Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Search the Web

None
29 antwoorden
  • Bij mijn buurman kwam ik het volgende probleem tegen.
    Hij draait onder XP PRO en op de startpagina komt steeds de pagina Search The web.
    Ik probeer met Hijacker steeds die pagina te verwijderen maar hij komt toch steeds weer terug.
    Kan iemand mij helpen?
    Dit is zijn log file.

    Logfile of HijackThis v1.97.7
    Scan saved at 16:08:48, on 25-6-2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Norton SystemWorks\Norton AntiVirus
    avapsvc.exe
    C:\WINDOWS\System32
    vsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\RunDll32.exe
    C:\PROGRA~1\NORTON~1\NORTON~1
    avapw32.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Documents and Settings\Jos\Application Data\ssls.exe
    C:\WINDOWS\System32\wnstssv.exe
    C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
    C:\WINDOWS\System32\NDrv.exe
    C:\Documents and Settings\Jos\Mijn documenten\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {0DD1C005-8670-4414-9B9D-6BA3D669644A} - C:\WINDOWS\System32
    lkh.dll
    O2 - BHO: Curl - {A78CC2FF-6E4E-4556-B27C-D7C3A70D7A50} - C:\WINDOWS\System32\NDrv.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1
    avapw32.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [WNSA] C:\WINDOWS\System32\wnstssv.exe
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O9 - Extra button: Create Mobile Favorite (HKLM)
    O9 - Extra 'Tools' menuitem: Create Mobile Favorite… (HKLM)
    O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38132.3385185185
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

    Want ik zie niet wat er uit moet.


    Voor die reageert alvast bedankt.

    Jos
  • Hallo Jos,

    Je hebt last van oa een about:blank variant en PurityScan B…

    Download en installeer APM from: http://www.diamondcs.com.au/index.php?page=apm


    Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren:
    [b:2963ea266e]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

    O2 - BHO: (no name) - {0DD1C005-8670-4414-9B9D-6BA3D669644A} - C:\WINDOWS\System32
    lkh.dll
    O2 - BHO: Curl - {A78CC2FF-6E4E-4556-B27C-D7C3A70D7A50} - C:\WINDOWS\System32\NDrv.dll

    O4 - HKCU\..\Run: [WNSA] C:\WINDOWS\System32\wnstssv.exe

    O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

    [/b:2963ea266e]
    Start het programma APM.
    In het bovenste venster selecteer je explorer.exe
    In het onderste venster zoek je
    C:\WINDOWS\System32
    lkh.dll
    C:\WINDOWS\System32\NDrv.dll
    Rechtsklik op deze DLL's en kies voor Unload.
    Klik op OK.

    Als je dit gedaan hebt start je de computer op in veilige modus.
    Zorg dat alle verborgen bestanden weergegeven worden, en verwijder de volgende bestanden of mappen indien aanwezig:
    C:\WINDOWS\System32\wnstssv.exe <–hernoem dit bestand naar wnstssv.old


    C:\DOCUME~1\Jos\LOCALS~1\Temp <-deze map helemaal leeg maken

    Reboot en scan vervolgens met Ad-aware. Instructies over gebruik vind je hier.

    Reboot, en meld je terug met een nieuwe HijackThislog.

    About:blank kan gebruik maken van een verborgen installer. Dit wil ik ook even controleren of dat bij je buurman het geval is:
    Download dit bestandje. Unzip het op je buroblad. Dubbelklik op appinit.bat. Er verschijnt een 'dos'box en dan wordt er een bestand aangemaakt dat windows.txt noemt. Open dit bestand en plak deze inhoud ook in je volgende post.

    Groeten,
    Marc
  • Ga even kijken of hij thuis is en zal het proberen uit te voeren alvast bedankt Marc.

