Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

help ! ik krijg spyware niet weg.

M@rc
42 antwoorden
  • Hallo,

    Ik ben nieuw op dit forum en hoop dat jullie me kunnen helpen.
    Bij het opstarten van I.E. wordt ik door spyware bestookt.
    Na vele uren verwoedde pogingen doe ik hierbij maar eens een beroep op de specialisten onder de forumleden.

    Ad-aware vindt steeds weer een paar boosdoeners , maar die komen ook steeds weer terug.
    Spybot: idem - op het einde van de scan krijg ik steeds weer een foutmelding.
    Csshredder: vindt niets verdachts.

    Is de dader in onderstaande HijachThis - log te vinden ?


    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\NavNT\defwatch.exe
    C:\Program Files\NavNT\rtvscan.exe
    C:\WINDOWS\System32
    vsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\System32\MsgSys.EXE
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\NavNT\vptray.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\System32\jvfskw.exe
    C:\WINDOWS\sysfq.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\WINDOWS\imsins.BAK:upsyh
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Outlook Express\msimn.exe
    C:\Program Files\HijackThis.exe
    C:\Program Files\Internet Explorer\iexplore.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wabmi.dll/sp.html#29836
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wabmi.dll/sp.html#29836
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wabmi.dll/sp.html#29836
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wabmi.dll/sp.html#29836
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wabmi.dll/sp.html#29836
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wabmi.dll/sp.html#29836
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {B81CA0C4-1209-B883-8E93-5BE66A9C1710} - C:\WINDOWS\system32
    etqm.dll
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [zzzHPSETUP] E:\Setup.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
    O4 - HKLM\..\Run: [ifvtfgyrfl] C:\WINDOWS\System32\jvfskw.exe
    O4 - HKLM\..\Run: [sysfq.exe] C:\WINDOWS\sysfq.exe
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKLM\..\RunOnce: [upsyh] C:\WINDOWS\imsins.BAK:upsyh
    O4 - Startup: system[1].exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FEB0F0C1-2984-4C54-A06A-FDB741FB39FA}: NameServer = 62.235.14.4 62.235.13.199

  • post een je hele log je moet trouwens de 1.98.2 hebben die vind meer.. als je die nog niet hebt maar ik ga hier alvast even een :wink: op gooien.. http://www.wilderssecurity.com/supportfiles/HijackThis1982.exe
  • R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wabmi.dll/sp.html#29836
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wabmi.dll/sp.html#29836
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wabmi.dll/sp.html#29836
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wabmi.dll/sp.html#29836
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wabmi.dll/sp.html#29836
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wabmi.dll/sp.html#29836

    dit is het punt je gaat niet op internet er wordt een dll geladen en die gaat dan de spyware activeren en irri pop-ups.. na deze handeling je nieuwe log plaatsen en maak dan via internet opties een standaard starpagina bijv. startpagina.nl dan weet je zeker dat er geen dll meer wordt getoond.. :roll:
  • Heb ik meteen geprobeerd, maar daarmee is het probleem niet van de baan.
    Ondertussen heb ik ook nog Hijjackthis 1.98.02 gedownload.
    De "wabmi.dll" 's stonden er trouwens meteen weer op.

    Nieuwe scan met deze versie:

    Logfile of HijackThis v1.98.2
    Scan saved at 21:17:45, on 9/09/2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\NavNT\defwatch.exe
    C:\Program Files\NavNT\rtvscan.exe
    C:\WINDOWS\System32
    vsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\System32\MsgSys.EXE
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\NavNT\vptray.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\System32\jvfskw.exe
    C:\WINDOWS\sysfq.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\WINDOWS\imsins.BAK:upsyh
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\HijackThis.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\paul\Bureaublad\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {B81CA0C4-1209-B883-8E93-5BE66A9C1710} - C:\WINDOWS\system32
    etqm.dll
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [zzzHPSETUP] E:\Setup.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
    O4 - HKLM\..\Run: [ifvtfgyrfl] C:\WINDOWS\System32\jvfskw.exe
    O4 - HKLM\..\Run: [sysfq.exe] C:\WINDOWS\sysfq.exe
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKLM\..\RunOnce: [upsyh] C:\WINDOWS\imsins.BAK:upsyh
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - Startup: system[1].exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FEB0F0C1-2984-4C54-A06A-FDB741FB39FA}: NameServer = 62.235.14.4 62.235.13.199

  • Hallo paulII,

    Om dit te fixen hebben we wat meer info nodig.
    Download Get Active Services. Unzip het op je bureaublad. Dubbelklik op het bestand get active services.vbs. Er opent nu een bestand dat Active.txt noemt. Dit geeft een overzicht van alle actieve services op de computer.
    Post de inhoud van Active.txt samen met een nieuwe HijackThislog.

