problemen meer zijn, mag je ze wissen:
D:\WINDOWS\system32\iead.exe
D:\WINDOWS\System32\internst32.exe

Exit
5 augustus 2004, 21:19
D:\WINDOWS\System32\internst32.exe
D:\WINDOWS\System32\hjvrnq.exe
D:\WINDOWS\syshy32.exe

hernoemen of deleten

nofunatall
6 augustus 2004, 02:08
ik zit dus met exact hetzelfde probleem