Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

spyware clubonly18

None
11 antwoorden
  • Bij het opstarten van mijn PC met XP wordt er steeds, op de achtergrond, een verbinding gemaakt door internet explorer met het volgende adres:

    http://clubonly18.com/x.php?ip=192.168.0.229&cid=49&lid=0407&sid=WinXP&sessid=0&

    Mijn virusscanner ziet dit niet en ook ad aware kan dit niet vinden. Mijn firewall maakt hier (soms) wel melding van en blokkeert dit dan.

    Weet iemand hoe ik dit kan verwijderen?

    Bij voorbaat dank!
  • moet via msconfig tabblad opstarten te elimineren zijn, lijkt me.

    maar sowieso kan een verdere check op spyware of hijackers geen kwaad.
    lees hiertoe de faq: het eerste item in deze rubriek.
  • [quote:54104b77d7="derkdejong"]moet via msconfig tabblad opstarten te elimineren zijn, lijkt me.[/quote:54104b77d7]

    Ik kan daar bij services en opstarten echter niets vinden dat op het bewuste probleem lijkt.
  • Download en update Ad-Aware en Spybot, herstart je computer in [b:ce0ed6741b]veilige modus[/b:ce0ed6741b] en scan je computer met deze twee programma's.
    Klaar herstart je computer dan.

    Nog niet over?

    Dan download je HijackThis.
    Unzip en run het programma. Klik op scan, save log en sla het log op als een .txt bestand. Laat nog niets repareren, het meeste is onschadelijk.
    Kopieer en plak de inhoud van dat logbestand in je volgende bericht.
    Dan halen wij de sleutels eruit.
  • [quote:ffec3ce6d2="De huismeester"]
    Kopieer en plak de inhoud van dat logbestand in je volgende bericht.
    Dan halen wij de sleutels eruit.[/quote:ffec3ce6d2]

    hierbij:

    Logfile of HijackThis v1.97.7
    Scan saved at 23:45:13, on 10-6-2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Norman\NPF\NPFSVICE.EXE
    C:\Norman\NVC\BIN\Zanda.exe
    C:\WINDOWS\System32
    vsvc32.exe
    C:\Program Files\Omniquad MyPrivacy\MyPrivacy\mpsvc.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\Tablet.exe
    C:\NORMAN
    vc\BIN\NJEEVES.EXE
    C:\NORMAN\Nvc\BIN
    ipsvc.exe
    C:\NORMAN
    vc\BIN\NVCSCHED.EXE
    C:\NORMAN
    vc\BIN
    vcoas.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\QuickTime\qttask.exe
    C:\NORMAN\Nvc\BIN\ZLH.EXE
    C:\Program Files\ScanSoft\OmniPagePro12.0\Opware12.exe
    C:\Program Files\Omniquad MyPrivacy\MyPrivacy\MyPrivacyNT.exe
    C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
    C:\Program Files\Echo\pfsview.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\NORMAN\Nvc\BIN\NYMSE.EXE
    C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    C:\NORMAN\Nvc\BIN\NIP.EXE
    C:\Program Files\Echo\engine.exe
    C:\NORMAN\Nvc\BIN\cclaw.exe
    C:\Program Files\Norman\NPF\NPFMSG.EXE
    C:\Program Files\Wacom\TabUserW.exe
    C:\Program Files\Echo\taskbar.exe
    H:\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    R3 - Default URLSearchHook is missing
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
    O4 - HKLM\..\Run: [Opware12] "C:\Program Files\ScanSoft\OmniPagePro12.0\Opware12.exe"
    O4 - HKLM\..\Run: [MyPrivacy] "C:\Program Files\Omniquad MyPrivacy\MyPrivacy\MyPrivacyNT.exe"
    O4 - HKLM\..\Run: [dlr] C:\WINDOWS
    etstat.exe
    O4 - HKLM\..\Run: [Ad-watch] "C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe"
    O4 - HKLM\..\Run: [1Disk Monitor] C:\Program Files\Echo\pfsview.exe
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: NPF Messenger.lnk = ?
    O4 - Global Startup: TabUserW.lnk = C:\Program Files\Wacom\TabUserW.exe
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
    O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
  • Deze sleutel overleg ik even met M@rc, verwijder hem nog niet, je hoort nog van me:
    O4 - HKLM\..\Run: [dlr] C:\WINDOWS
    etstat.exe

    Voor de rest is het een schoon log, ik neem aan dat je er nu van af bent?
    Want anders had ik onderstaande sleutel gevonden in je log:

    O16 - DPF: {11111111-1111-1111-1111-116566139372} - mhtml:file://C:NO_SUCH_MHT.MHT!http://www.clubonly18.com/loader.exe