    Marc
  • OK:

    These are the Current Active Services:

    WINDOWS AUDIO: AudioSrv
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COMPUTER BROWSER: Browser
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVICES VOOR CRYPTOGRAFIE: CryptSvc
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    DHCP CLIENT: Dhcp
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    LOGICAL DISK MANAGER: dmserver
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVICE VOOR HET RAPPORTEREN VAN FOUTEN: ERSvc
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COM+-GEBEURTENISSYSTEEM: EventSystem
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COMPATIBILITEIT VOOR SNELLE GEBRUIKERSWISSELING: FastUserSwitchingCompatibility
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    HELP EN ONDERSTEUNING: helpsvc
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVER: lanmanserver
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    WORKSTATION: lanmanworkstation
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    MESSENGER: Messenger
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    NETWORK CONNECTIONS: Netman
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    NETWORK LOCATION AWARENESS (NLA): Nla
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    VERBINDINGSBEHEER VOOR RAS: RasMan
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TASK SCHEDULER: Schedule
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SECONDARY LOGON: seclogon
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SYSTEM EVENT NOTIFICATION: SENS
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    SHELL HARDWARE DETECTION: ShellHWDetection
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SYSTEM RESTORE-SERVICE: srservice
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TELEPHONY: TapiSrv
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TERMINAL SERVICES: TermService
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    THEMA'S: Themes
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    DISTRIBUTED LINK TRACKING CLIENT: TrkWks
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    UPLOADBEHEER: uploadmgr
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    WINDOWS TIME: W32Time
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    WINDOWS MANAGEMENT INSTRUMENTATION: winmgmt
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    AUTOMATISCHE UPDATES: wuauserv
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    WIRELESS ZERO CONFIGURATION-SERVICE: WZCSVC
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    DEFWATCH: DefWatch
    C:\Program Files\NavNT\defwatch.exe

    DNS CLIENT: Dnscache
    C:\WINDOWS\System32\svchost.exe -k NetworkService

    EVENT LOG: Eventlog
    C:\WINDOWS\system32\services.exe

    PLUG AND PLAY: PlugPlay
    C:\WINDOWS\system32\services.exe

    TCP/IP NETBIOS HELPER: LmHosts
    C:\WINDOWS\System32\svchost.exe -k LocalService

    REMOTE REGISTRY: RemoteRegistry
    C:\WINDOWS\system32\svchost.exe -k LocalService

    SSDP DISCOVERY-SERVICE: SSDPSRV
    C:\WINDOWS\System32\svchost.exe -k LocalService

    WEBCLIENT: WebClient
    C:\WINDOWS\System32\svchost.exe -k LocalService

    NORTON ANTIVIRUS CLIENT: Norton AntiVirus Server
    C:\Program Files\NavNT\rtvscan.exe

    NVIDIA DISPLAY DRIVER SERVICE: NVSvc
    C:\WINDOWS\System32
    vsvc32.exe

    IPSEC-SERVICES: PolicyAgent
    C:\WINDOWS\System32\lsass.exe

    PROTECTED STORAGE: ProtectedStorage
    C:\WINDOWS\system32\lsass.exe

    SECURITY ACCOUNTS MANAGER: SamSs
    C:\WINDOWS\system32\lsass.exe

    REMOTE PROCEDURE CALL (RPC): RpcSs
    C:\WINDOWS\system32\svchost -k rpcss

    PRINT SPOOLER: Spooler
    C:\WINDOWS\system32\spoolsv.exe

    WINDOWS IMAGE ACQUISITION (WIA): stisvc
    C:\WINDOWS\System32\svchost.exe -k imgsvc