    Jos
  • Goed ben ik weer Marc.
    ik heb gedaan wat je schreef maar het is niet weg.
    Hier is een nieuwe log en de windows.txt ziet er wel raar uit.
    Logfile of HijackThis v1.97.7
    Scan saved at 18:09:26, on 2-7-2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Norton SystemWorks\Norton AntiVirus
    avapsvc.exe
    C:\WINDOWS\System32
    vsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\RunDll32.exe
    C:\PROGRA~1\NORTON~1\NORTON~1
    avapw32.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Jos\Bureaublad\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {08CC0F1D-1CB9-4677-9922-EEF470E7E7E7} - C:\WINDOWS\System32\cdch.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1
    avapw32.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O9 - Extra button: Create Mobile Favorite (HKLM)
    O9 - Extra 'Tools' menuitem: Create Mobile Favorite… (HKLM)
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38132.3385185185
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


    Dit is de windows.txt raar he?
    regf Pugf hbin @ nk, Ç U @ x 0 > } x Windows sk x x
    !
    ! #
    # ?
    ?
    ?
    vk
    > f AppInit_DLLs֍G C : \ W I N D O W S \ S y s t e m 3 2 \ h l p p d f . d l l YP vk X UDeviceNotSelectedTimeout 1 5 _ 9 0 vk ' zGDIProcessHandleQuota" vk ퟌ�Spooler2 y e s c{ ( x vk =pswapdisk vk h RTransmissionRetryTimeout ( x ` vk ' USERProcessHandleQuota p
    Oja mijn buurman heet toevallig ook jos Groetjes Jos
  • Hallo Jos,

    De verborgen installer is C:\WINDOWS\System32\hlppdf.dll
    Deze DLL is de oorzaak van deze hijacker.
    Nu moeten we dit bestandje zichtbaar maken en trachten te verwijderen.

    Download Winfile.zip: http://www10.brinkster.com/expl0iter/freeatlast/pvtool.htm
    Download CWShredder: http://computercops.biz/downloads-file-349.html
    Gebruik het programma nog NIET.
    Download Ad-aware: maak de instellingen zoals hier beschreven (zie bij ad-aware). Ad-aware nog NIET laten scannen

    Download Reglite: http://www.resplendence.com
    eglite
    Installeer en run het programma. In het scherm dat opent geef je bij Adress het volgende in:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs.
    Dubbelklik op AppInit_DLLs om de Data editor te openen. Onderaan dit venster zie je een veld 'Value'.
    Dit veld zou de waarde C:\WINDOWS\System32\hlppdf.dll moet bevatten.
    De map Windows in het linkerscherm van Reglite is paars geselecteerd. Rechtsklik op deze map en kies voor Rename. Hernoem deze map naar NOTWindows.
    Klik opnieuw op AppInit_DLLs. Selecteer in het veld Value de verwijzing naar de dll file, en verwijder het.
    Hernoem de map NOTWindows naar zijn oorsponkelijke naam Windows. Sluit Reglite.
    De verborgen DLL zou nu zichtbaar moeten zijn. Kijk of dit het geval is. (kan via de Windows verkennner)

    Vervolgens reset je de permissies voor de key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows.
    Ga naar Start - Uitvoeren en tik in regedit.
    Navigeer naar de key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows. Rechtsklik op Windows en kies voor Machtigingen. Klik onderaan op de knop Geavanceerd. Haal het vinkje weg bij Overneembare machtingen van bovenliggend object aan dit object doorgeven. In het venster dat nu verschijnt klik je op Kopiëren, vervolgens op Toepassen en op OK. Sluit het register.
    Herstart de computer.

    Maak een nieuwe map aan op de c-schijf en noem die map Junk. Je krijgt dan C:\Junk.
    Unzip Winfile en start het programma. Navigeer naar de map c:\windows\system32 en vouw deze map open zodat alle files zichtbaar zijn.
    In het menu File kies je voor Select Files. Bij files vul je hlppdf.dll.
    Ga in het menu File naar Move. Bij From moet nu de naam van hlppdf.dll zichtbaar zijn.
    Bij To vul je in c:/Junk. Klik op OK om te bevestigen
    Controleer of de file effectief in de Junk-folder zit.

    Start CWShredder en klik op de fix-knop.
    Start Ad-Aware. Klik op de knop scannen. Ad-Aware zal nu een aantal 'slechte' bestanden en registersleutels vinden. Rechtsklik in dit venster en kies voor 'Selecteer alles'.
    Klik op de knop Volgende.
    Het programma zal je vragen om alle geselecteerde items te verwijderen. Bevestig dit met OK.
    Sluit Ad-Aware en start de computer opnieuw.

    Verwijder de map c:/Junk.
    Run HijackThis en post een nieuwe log.

    Meldt even als er iets niet gelukt is.

    groeten,
    Marc
  • Bedankt voor je bericht.
    Ik ga het vanmiddag weer proberen.
    het begint wel al beroeder te worden.
    Ik snap niet dat er mensen zijn die dit een ander flikken.

