Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

malware verwijderen (bijna?) niet mogelijk.

E gozeling
3 antwoorden
  • Hai

    Op de PC van een vriend is een vervelend programma ingeslopen. Het veroorzaakt een andere desktop, met daarop een waarschuwing dat de PC onbeschermd is, dat men de stappen van de gebruiker kan navolgen en het IP/netmask e.d. alsof dit geheim is. Ook is de startpagina van Iexplore veranderd naar zo'n soortgelijke pagina, echter deze is blauw als een oude windows foutmelding, met impressive taal als "error 384" etc (onzin, ik weet het) en wederom dat men de stappen van de gebruiker zeer waarschijnlijk gaat navlogen ("high risk" blabla). Ook displayed het porno als je Iexplore gebruikt (iedere keer bij een nieuwe site via de adresbalk) en de "niet gevonden pagina" van Iexplore is veranderd, daar staan nu links bij, of hij gaat automatisch zoeken.

    ondernomen stappen:

    * Hijack this uitgevoerd: alle verdachte entries verwijderd: hielp niks.
    * Adaware 6 uitgevoerd: alle verdachte rotzooi in quarantaine gezet: deed niks.
    * met windows explorer de verdachte programma's verwijderd (na ze eerst te sluiten met de processen lijst) hielp niks.

    Heeft iemand ervaring met deze zéér storende spy/ad/malware of weet iemand hoe ik deze rotzooi eruit kan gooien?

    De eerste Hijack this log:

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\VNICMon.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\System32\RunDll32.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32
    etmg32.exe C:\WINDOWS\System32\msrexe.exe
    C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\mssx32.exe
    C:\Program Files\Network Associates\VirusScan\VsStat.exe
    C:\Program Files\Network Associates\VirusScan\Vshwin32.exe
    C:\Program Files\Common Files\Network ssociates\McShield\Mcshield.exe
    C:\Program Files\Network Associates\VirusScan\Webscanx.exe
    C:\Program Files\Network Associates\VirusScan\Avconsol.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Documents and Settings\Chris van Velsen\Bureaublad\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
    res://C:\WINDOWS\system32\eibfs.dll/sp.html#96676
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    C:\WINDOWS\secure.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
    C:\WINDOWS\secure.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    C:\WINDOWS\secure.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
    res://C:\WINDOWS\system32\eibfs.dll/sp.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
    C:\WINDOWS\secure.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
    res://C:\WINDOWS\system32\eibfs.dll/sp.html#96676
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    C:\WINDOWS\secure.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    C:\WINDOWS\secure.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak =
    http://www.google.nl/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    Koppelingen
    O2 - BHO: (no name) - {4040EFBB-6ECB-E57E-FA69-6B589DA7741C} -
    C:\WINDOWS\system32\winrj.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
    C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NIC Monitor] VNICMon.exe
    O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate
    Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
    O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
    O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control
    Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [LimeShop] javaw -cp "C:\Program
    Files\LimeShop\System\Code" Main lp: "C:\Program Files\LimeShop" O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
    -CheckReg
    O4 - HKLM\..\Run: [netmg32.exe] C:\WINDOWS\system32
    etmg32.exe O4 - HKLM\..\Run: [System Service] C:\WINDOWS\System32\msrexe.exe O4 - HKCU\..\Run: [Spyware Begone] e:\freescan\freescan.exe -FastScan O8 - Extra context menu item: LimeShop Preferences - file://C:\Program
    Files\LimeShop\System\Temp\limeshop_script0.htm
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
    O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -
    http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
    O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) -
    http://dialxs.nl/install/dialxs.ocx
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
    http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38100.1223842593
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
    http://downloads.macromedia.com/

    De nietgevonden pagina verwijst hiernaar: klik

    en dit is de Iexplore startpagina: hier
    Bedankt
  • Gooi eens cwshredder er overheen.

    http://www.spywareinfo.com/~merijn/cwschronicles.html
  • Hallo JFace XL,

    Ik wil even iets controleren.
    Download dllfix: http://downloads.subratam.org/dllfix.exe
    Dubbelklik op de self-extracting file dllfix.exe. Er wordt gevraagd waar je de bestanden wil uitpakken. Standaard wordt alles uitgepakt op de boot-partitie. Dit laat je best zo.
    Ga naar de map waar je alle bestanden in uitgepakt hebt.
    Klik op het bestand start.bat
    In het menu dat verschijnt kies je optie 1: Run Find-All
    Laat het programma zijn werk doen. Dit kan eventjes duren. Wanneer het programma klaar is krijg je een pop-up . Klik op OK om de log te bekijken.
    Het bestand output.txt wordt geopend.
    Kopieer de inhoud van dit bestand in je volgende post.

    Groeten,

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.