    TRUEVECTOR INTERNET MONITOR: vsmon
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service


    _______________________________________________________

    Logfile of HijackThis v1.98.2
    Scan saved at 21:24:43, on 9/09/2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\NavNT\defwatch.exe
    C:\Program Files\NavNT\rtvscan.exe
    C:\WINDOWS\System32
    vsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\System32\MsgSys.EXE
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\NavNT\vptray.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\System32\jvfskw.exe
    C:\WINDOWS\sysfq.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\WINDOWS\imsins.BAK:upsyh
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\HijackThis.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Outlook Express\msimn.exe
    C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
    C:\Documents and Settings\paul\Bureaublad\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wabmi.dll/sp.html#29836
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wabmi.dll/sp.html#29836
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wabmi.dll/sp.html#29836
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wabmi.dll/sp.html#29836
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wabmi.dll/sp.html#29836
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wabmi.dll/sp.html#29836
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {B81CA0C4-1209-B883-8E93-5BE66A9C1710} - C:\WINDOWS\system32
    etqm.dll
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [zzzHPSETUP] E:\Setup.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
    O4 - HKLM\..\Run: [ifvtfgyrfl] C:\WINDOWS\System32\jvfskw.exe
    O4 - HKLM\..\Run: [sysfq.exe] C:\WINDOWS\sysfq.exe
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKLM\..\RunOnce: [upsyh] C:\WINDOWS\imsins.BAK:upsyh
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - Startup: system[1].exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FEB0F0C1-2984-4C54-A06A-FDB741FB39FA}: NameServer = 62.235.14.4 62.235.13.199


  • Heb je de volledige inhoud van active.txt gepost?
    (of kijk ik er over?? :cry: )
  • Ik dacht het wel.
    Nog eens:

    These are the Current Active Services:

    WINDOWS AUDIO: AudioSrv
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COMPUTER BROWSER: Browser
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVICES VOOR CRYPTOGRAFIE: CryptSvc
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    DHCP CLIENT: Dhcp
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    LOGICAL DISK MANAGER: dmserver
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVICE VOOR HET RAPPORTEREN VAN FOUTEN: ERSvc
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COM+-GEBEURTENISSYSTEEM: EventSystem
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COMPATIBILITEIT VOOR SNELLE GEBRUIKERSWISSELING: FastUserSwitchingCompatibility
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    HELP EN ONDERSTEUNING: helpsvc
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVER: lanmanserver
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    WORKSTATION: lanmanworkstation
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    MESSENGER: Messenger
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    NETWORK CONNECTIONS: Netman
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    NETWORK LOCATION AWARENESS (NLA): Nla
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    VERBINDINGSBEHEER VOOR RAS: RasMan
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TASK SCHEDULER: Schedule
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SECONDARY LOGON: seclogon
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SYSTEM EVENT NOTIFICATION: SENS
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    SHELL HARDWARE DETECTION: ShellHWDetection
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SYSTEM RESTORE-SERVICE: srservice
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TELEPHONY: TapiSrv
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TERMINAL SERVICES: TermService
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    THEMA'S: Themes
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    DISTRIBUTED LINK TRACKING CLIENT: TrkWks
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    UPLOADBEHEER: uploadmgr
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    WINDOWS TIME: W32Time
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    WINDOWS MANAGEMENT INSTRUMENTATION: winmgmt
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    AUTOMATISCHE UPDATES: wuauserv
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    WIRELESS ZERO CONFIGURATION-SERVICE: WZCSVC
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    DEFWATCH: DefWatch
    C:\Program Files\NavNT\defwatch.exe

    DNS CLIENT: Dnscache
    C:\WINDOWS\System32\svchost.exe -k NetworkService

    EVENT LOG: Eventlog
    C:\WINDOWS\system32\services.exe

    PLUG AND PLAY: PlugPlay
    C:\WINDOWS\system32\services.exe

    TCP/IP NETBIOS HELPER: LmHosts
    C:\WINDOWS\System32\svchost.exe -k LocalService

    REMOTE REGISTRY: RemoteRegistry
    C:\WINDOWS\system32\svchost.exe -k LocalService

    SSDP DISCOVERY-SERVICE: SSDPSRV
    C:\WINDOWS\System32\svchost.exe -k LocalService