    Groeten jos
  • Hallo Marc,

    Ik heb gedaan wat er in het bericht stond maar ik krijg de verborgen bestand [b:1453930496]hlppdf.dll[/b:1453930496] niet te zien.
    Hoe kan dat??
    Want zo kan ik hem met winfile niet verplaatsen.


    Groeten Jos
  • Zie je de DLL met Reglite?
    Heb je deze map HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows <–die map
    in Reglite hernoemd naar Not Windows? Nadien terug hernoemen naar Windows..
  • Bij het herstarten zag ik hem wel.

    Stom he
  • Hier een nieuwe log.

    Logfile of HijackThis v1.97.7
    Scan saved at 13:57:10, on 3-7-2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Norton SystemWorks\Norton AntiVirus
    avapsvc.exe
    C:\WINDOWS\System32
    vsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\RunDll32.exe
    C:\PROGRA~1\NORTON~1\NORTON~1
    avapw32.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
    C:\Documents and Settings\Jos\Bureaublad\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1
    avapw32.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O9 - Extra button: Create Mobile Favorite (HKLM)
    O9 - Extra 'Tools' menuitem: Create Mobile Favorite… (HKLM)
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38132.3385185185
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


    groeten Jos
  • Hallo Jos,

    Sla HijackThis op in een eigen map. Niet op je bureaublad of in je Temp-files. HijackThis maakt namelijk backups in de map waar het opgestart wordt.Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren:
    [b:353d30fbb8]
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html

    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Jos\LOCALS~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    [/b:353d30fbb8]

    Maak deze map leeg: C:\DOCUME~1\Jos\LOCALS~1\Temp <–deze map

    Reboot de computer.
    Run hijackThis nog een keer en post een nieuwe log.

    groeten,
    Marc
  • Weer een nieuwe log.

    Logfile of HijackThis v1.97.7
    Scan saved at 14:12:36, on 3-7-2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Norton SystemWorks\Norton AntiVirus
    avapsvc.exe
    C:\WINDOWS\System32
    vsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\RunDll32.exe
    C:\PROGRA~1\NORTON~1\NORTON~1
    avapw32.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
    C:\Documents and Settings\Jos\Bureaublad\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1
    avapw32.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O9 - Extra button: Create Mobile Favorite (HKLM)
    O9 - Extra 'Tools' menuitem: Create Mobile Favorite… (HKLM)
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38132.3385185185
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

    Groeten Jos
  • [img:dd5117ec71]http://users.pandora.be/marcvn/Iconen/icon_thumb.gif[/img:dd5117ec71]

    Mooi werk Jos. Dit ziet er goed uit.

    Even controleren. Plaats appinit.bat in en andere map bv c:\appinit\.
    Run het bestand appinit.bat vanuit die map en post het windows.txt bestandje dat aangemaakt wordt.

    groeten,
    Marc
  • Het nieuwe windows.txt

    regf Pugf hbin nk, d ` x 0 ( 0 Windows sk x x ퟁ� ̜ ? ! # $ ? ;+ { 
    ? ? ;+ {  ;+ {  vk
    ( teAppInit_DLLsecte C : \ W I N D O W S \ S y s t e m 3 2 ndle x vk y DeviceNotSelectedTimeout 1 5 _ 9 0 uota vk ' | GDIProcessHandleQuota
    vk x | Spooler y e s Retr x ( X vk swapdisk vk A TransmissionRetryTimeout x ( X ퟌ� vk ' f USERProcessHandleQuota


    Ziet er goed uit of niet?

    Groeten Jos
  • Volgens mij niet. Dit is niet echt duidelijk

    Check even met Reglite die bewuste key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs

    Blijft de hijacker weg?
  • Daar staat bij de value C:\WINDOWS\System
  • Ergens is er toch iets misgelopen…

    Hoe is de situatie nu? Blijft de hijacker weg?
  • Ja hij blijft nu nog weg.
    Meestal komt de pagina de volgede dag terug.

    Groeten Jos
  • Volgens mij is de hijacker weg. Ergens zit er wel iets mis. Misschien heeft dit te maken met het resetten van de permissies.
    Kijk even aan hoe het gaat.
  • Beste Marc.

    Tot zover alles goed en harstikke bedankt.
    Morgen zien w wel weer.

    Groeten Jos en Jos

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.