Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

spyware of virus?

None
29 antwoorden
  • :cry: Tijdens een avondje surfen is er helaas ergens een bestand gedownload waardoor nu iedere keer mijn startpagina van Explorer gewijzigd wordt in een of andere zoekpagina wat ik niet wil. Wat ik ook doe (ik heb inmiddels ook een spywareprogramma geïnstalleerd), of het register verander, zodra ik exporer afsluit en weer opstart, komt dezelfde pagina tevoorschijn. Dit gebeurt overigens ook met de zoekpagina. Ik weet waar de zoekpagina staat, kan hem verwijderen maar na het opstarten is hij weer gewoon terug. Wie kan mij helpen?
  • Download HijackThis.
    Run het programma. Klik op scan, save log en sla het log op als een .txt bestand.
    Kopieer en plak de inhoud in je volgende bericht.
    Dan halen wij de sleutels eruit voor je.
  • Logfile of HijackThis v1.97.7
    Scan saved at 20:38:00, on 14-6-04
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVSYNMGR.EXE
    C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\SYSTEM\RNAAPP.EXE
    C:\WINDOWS\SYSTEM\TAPISRV.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\WINDOWS\SYSTEM\HPSJVXD.EXE
    C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\ALOGSERV.EXE
    C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
    C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\TEST\HIJACKTHIS.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.startpagina.nl
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.nl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer 6.0
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.google.nl
    F1 - win.ini: run=hpfsched
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\conflict.3\googletoolbar1.dll
    O2 - BHO: (no name) - {3DBD3500-BCA7-11D8-89DD-44455D875488} - C:\WINDOWS\SYSTEM\GBFCKDA.DLL
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\conflict.3\googletoolbar1.dll
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [HPSCANMonitor] C:\WINDOWS\SYSTEM\hpsjvxd.exe
    O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
    O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
    O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\CONFLICT.3\GOOGLETOOLBAR1.DLL/cmsearch.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\CONFLICT.3\GOOGLETOOLBAR1.DLL/cmcache.html
    O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\CONFLICT.3\GOOGLETOOLBAR1.DLL/cmsimilar.html
    O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\CONFLICT.3\GOOGLETOOLBAR1.DLL/cmbacklinks.html
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O13 - DefaultPrefix:
    O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://www.toolbar.google.com/data/nl/deleon/2.0.108-deleon/GoogleNav.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://81.211.105.37/551/online.chm::/on-line.exe
  • Je heb last van de about blanc hijack, die maakt gebruik van een verborgen dll.
    Maar aangezien jij win 98 draait, wordt het een stuk lastiger.
    Dus daar kom ik of M@rc morgen op terug.
  • :cry: Ik had al het gevoel dat het een hardnekkig probleem was. In ieder geval al heel erg bedankt dat je er naar wilt kijken. Heb ook weinig zin om de pc volledig opnieuw op te bouwen.
  • Ga eens na vanaf wanneer het probleem optreedt, vervolgens zorg je dat in explorer ook verborgen bestanden weergegeven worden.
    Geef in een zoekvenster de string *.dll[/color:fc5d4523e8] in en selecteer de gevonden files op grootte. De *.dll waar je naar op zoek bent zou 36 Kb groot moeten zijn, maar heeft een variabele naam. Probeer de zoekresultaten te sorteren op grootte en datum.
    Een optie is vervolgens dat je de gevonden *.dll's met die grootte hier meldt. De rest komt later.
  • Oke we gaan het eerst zo proberen, om het makkelijk te houden heb ik het in twee delen gesplitst.

    Nou dat wordt vrij ingewikkeld, dus lees het goed door:

    Win98.fix
    StartDreck

    [b:b4532cf167] DEEL 1 [/b:b4532cf167]

    **Herkennen bestand:**
    Download: "StartDreck", unzip!
    Dubbelklik: 'StartDreck.exe'
    Klik: config
    Klik: Unmark all
    Selecteer alleen de volgende:
    Registry->run keys
    System/drivers> Running processes
    Klik >ok.

    Kijk specifiek voor de volgende entry in het log:

    »Local Machine
    »RunServicesOnce
    **ozkc=rundll32 C:\WINDOWS\SYSTEM\XXXXX.DLL,StreamingDeviceSetup

    Na het indentificeren van de dll, ga je verder met:

    [b:b4532cf167] DEEL 2 [/b:b4532cf167]


    -Download: "Win98Fix.zip", Unzip!
    Dubbelklik op: 'RunFix.reg' bestand, klik 'yes'
    -Herstart computer!
    -Bestand zou nu zichtbaar moeten zijn!
    -Doe een 'find files' voor dll listed op het log, verwijder.
    *Tip: zorg er eerst voor dat je een backup heb van het StartDreck log , zodat je het bestand altijd later kan vinden!
    Als je het kwijt bent (aangezien niets anders het vind, als het niet meer aan een entry is verbonden)
    Gewoon de : "who.bat", bestand draaien
    Kan gevonden worden in "Badfile.txt".

    Als dit allemaal gebeurt is start je de computer opnieuw, draai een nieuw hijacklog en dan halen we de laatste sleutels eruit.
  • Sorry foutje.
  • http://www.computing.net/windows2000/wwwboard/forum/57275.html

    Heel veel (mogelijke) oplossingen, weinige ervan werken overigens.
    Vreemd dat zowel blanc en blank als naam voor het onding de ronde doen.
  • Kleine toevoeging: kenmerkend voor blank (blanc?) is dat die variabele dll te zien is in het hijack log. Ik mis 'm in de log van ts.

    :-?
  • [quote:4a98fd100c="=Rieske="]Kleine toevoeging: kenmerkend voor blank (blanc?) is dat die variabele dll te zien is in het hijack log. Ik mis 'm in de log van ts.