    WEBCLIENT: WebClient
    C:\WINDOWS\System32\svchost.exe -k LocalService

    NORTON ANTIVIRUS CLIENT: Norton AntiVirus Server
    C:\Program Files\NavNT\rtvscan.exe

    NVIDIA DISPLAY DRIVER SERVICE: NVSvc
    C:\WINDOWS\System32
    vsvc32.exe

    IPSEC-SERVICES: PolicyAgent
    C:\WINDOWS\System32\lsass.exe

    PROTECTED STORAGE: ProtectedStorage
    C:\WINDOWS\system32\lsass.exe

    SECURITY ACCOUNTS MANAGER: SamSs
    C:\WINDOWS\system32\lsass.exe

    REMOTE PROCEDURE CALL (RPC): RpcSs
    C:\WINDOWS\system32\svchost -k rpcss

    PRINT SPOOLER: Spooler
    C:\WINDOWS\system32\spoolsv.exe

    WINDOWS IMAGE ACQUISITION (WIA): stisvc
    C:\WINDOWS\System32\svchost.exe -k imgsvc

    TRUEVECTOR INTERNET MONITOR: vsmon
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service
  • Ik zie het niet.
    Deze hijacker wordt in principe uitgevoerd door een service.
    Het rare is dat er niets verdachts staat tussen de actieve services.
    We proberen wat anders.
    Herstart de computer.
    Download Startup Tracker. Unzip het, start het programma, maak een log.
    Post hem hier.
  • Dit zou het moeten zijn:


    9/09/2004 22:06:57

    – Registry –
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

    upsyh C:\WINDOWS\imsins.BAK:upsyh

    – Registry –
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    SpeedTouch USB Diagnostics "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
    zzzHPSETUP E:\Setup.exe
    Zone Labs Client "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    vptray C:\Program Files\NavNT\vptray.exe
    ifvtfgyrfl C:\WINDOWS\System32\jvfskw.exe
    sysfq.exe C:\WINDOWS\sysfq.exe
    MSConfig C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    NvCplDaemon RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

    – Registry –
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

    No Items Found

    – Start Menu - Current User –
    system[1].exe

    – Start Menu - All Users –
    Microsoft Office.lnk

    – Disabled Items –
    points manager
    Heck Bend
    hpqcmon
    hpotdd01
    cake enc
    HPWuSchd
    kazaa
    MsgPlus
    NvCpl
    nwiz
    P2P Networking
    qttask
    hpgs2wnd
    jusched
    updmgr
    vptray

    – Registry - Shell Value - HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon –
    Explorer.exe

    – Running Processes –
    System Idle Process
    System
    smss.exe \SystemRoot\System32\smss.exe
    csrss.exe
    winlogon.exe winlogon.exe
    services.exe C:\WINDOWS\system32\services.exe
    lsass.exe C:\WINDOWS\system32\lsass.exe
    svchost.exe C:\WINDOWS\system32\svchost -k rpcss
    svchost.exe C:\WINDOWS\System32\svchost.exe -k netsvcs
    svchost.exe
    svchost.exe
    spoolsv.exe C:\WINDOWS\system32\spoolsv.exe
    defwatch.exe "C:\Program Files\NavNT\defwatch.exe"
    rtvscan.exe "C:\Program Files\NavNT\rtvscan.exe"
    nvsvc32.exe C:\WINDOWS\System32
    vsvc32.exe
    svchost.exe C:\WINDOWS\System32\svchost.exe -k imgsvc
    vsmon.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service
    explorer.exe C:\WINDOWS\Explorer.EXE
    MSGSYS.EXE MsgSys.EXE
    dragdiag.exe "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
    zlclient.exe "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    vptray.exe "C:\Program Files\NavNT\vptray.exe"
    jvfskw.exe "C:\WINDOWS\System32\jvfskw.exe"
    sysfq.exe "C:\WINDOWS\sysfq.exe"
    ctfmon.exe "C:\WINDOWS\System32\ctfmon.exe"
    imsins.BAK:upsyh "C:\WINDOWS\imsins.BAK:upsyh"

    system[1].exe "C:\Documents and Settings\paul\Menu Start\Programma's\Opstarten\system[1].exe"
    wuauclt.exe "C:\WINDOWS\System32\wuauclt.exe" /RunStoreAsComServer Local\[318]SUSDS2d67af40baa7d74db8de4c130fd20cd5
    iexplore.exe "C:\Program Files\Internet Explorer\iexplore.exe"
    hpgs2wnf.exe "C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe" -Embedding
    StartupTracker3.exe "C:\Documents and Settings\paul\Local Settings\Temp\Tijdelijke map 2 voor StartupTracker3[1].zip\StartupTracker3.exe"
    wmiprvse.exe