    Aangezien die er niet meer tussen staat, ga ik er van uit dat je problemen over zijn??
  • [quote:5fb85fabe6="De huismeester"]Voor de rest is het een schoon log, ik neem aan dat je er nu van af bent?
    Want anders had ik onderstaande sleutel gevonden in je log:

    O16 - DPF: {11111111-1111-1111-1111-116566139372} - mhtml:file://C:NO_SUCH_MHT.MHT!http://www.clubonly18.com/loader.exe

    Aangezien die er niet meer tussen staat, ga ik er van uit dat je problemen over zijn??[/quote:5fb85fabe6]

    Nou nee, ik kan/kon dit al niet vinden via msconfig - opstarten, maar via de task-manager uit een ander programma zie ik nog steeds dat IEXPLORE.exe er gebruik van maakt.
    Nu komt me {11111111-1111-1111-1111-116566139372} bekend voor zoiets stond in dowloaded program files bij internet explorer, deze had ook iets met de naam clubonly18.com. Deze heb ik dus verwijderd en ook de sleutels die daar naar verwezen in het register. Maar blijkbaar is nog niet alles verwijderd.

    Ter aanvulling:

    Met Spybot krijg ik de volgende "problems" ik weet niet wat ik hier mee aan moet en of dit iets met bovenstaand probleem te maken heeft.

    Alexa Related: What's related link (Replace file, nothing done)
    C:\WINDOWS\Web\related.htm
    DSO Exploit: Data source object exploit (Registry change, nothing done)
    HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
    DSO Exploit: Data source object exploit (Registry change, nothing done)
    HKEY_USERS\S-1-5-21-583907252-1957994488-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
    DSO Exploit: Data source object exploit (Registry change, nothing done)
    HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
    DSO Exploit: Data source object exploit (Registry change, nothing done)
    HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
    DSO Exploit: Data source object exploit (Registry change, nothing done)
    HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
    ShopAtHome: Library (File, nothing done)
    C:\WINDOWS\Downloaded Program Files\sporder_.dll
    — Spybot - Search && Destroy version: 1.3 —
    2004-05-25 Includes\Cookies.sbi
    2004-05-29 Includes\Dialer.sbi
    2004-05-28 Includes\Hijackers.sbi
    2004-05-28 Includes\Keyloggers.sbi
    2004-05-12 Includes\LSP.sbi
    2004-05-28 Includes\Malware.sbi
    2004-05-04 Includes\Revision.sbi
    2004-04-12 Includes\Security.sbi
    2004-05-28 Includes\Spybots.sbi
    2004-05-24 Includes\Tracks.uti
    2004-05-28 Includes\Trojans.sbi
  • Na lang beraad met M@rc de volgende sleutel laten fixen door Hijack:

    O4 - HKLM\..\Run: [dlr] C:\WINDOWS
    etstat.exe

    Herstart je computer en verwijder dan de items van Spybot.

    Herstart, heb je er nou nog last van?
  • [quote:b383564eaa="De huismeester"]Na lang beraad met M@rc de volgende sleutel laten fixen door Hijack:

    O4 - HKLM\..\Run: [dlr] C:\WINDOWS
    etstat.exe

    Herstart je computer en verwijder dan de items van Spybot.

    Herstart, heb je er nou nog last van?[/quote:b383564eaa]

    [b:b383564eaa]GEWELDIG, HARTELIJK DANK!!!!![/b:b383564eaa]

    nadat ik de sleutel door Hijack had laten fixen en na de herstart was het verdwenen uit de task manager….. De items van Spybot heb ik verwijderd maar na een herstart en een nieuwe scan bleken de DSO Exploit er gewoon weer te staan. Ik neem aan dat dit door bestaande programma's komt…. maar alsnog hartelijk bedankt, ook voor M@rc.
  • DSO exploit mag er staan, maar niet het volgende rijtje wat je ook gevonden had met Spybot:

    C:\WINDOWS\Downloaded Program Files\sporder_.dll
    — Spybot - Search && Destroy version: 1.3 —
    2004-05-25 Includes\Cookies.sbi
    2004-05-29 Includes\Dialer.sbi
    2004-05-28 Includes\Hijackers.sbi
    2004-05-28 Includes\Keyloggers.sbi
    2004-05-12 Includes\LSP.sbi
    2004-05-28 Includes\Malware.sbi
    2004-05-04 Includes\Revision.sbi
    2004-04-12 Includes\Security.sbi
    2004-05-28 Includes\Spybots.sbi
    2004-05-24 Includes\Tracks.uti
    2004-05-28 Includes\Trojans.sbi

    Zoals je ziet staan er dailers en trojans tussen, die zijn nu weg.
    DSO exploit is normaal dat hij terugkomt, maar dat moet ook.
    Je computer is weer schoon.
    En graag gedaan, ook namens M@rc.
  • DSO exploit blijkt een bug te zijn in Spybot.
    Dit zou in 1 van de volgende updates opgelost worden.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.