Vraag & Antwoord

Beveiliging & privacy

Spyware aanval ??

25 antwoorden
  • Hallo, Ik heb een gigantisch probleem... Het begon 2 maanden geleden, ik startte internet explorer en mijn startpagina was ineens aangepast van google.nl naar 1 of andere engelstalige zoekmachine die ik niet meer kon veranderen, tevens opende er een tweede venster met "spyware detected, click here to remove"... Ach, het interesseerde me niet zoveel tot gisteren... toen ik het internet opging verschenen direkt verschillende van dat soort pop-up, wel zo'n 50 binnen 30 seconde, waarna mijn pc crashte. Virusscanner erop los gelaten, had 4 virussen, verwijderd, opnieuw opgestart en nog steeds hetzelfde probleem. Vervolgens adaware 6.0 gedownload en geinstalleerd, vervolgens had hij na de scan over de 1200 key registers en spyware ontdekt, verwijderd, pc opnieuw opgestart en het probleem blijft gewoon bestaan!! Wat is dit in godsnaam en wat kan ik nu nog verder doen? Ik kan nu gelukkig wel internetten (met 44 pop windows in mijn taakbalk die ik niet kan dichtgooien). Help! Bedankt, Salseros
  • [url=http://www.spywareinfo.com/~merijn/files/hijackthis.zip]download[/url] hijackthis, sla hem op in een [b:3dcc8245d0]eigen[/b:3dcc8245d0] map en run hem. sla de log op en kopieer en plak de log in je volgende post. ps. :o 1200 items in ad-aware :o dat is echt veel (record: m'n maat had er ruim 11000)
  • >> Beveiligint & privacy
  • als ik de kans krijg... kan amper typen met continue popups... Logfile of HijackThis v1.97.7 Scan saved at 21:53:44, on 6-7-2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\rundll32.exe C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\NORTON~1\navapw32.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\hijack this\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.nl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe, O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: (no name) - {9E992732-295F-4987-8BE3-16FAC1639198} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\IESERV~1\IEService.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {E5D00D15-79DF-4592-ACD4-AE9AA11180AD} - C:\WINDOWS\mrhop.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [bzmnjn] rundll32 C:\WINDOWS\System32:bzmnjn.dll,Init 1 O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKLM\..\RunOnce: [*bzmnjn] rundll32 C:\WINDOWS\System32:bzmnjn.dll,Init 1 O4 - Startup: Registration-InstantCopy.lnk = C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar3.dll/cmtrans.html O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: Run DAP (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab [/list]
  • Kijk er ff naar.
  • [code:1:077e522d39]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.nl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe, O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll O2 - BHO: (no name) - {9E992732-295F-4987-8BE3-16FAC1639198} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\IESERV~1\IEService.dll O2 - BHO: (no name) - {E5D00D15-79DF-4592-ACD4-AE9AA11180AD} - C:\WINDOWS\mrhop.dll O4 - HKLM\..\Run: [bzmnjn] rundll32 C:\WINDOWS\System32:bzmnjn.dll,Init 1 O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe O4 - HKLM\..\RunOnce: [*bzmnjn] rundll32 C:\WINDOWS\System32:bzmnjn.dll,Init 1 O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O9 - Extra button: Run DAP (HKLM)[/code:1:077e522d39] Deïnstalleer allereerst DAP. Download Spybot en update die (nog niet draaien). Fix bovenstaande items en verwijder daarna in safe mode: C:\Windows\System32\wsaupdater.exe C:\DOCUME~1\ALLUSE~1\APPLIC~1\IESERV~1\IEService.dll C:\WINDOWS\mrhop.dll C:\WINDOWS\System32:bzmnjn.dll C:\Program Files\ISTsvc\istsvc.exe Draai (nog steeds in safe mode) Spybot en laat gevonden problemen fixen. Reboot het systeem en draai een nieuwe hjt scan en post de log hier.