    – Running Services –

    Name: AudioSrv
    Description: Hiermee worden audioapparaten voor op Windows-gebaseerde programma's beheerd. Als deze service wordt gestopt, functioneren audioapparaten en geluidseffecten niet juist. Als deze service wordt uitgeschakeld, kunnen de services die van deze service afhankelijk zijn niet worden gestart.
    Startup Mode: Auto
    Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

    Name: Browser
    Description: Hiermee wordt een bijgewerkte lijst met computers op het netwerk bijgehouden. De lijst wordt aan browsercomputers aangeboden. Als deze service is gestopt, wordt de lijst niet meer bijgehouden of bijgewerkt. Als deze service is uitgeschakeld, zullen alle services die van deze voorziening afhankelijk zijn niet kunnen worden gestart.
    Startup Mode: Auto
    Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

    Name: CryptSvc
    Description: Hiermee worden drie beheersservices geboden: de Catalog Database-service, die de handtekeningen van Windows-bestanden bevestigt, de Protected Root-service, die op deze computer certificaten van vertrouwde basiscertificeringsinstanties toevoegt en verwijdert, en de Key-service, die helpt bij het inschrijven van deze computer voor certificaten. Als deze service wordt uitgeschakeld, kunnen services die afhankelijk zijn van deze service niet worden gestart.
    Startup Mode: Auto
    Run from: C:\WINDOWS\system32\svchost.exe -k netsvcs

    Name: DefWatch
    Description:
    Startup Mode: Auto
    Run from: C:\Program Files\NavNT\defwatch.exe

    Name: Dhcp
    Description: Hiermee wordt de netwerkconfiguratie beheerd via het registreren en bijwerken van IP-adressen en DNS-namen.
    Startup Mode: Auto
    Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

    Name: dmserver
    Description: Hiermee worden voor configuratie nieuwe vaste schijven gedetecteerd en gegevens van het schijfvolume verzonden naar de Logical Disk Manager Administrative-service. Als deze service wordt gestopt, is het mogelijk dat de status van de dynamische schijf en de configuratiegegevens verouderen. Als deze service wordt uitgeschakeld, kunnen services die van deze service afhankelijk zijn niet starten.
    Startup Mode: Auto
    Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

    Name: Dnscache
    Description: Hiermee worden DNS-namen voor deze computer omgezet en in cache opgeslagen. Als deze service is gestopt, kan deze computer geen DNS-namen omzetten en domeincontrollers in Active Directory vinden. Als deze service is uitgeschakeld, zullen alle services die van deze voorziening afhankelijk zijn niet kunnen worden gestart.
    Startup Mode: Auto
    Run from: C:\WINDOWS\System32\svchost.exe -k NetworkService

    Name: ERSvc
    Description: Hiermee kunnen services en toepassingen die worden uitgevoerd in omgevingen die niet standaard zijn, fouten rapporteren.
    Startup Mode: Auto
    Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

    Name: Eventlog
    Description: Hiermee kunnen gebeurtenisberichten die worden uitgegeven door programma's en onderdelen van Windows worden weergegeven in Logboeken. Deze service kan niet worden gestopt.
    Startup Mode: Auto
    Run from: C:\WINDOWS\system32\services.exe

    Name: EventSystem
    Description: Ondersteunt SENS (System Event Notification Service), waarbij automatische distributie van gegevens voor het abonneren op COM-componenten (Component Object Model) mogelijk wordt gemaakt. Als de service wordt stopgezet, wordt SENS afgesloten en kan deze service geen aan- en afmeldingsberichten bieden. Als deze service wordt uitgeschakeld, kunnen services die expliciet hiervan afhankelijk zijn, niet worden gestart.
    Startup Mode: Manual
    Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

