Vraag & Antwoord

Beveiliging & privacy

Vervelende Hijacjker

11 antwoorden
  • Onderstaand log is gemaakt met Hijackthis. De eerste regels met aan het eind de term "Obfuscated" en de "about:blank regel heb ik verwijderd. Ook de regel 3 regels lager, eindigende op JHGO.dll heb ik verwijderd. Toch komt deze ellende elke keer terug. Zie ik wat over het hoofd, of moet ik een bestand wat hier niet bijstaat opzoeken en verwijderen ? Logfile of HijackThis v1.97.7 Scan saved at 16:57:44, on 18-4-04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.00 (5.00.2614.3500) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAM FILES\TELES\ISDN DRIVERS\TISDNMON.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SOKSCM98.EXE C:\WINDOWS\SYSTEM\SCARDSVR.EXE C:\WINDOWS\SCARDS32.EXE C:\TEMP\ICSUPP95.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\PROGRAM FILES\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\PROGRAM FILES\SOPHOS SWEEP\ICMON.EXE C:\PROGRAM FILES\SPYWAREGUARD\SGMAIN.EXE C:\PROGRAM FILES\SPYWAREGUARD\SGBHP.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE D:\OPSCHONEN\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\JHGO.DLL/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\JHGO.DLL/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\JHGO.DLL/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\JHGO.DLL/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\JHGO.DLL/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\JHGO.DLL/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank F1 - win.ini: run=hpfsched O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\PROGRAM FILES\SPYWAREGUARD\DLPROTECT.DLL O2 - BHO: (no name) - {5EA5BFA2-9158-11D8-AB8B-00089D6013AE} - C:\WINDOWS\SYSTEM\JHGO.DLL O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [ISDNMonitor] C:\Program Files\TELES\ISDN Drivers\tisdnmon.exe O4 - HKLM\..\Run: [InterCheckMonitor] "C:\PROGRAM FILES\SOPHOS SWEEP\ICMON.EXE" -minimised O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [Smart Card Office Kernel] "C:\WINDOWS\SYSTEM\SOKSCM98.EXE" O4 - HKLM\..\RunServices: [SCardSvr] C:\WINDOWS\SYSTEM\SCardSvr.exe O4 - HKLM\..\RunServices: [TwkSCardSrv] C:\WINDOWS\SCARDS32.exe O4 - HKLM\..\RunServices: [Sweep95] C:\Program Files\Sophos SWEEP\ICLOAD95.EXE O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
  • Cwshredder al gebruikt? http://www.majorgeeks.com/download4086.html Je explorer is ook wel aan een update toe :)
  • Ja en adware en spybot en toch blijft het terug komen.
  • Toch raad ik je aan de [b:880bea2b86]laatste[/b:880bea2b86] versie CWshredder nogmaals te gebruiken ( Klik op fix, niet op scan) [quote:880bea2b86]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res:// C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {48918FB4-1FD5-4DF3-87F0- 12C36350039D} - C:\WINDOWS\System32\gfmnaaa.dll [/quote:880bea2b86] Dit komt van de site van Merijn.. gedateerd 6 april 2004, dus gebruik de laatste versie van CWShredder! Deze speelt dus ook een rol: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
  • Dat heb ik gedaan en ook die about: blank was verwijderd. Alle regels die je noemt waren er uit (allemaal met dat JHGO.dll bestand). Ik heb de indruk dat er nog iets anders bezig is, maar ook bij het opstarten staat niks bijzonders, wat ik er niet zelf in heb gezet.
  • Ga eens naar http://www.spywareinfo.com/~merijn/cwschronicles.html en dan naar het item: CWS.Searchx Dit lijkt jouw hijack te zijn Merijn geeft onderaan aan dat deze hijack soms samengaat met CWS.Realyellowpage (staat er direct onder) waarbij je de "MANUAL REMOVAL INSTRUCTIONS " moet uitvoeren
  • Ja, dat lijkt idd op het probleem. Ik kom helaas pas dinsdag weer bij de betreffende PC, dus ik zal nog even moeten wachten met kontroleren. Ik vraag me trouwens af waar ik de 2 filters moet zoeken in het register (windows98 SE). Is dat een sleutel met kenmerk 48918FB4-1FD5-4DF3-87F0- 12C36350039D ?
  • het gaat volgens mij om deze : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res:// C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated) en R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank maar dat kan je met Hijackthis doen :)
  • Ja, alleen die gfmnaaa.dll heb ik nog niet zien langs komen. Als ik echter de info lees, kan de naam van die DLL willekeurig veranderen. Dat had ik ook al geconstateerd.
  • Peter, Neem eens HijackThislog in veilige modus. Misschien dat je daar iets meer ziet... groeten,
  • Ga ik proberen.

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.