  • about:blank hijacker als ik het zo zie, moeilijk te verwijderen. [url=http://users.pandora.be/marcvn/tools/appinit.zip]download[/url] appinit.bat en unzip hem op je bureaublad, run hem en er word windows.txt aangemaakt, kopieer en plak de inhoud in je volgende bericht, samen met een nieuwe log. sorry rieske maar het lijkt me een beter idee eerst naar een appinit log te vragen. dan weten we waar de verborgen installer uithangt :wink:
  • Krijg een beetje raar tekstbestand??? Hoop dat het goed is... regf       Pugf hbin  ¨ÿÿÿnk, uãÙ~à ÿÿÿÿ ÿÿÿÿÿÿÿÿ ø x ÿÿÿÿ 0  N4ب Windows—Èþÿÿsk x x    ”     ì      !  €  !      #  €  #  ?          ?        ?             Øÿÿÿvk  €   fùAppInit_DLLs֍æG ° Ðÿÿÿvk     ÀUDeviceNotSelectedTimeoutðÿÿÿ1 5  _£ûóðÿÿÿ9 0   Ðÿÿÿvk  €'   zGDIProcessHandleQuota"þàÿÿÿvk  €   °ºSpooler2ðÿÿÿy e s 1ÀR ° à 0 ` ¨ àÿÿÿvk  €   =pswapdiskÐÿÿÿvk     R¿TransmissionRetryTimeoutàÿÿÿ° à 0 ` ¨ È  Ðÿÿÿvk  €'   Î USERProcessHandleQuota‡Ð¸
  • En opnieuw de log: Logfile of HijackThis v1.97.7 Scan saved at 22:36:02, on 6-7-2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\NORTON~1\navapw32.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\hijack this\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.nl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe, O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: (no name) - {9E992732-295F-4987-8BE3-16FAC1639198} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\IESERV~1\IEService.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {E5D00D15-79DF-4592-ACD4-AE9AA11180AD} - C:\WINDOWS\mrhop.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [bzmnjn] rundll32 C:\WINDOWS\System32:bzmnjn.dll,Init 1 O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKLM\..\RunOnce: [*bzmnjn] rundll32 C:\WINDOWS\System32:bzmnjn.dll,Init 1 O4 - Startup: Registration-InstantCopy.lnk = C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar3.dll/cmtrans.html O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: Run DAP (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
  • [quote:24d7c18ac5="Salseros"]Krijg een beetje raar tekstbestand??? Hoop dat het goed is... regf       Pugf hbin  ¨ÿÿÿnk, uãÙ~à ÿÿÿÿ ÿÿÿÿÿÿÿÿ ø x ÿÿÿÿ 0  N4ب Windows—Èþÿÿsk x x    ”     ì      !  €  !      #  €  #  ?          ?        ?             Øÿÿÿvk  €   fùAppInit_DLLs֍æG ° Ðÿÿÿvk     ÀUDeviceNotSelectedTimeoutðÿÿÿ1 5  _£ûóðÿÿÿ9 0   Ðÿÿÿvk  €'   zGDIProcessHandleQuota"þàÿÿÿvk  €   °ºSpooler2ðÿÿÿy e s 1ÀR ° à 0 ` ¨ àÿÿÿvk  €   =pswapdiskÐÿÿÿvk     R¿TransmissionRetryTimeoutàÿÿÿ° à 0 ` ¨ È  Ðÿÿÿvk  €'   Î USERProcessHandleQuota‡Ð¸ [/quote:24d7c18ac5] PCGuy vertelt je waar de boosdoener zit. @ts: Welke handelingen heb je nu verricht?
  • [quote:53583a7e3f="=Rieske="][quote:53583a7e3f="Salseros"]Krijg een beetje raar tekstbestand??? Hoop dat het goed is... regf       Pugf hbin  ¨ÿÿÿnk, uãÙ~à ÿÿÿÿ ÿÿÿÿÿÿÿÿ ø x ÿÿÿÿ 0  N4ب Windows—Èþÿÿsk x x    ”     ì      !  €  !      #  €  #  ?          ?        ?             Øÿÿÿvk  €   fùAppInit_DLLs֍æG ° Ðÿÿÿvk     ÀUDeviceNotSelectedTimeoutðÿÿÿ1 5  _£ûóðÿÿÿ9 0   Ðÿÿÿvk  €'   zGDIProcessHandleQuota"þàÿÿÿvk  €   °ºSpooler2ðÿÿÿy e s 1ÀR ° à 0 ` ¨ àÿÿÿvk  €   =pswapdiskÐÿÿÿvk     R¿TransmissionRetryTimeoutàÿÿÿ° à 0 ` ¨ È  Ðÿÿÿvk  €'   Î USERProcessHandleQuota‡Ð¸ [/quote:53583a7e3f] PCGuy vertelt je waar de boosdoener zit. @ts: Welke handelingen heb je nu verricht?[/quote:53583a7e3f] de boosdoener zit er niet in. als er een boosdoener is staat er tussen die ellende een duidelijk pad + .ddl file (dan heb ik me dus verkeken en is het geen about:blank hijack al vond ik het er wel op lijken :oops:)
  • Salseros, Deze kan je niet fixen met HijackThis: O4 - HKLM\..\Run: [bzmnjn] rundll32 C:\WINDOWS\System32:bzmnjn.dll,Init 1 Dat is de trojan Aflooder. Doe eerst dit: Kijk in het register op volgende plaats: HKEY_Local_Machine\Software\Micrsoft\Windows\CurrentVersion\Run Daar staat een registeringang met volgende waarde: rundll32 C:\WINDOWS\System32:bzmnjn.dll,Init 1 Laat het registervenster open waar het zich bevindt. Ga naar start - uitvoeren en tik in: rundll32 C:\Windows\system32: bzmnjn.dll,Uninstall Klik op de OK-knop. Normaal moet je nu een venster krijgen waarin aangegeven wordt dat Aflooder (of Af) gedeïnstalleerd wordt. Als er een ok knop is klik je hier op. Wanneer het deïnstallatieproces beëindigd is, ga je terug naar het registervenster. Druk op de F5-knop om de vensterinhoud te vernieuwen. Nu zou de registeringang verdwenen moeten zijn. Indien dit niet het geval is selecteer je deze registeringang en druk je op de delete-toets. Reboot je pc. Daarna volg je aanwijzingen van Rieske. Meld je terug met een nieuwe hijackThislog. groeten,
  • Dank Marc.