    Name: FastUserSwitchingCompatibility
    Description: Hiermee beschikt u over een voorziening waarmee het mogelijk is toepassingen te beheren in een omgeving met meerdere gebruikers.
    Startup Mode: Manual
    Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

    Name: helpsvc
    Description: Hiermee kan Help en ondersteuning op deze computer worden uitgevoerd. Als de service wordt gestopt, is Help en ondersteuning niet beschikbaar. Als deze service wordt uitgeschakeld, kunnen services die van deze service afhankelijk zijn niet worden gestart.
    Startup Mode: Auto
    Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

    Name: lanmanserver
    Description: Hiermee wordt ondersteuning geboden voor het via het netwerk delen van bestanden, printers en named pipes voor deze computer. Als deze service is gestopt, zijn deze functies niet beschikbaar. Als deze service is uitgeschakeld, zullen alle services die van deze voorziening afhankelijk zijn niet kunnen worden gestart.
    Startup Mode: Auto
    Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

    Name: lanmanworkstation
    Description: Hiermee worden netwerkverbindingen van clients naar externe servers tot stand gebracht en in stand gehouden. Als deze service is gestopt, zijn deze verbindingen niet beschikbaar. Als deze service is uitgeschakeld, zullen alle services die van deze voorziening afhankelijk zijn niet kunnen worden gestart.
    Startup Mode: Auto
    Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

    Name: LmHosts
    Description: Hiermee wordt ondersteuning geboden voor NetBIOS via TCP/IP (NetBT) en NetBIOS-naamomzetting inschakelen.
    Startup Mode: Auto
    Run from: C:\WINDOWS\System32\svchost.exe -k LocalService

    Name: Messenger
    Description: Hiermee worden berichten tussen clients en servers uitgewisseld die met behulp van de opdracht net send of de Alerter-service zijn gestart. Deze service is niet gerelateerd aan Windows Messenger. Als deze service is gestopt, zal de Alerter-service geen berichten verzenden. Als deze service is uitgeschakeld, zullen alle services die van deze voorziening afhankelijk zijn niet kunnen worden gestart.
    Startup Mode: Auto
    Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

    Name: Netman
    Description: Hiermee worden objecten beheerd in de map Netwerk- en inbelverbindingen, waarin u zowel LAN- als externe verbindingen kunt weergeven
    Startup Mode: Manual
    Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

    Name: Nla
    Description: Hiermee worden de configuratie- en locatiegegevens van het netwerk verzameld en opgeslagen en worden toepassingen ingelicht als deze gegevens worden gewijzigd.
    Startup Mode: Manual
    Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

    Name: Norton AntiVirus Server
    Description:
    Startup Mode: Auto
    Run from: C:\Program Files\NavNT\rtvscan.exe

    Name: NVSvc
    Description: Provides system and desktop level support to the NVIDIA display driver
    Startup Mode: Auto
    Run from: C:\WINDOWS\System32
    vsvc32.exe

    Name: PlugPlay
    Description: Hiermee kan een computer wijzigingen in de hardwareconfiguratie herkennen en zich aanpassen zonder of met weinig invoer van de gebruiker. Als de service wordt gestopt of uitgeschakeld wordt de computer instabiel.
    Startup Mode: Auto
    Run from: C:\WINDOWS\system32\services.exe

    Name: PolicyAgent
    Description: Hiermee wordt het IP-beveiligingsbeleid beheerd en de stuurprogramma's voor ISAKMP/Oakley (IKE) en IP-beveiliging gestart.
    Startup Mode: Auto
    Run from: C:\WINDOWS\System32\lsass.exe

    Name: ProtectedStorage
    Description: Hiermee wordt beveiligde opslag voor vertrouwelijke gegevens, zoals persoonlijke sleutels, geboden om toegang door niet-gemachtigde services, processen of gebruikers te voorkomen
    Startup Mode: Auto
    Run from: C:\WINDOWS\system32\lsass.exe

    Name: RasMan
    Description: Hiermee kunnen netwerkverbindingen worden gemaakt.
    Startup Mode: Manual
    Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