    :-?[/quote:4a98fd100c]
    Hallo Rieske,
    Volgens mij is hij er wel:
    O2 - BHO: (no name) - {3DBD3500-BCA7-11D8-89DD-44455D875488} - C:\WINDOWS\SYSTEM\GBFCKDA.DLL

    Ik kan deze BHO nergens anders aan linken..
  • [code:1:6da9e62a43]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html[/code:1:6da9e62a43]

    Hmz, daar staat ie idd…maar waarom in bovenstaande niet?
  • De zichtbare DLL die de about:blanc hijack veroorzaakt is enkel te zien bij de BHO (O2-items) in de HijackThislog, niet in de R-items van de log.

    Bij het starten van IE doet deze zijn werk. Ad-aware en CWShredder kunnen deze verwijderen, maar na een reboot wordt een nieuwe aangemaakt (door de verborgen DLL)…. :cry:
  • OK, heb ik de uitleg op je site iets te letterlijk genomen…want je voorbeeld daar geeft in de R wèl een dll aan.
  • Klopt, maar ook daar wordt de DLL in het O2-item bedoeld.
  • Dat bedoel ik…dus wèl zichtbaar!?
    Volg je me nog?

    Log ts laat zien dat blanc in TEMP zou zitten, vreemd.
  • In de log van rwijfj wijst dit op de about:blanc hijack:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.startpagina.nl
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

    O2 - BHO: (no name) - {3DBD3500-BCA7-11D8-89DD-44455D875488} - C:\WINDOWS\SYSTEM\GBFCKDA.DLL

    De hijack wordt in eerst instantie veroorzaakt door het O2-item en meer bepaald door deze file: GBFCKDA.DLL
    Nu kan je dit verwijderen met HijackThis, en ook CWShredder en Ad-aware, mits geupdate, zullen hem wel pakken.
    Het probleem is echter dat na een reboot er opnieuw een DLL aangemaakt wordt die voor een nieuwe Hijack zorgt. Deze DLL zal je weer zien in het O2-item in de log, alleen zal hij een andere naam hebben.
    De oorzaak is dat deze hijacker gebruik maakt van een verborgen DLL file. Deze maakt elke keer een nieuwe dll-file aan (te zien in die O2) die voor de Hijack zorgt, telkens je deze verwijdert.
    De enige manier om dit probleem op te lossen is die verborgen DLL-file op te sporen en te verwijderen. Nadien scan je met Ad-aware of met CWShredder om de zichtbare DLL te verwijderen. De restanten van de hijack verwijder je dan met HijackThis.
  • :cry: Pfff, door alle tips en suggesties wordt het lastig om het proces te volgen, maar alle tips zijn welkom.

    Ik heb een lijst gezocht met alle *.dll van 36 kb. De data die hier in vermeld staan, zijn allen van jaren geleden. Er is geen bestand bij van
    12-06-2004.

    Hierna heb ik het bestand StartDreck gedraaid volgens de aanwijzigingen, maar daar vind ik niet de regel:

    **ozkc=ruddll.32c:\windows\system\xxxxx.dll, streamingDeviceSetup

    Ben ik iets vergeten?
  • Hallo rwijfj,

    Kan je het log posten?
  • StartDreck (build 2.1.5 public BETA) - 2004-06-15 @ 20:30:15
    Platform: Windows 98 SE (Win 4.10.2222 A)

    »Registry
    »Run Keys
    »Current User
    »Run
    *SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    »RunOnce
    »Default User
    »Run
    *SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    »RunOnce
    »Local Machine
    »Run
    *ScanRegistry=C:\WINDOWS\scanregw.exe /autorun
    *SystemTray=SysTray.Exe
    *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    *HPSCANMonitor=C:\WINDOWS\SYSTEM\hpsjvxd.exe
    *Alogserv=C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
    *Zone Labs Client=C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    *Installed=1
    *NoChange=1
    *Installed=1
    *Installed=1
    »RunOnce
    »RunServices
    *McAfeeVirusScanService=C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
    *TrueVector=C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
    »RunServicesOnce
    »RunOnceEx
    »RunServicesOnceEx
    »Files
    »System/Drivers
    »Running Processes
    *FF0F26AF=C:\WINDOWS\SYSTEM\KERNEL32.DLL
    *FFFF714B=C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    *FFFF67FB=C:\WINDOWS\SYSTEM\MPREXE.EXE
    *FFFF9E6F=C:\WINDOWS\SYSTEM\mmtask.tsk
    *FFFF8B5F=C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVSYNMGR.EXE
    *FFFFBD83=C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
    *FFFE3E0F=C:\WINDOWS\EXPLORER.EXE
    *FFF903A3=C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    *FFF95A5F=C:\WINDOWS\SYSTEM\HPSJVXD.EXE
    *FFF949CF=C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\ALOGSERV.EXE
    *FFF964D7=C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
    *FFF98A2F=C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
    *FFF8286B=C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXE
    *FFF8B98B=C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSHWIN32.EXE
    *FFF8D0B3=C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVCONSOL.EXE
    *FFFB7153=C:\WINDOWS\SYSTEM\WMIEXE.EXE
    *FFFA08CB=C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\WEBSCANX.EXE
    *FFF4FE53=C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    *FFF72D1B=C:\WINDOWS\SYSTEM\RNAAPP.EXE
    *FFF74EAF=C:\WINDOWS\SYSTEM\TAPISRV.EXE
    *FF0CEAAB=C:\PROGRAM FILES\OUTLOOK EXPRESS\MSIMN.EXE
    *FDECDB7F=C:\WINDOWS\SYSTEM\PSTORES.EXE
    *FA3C9A87=C:\WINDOWS\DOWNLOADS\STARTDRECK.EXE
    »Application specific

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.