  • [quote:7df25f24a4="=Rieske="]Dank Marc.[/quote:7df25f24a4] Geen probleem :wink:
  • [quote:55f76e36f9="pcguy"]de boosdoener zit er niet in. als er een boosdoener is staat er tussen die ellende een duidelijk pad + .ddl file (dan heb ik me dus verkeken en is het geen about:blank hijack al vond ik het er wel op lijken :oops:)[/quote:55f76e36f9] Is wel degelijk een about:blank variant. Alleen wordt deze keer geen gebruik gemaakt van de verborgen installer. Let wel op: ook legitieme programma's durven gebruik maken van deze verborgen installer. (oa Norton CleanSweep)
  • thnx marc voor de hulp ja dat van norton clean sweep heb ik gelezen, daar let ik ook wel op hoor alleen moet ik afleren dat ik 's avonds met flink wat bier op een hjt log na kijk en dan ook nog eens een vriendin die helemaal over haar toeren is probeer te helpen :-?
  • [quote:7dc8f36537="M@rc"]Salseros, Deze kan je niet fixen met HijackThis: O4 - HKLM\..\Run: [bzmnjn] rundll32 C:\WINDOWS\System32:bzmnjn.dll,Init 1 Dat is de trojan Aflooder. Doe eerst dit: Kijk in het register op volgende plaats: HKEY_Local_Machine\Software\Micrsoft\Windows\CurrentVersion\Run Daar staat een registeringang met volgende waarde: rundll32 C:\WINDOWS\System32:bzmnjn.dll,Init 1 Laat het registervenster open waar het zich bevindt. Ga naar start - uitvoeren en tik in: rundll32 C:\Windows\system32: bzmnjn.dll,Uninstall Klik op de OK-knop. Normaal moet je nu een venster krijgen waarin aangegeven wordt dat Aflooder (of Af) gedeïnstalleerd wordt. Als er een ok knop is klik je hier op. Wanneer het deïnstallatieproces beëindigd is, ga je terug naar het registervenster. Druk op de F5-knop om de vensterinhoud te vernieuwen. Nu zou de registeringang verdwenen moeten zijn. Indien dit niet het geval is selecteer je deze registeringang en druk je op de delete-toets. Reboot je pc. Daarna volg je aanwijzingen van Rieske. Meld je terug met een nieuwe hijackThislog. groeten,[/quote:7dc8f36537] Ok ik ga dit vanavond proberen als ik uit mijn werk kom, tot zover bedankt iedereen. Hoop trouwens dat dit de oplossing geeft, daar ik gisterenavond laat onmogelijk meer internet opkwam... dus kan ik ook geen hijackthislog plaatsen... :cry: Het resultaat volgt...
  • Ok die regel heb ik uit het register verwijderd, nieuwe log:\ Logfile of HijackThis v1.97.7 Scan saved at 20:45:05, on 7-7-2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\NORTON~1\navapw32.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\hijack this\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.nl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe, O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: (no name) - {9E992732-295F-4987-8BE3-16FAC1639198} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\IESERV~1\IEService.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {E5D00D15-79DF-4592-ACD4-AE9AA11180AD} - C:\WINDOWS\mrhop.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - Startup: Registration-InstantCopy.lnk = C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar3.dll/cmtrans.html O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: Run DAP (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
  • ik kijk wel even voor je
  • in het configuratie scherm bij software moet je dap verwijderen indien het aanwezig is. dan run je hijackthis opnieuw met alle vensters gesloten en fix je deze items indien aanwezig:[list:351b69bc9f] R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll O2 - BHO: (no name) - {9E992732-295F-4987-8BE3-16FAC1639198} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\IESERV~1\IEService.dll O2 - BHO: (no name) - {E5D00D15-79DF-4592-ACD4-AE9AA11180AD} - C:\WINDOWS\mrhop.dll O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O9 - Extra button: Run DAP (HKLM)[/list:u:351b69bc9f] teboot in safe mode en verwijder indien aanwezig: c:\program files\DAP <----- deze map reboot in normale modus en post een nieuwe log

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.