    Name: RemoteRegistry
    Description: Hiermee kunnen externe gebruikers de instellingen van het register op deze computer wijzigen. Als de service wordt gestopt kan het register alleen worden gewijzigd door gebruikers van deze computer. Als deze service wordt uitgeschakeld, kunnen services die van deze service afhankelijk zijn niet worden gestart.
    Startup Mode: Auto
    Run from: C:\WINDOWS\system32\svchost.exe -k LocalService

    Name: RpcSs
    Description: Hiermee worden endpoint-toewijzing en andere RPC-services geboden
    Startup Mode: Auto
    Run from: C:\WINDOWS\system32\svchost -k rpcss

    Name: SamSs
    Description: Hiermee worden beveiligingsgegevens voor lokale gebruikersaccounts opgeslagen
    Startup Mode: Auto
    Run from: C:\WINDOWS\system32\lsass.exe

    Name: Schedule
    Description: Hiermee kan een gebruiker geautomatiseerde taken configureren en plannen op deze computer. Als deze service wordt gestopt, kunnen deze taken niet op de geplande tijd worden uitgevoerd. Als de service wordt uitgeschakeld, kunnen de services die afhankelijk van deze service niet worden gestart.
    Startup Mode: Auto
    Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

    Name: seclogon
    Description: Hiermee kunnen processen met alternatieve referenties worden gestart. Als deze service wordt gestopt, is dit type aanmelding niet beschikbaar. Als deze service wordt uitgeschakeld, kunnen services die van deze service afhankelijk zijn niet worden gestart.
    Startup Mode: Auto
    Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

    Name: SENS
    Description: Hiermee worden systeemgebeurtenissen, zoals Windows-aanmelding, netwerk- en energiegebeurtenissen getraceerd en worden abonnees van het COM+-gebeurtenissysteem gewaarschuwd als deze gebeurtenissen optreden
    Startup Mode: Auto
    Run from: C:\WINDOWS\system32\svchost.exe -k netsvcs

    Name: ShellHWDetection
    Description:
    Startup Mode: Auto
    Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

    Name: Spooler
    Description: Hiermee worden bestanden in het geheugen geladen om later te worden afgedrukt
    Startup Mode: Auto
    Run from: C:\WINDOWS\system32\spoolsv.exe

    Name: srservice
    Description: Hiermee worden herstelfuncties voor het apparaat uitgevoerd. Als u de service wilt stoppen, kunt u Systeemherstel uitschakelen in het tabblad Systeemherstel in Deze computer->Eigenschappen
    Startup Mode: Auto
    Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

    Name: SSDPSRV
    Description: Maakt de detectie van universele Plug en Play-apparaten op het eigen netwerk mogelijk.
    Startup Mode: Manual
    Run from: C:\WINDOWS\System32\svchost.exe -k LocalService

    Name: stisvc
    Description: Hiermee kunnen scanners en camera's afbeeldingen opnemen
    Startup Mode: Auto
    Run from: C:\WINDOWS\System32\svchost.exe -k imgsvc

    Name: TapiSrv
    Description: Hiermee wordt ondersteuning geboden voor Telefoon-API (TAPI) voor programma's die telefoonapparaten en op IP gebaseerde spraakverbindingen bestuurd op de lokale computer en, via het LAN, op servers die de service ook uitvoeren
    Startup Mode: Manual
    Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

    Name: TermService
    Description: Hiermee kunnen meerdere gebruikers interactief met een bepaalde computer of het bureaublad en toepassingen van een andere computer worden verbonden. De basis voor Extern bureaublad (waaronder Extern bureaublad voor Administrators), Snelle gebruikerswisseling, Hulp op afstand en Terminal Server.
    Startup Mode: Manual
    Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

    Name: Themes
    Description: Hiermee beschikt u over een voorziening waarmee u de gebruikerservaring kunt beheren.
    Startup Mode: Auto
    Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

    Name: TrkWks
    Description: Hiermee worden koppelingen tussen NTFS-bestanden op een computer of tussen computers in een netwerkdomein onderhouden.
    Startup Mode: Auto
    Run from: C:\WINDOWS\system32\svchost.exe -k netsvcs

    Name: uploadmgr
    Description: Beheer van synchrone en asynchrone bestandsoverdracht tussen clients en servers in het netwerk. Als deze service wordt gestopt kan er geen synchrone en asynchrone bestandsoverdracht tussen clients en servers in het netwerk plaatsvinden. Als deze service wordt uitgeschakeld, kunnen services die van deze service afhankelijk zijn niet worden gestart.
    Startup Mode: Auto
    Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

    Name: vsmon
    Description: Monitors internet traffic and generates alerts for disallowed access.
    Startup Mode: Auto
    Run from: C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service

    Name: W32Time
    Description: Zorgt voor de datum- en tijdsynchronisatie van alle clients en servers binnen het netwerk. Als de service is gestopt, is de datum- en tijdsynchronisatie onbeschikbaar. Als de service wordt uitgeschakeld, kunnen de services die afhankelijk van deze service niet worden gestart.

    Startup Mode: Auto
    Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

    Name: WebClient
    Description: Hiermee kunnen Windows-programma's bestanden op het Internet maken, lezen en wijzigen. Als deze service wordt gestopt, zijn deze functies niet beschikbaar. Als deze service wordt uitgeschakeld, kunnen services die van deze service afhankelijk zijn niet starten.
    Startup Mode: Auto
    Run from: C:\WINDOWS\System32\svchost.exe -k LocalService

    Name: winmgmt
    Description: Dit is een gemeenschappelijke interface en objectmodel voor toegang tot beheergegevens over besturingssystemen, apparaten, toepassingen en services. Als deze service wordt gestopt zal de meeste windows-software niet juist werken. Als deze service wordt uitgeschakeld, kunnen services die van de service afhankelijk zijn niet worden gestart.
    Startup Mode: Auto
    Run from: C:\WINDOWS\system32\svchost.exe -k netsvcs

    Name: wuauserv
    Description: Schakelt de mogelijkheid in om essentiële Windows-updates via Windows Update te downloaden en te installeren. Als deze services is uitgeschakeld, kan het besturingssysteem handmatig worden bijgewerkt via de website Windows Update.
    Startup Mode: Auto
    Run from: C:\WINDOWS\system32\svchost.exe -k netsvcs

    Name: WZCSVC
    Description: Configureert de 802.11-adapters automatisch.
    Startup Mode: Auto
    Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs


  • Misschien helpt het als ik een paar symptomen beschrijf:

    - Bij openen van Internet Explorer verschijnt meteen "about blank" als startpagina en wordt ik bestookt met waarschuwingen dat mijn computer besmet is.
    Terzelfdertijd krijg ik een pagina te zien met als titel: "Home Search": een lijst met tientallen adressen waarop je kunt klikken.
    Als ik dit alles weghaal kan ik redelijk goed verder.
    - Bij opzoeken via google wordt na het aanklikken van "search" de pagina na een paar seconden overgenomen door een andere "searchengine" met als titel: "searching the searchengine", met een aantal adressen zoals "anti-spyware software 2004", "dating", "play party poker", enz.
    Onderaan de lijst volgt een verwijzing naar het gevraagde onderwerp via msxml.info.com

    Helemaal onderaan tenslotte staat een "help" functie.
    Als ik erop klik verschijnt dit:

    About Us

    Our website is a search engine catering to a wide varity of groups. The goals of this site are to provide the most relevant content to any search. Our content is organized into categories accessible from our front page, and is as well searchable via keywords.



    How do I uninstall one of your software products?

    There are several methods available to you should you wish to uninstall any of our software products you had previously chosen to install:



    - You can go to your Start Menu–Control Panel, then choose the 'Add / Remove Programs' option. Depending on which version of the software you have installed locate ‘MSSearch’ or ‘Search Extender’ from the menu to run the uninstaller.



    Usually our product is distributed via adult web sites. Installation of this program is a kind of substitute of admisstion fee to the porn resources.

    If you never visited the websites of this kind, please check who could use your computer in your absence.



    We are always happy to receive feedback from our users. You can write to us here



    Best Regards and happy surfing!

    Paul Atrides.

    Support department.
  • Je hebt last van HomeSearch.

    Maar ik zie de service er niet tussen staan die daar verantwoordelijk voor is.
    Ik zet even een fix in elkaar voor je.
    Geef me nog een paar minuten…
  • Hallo paulII,

    Voor we starten even een vraag. Ben jezelf aan het proberen geweest om deze hijacker te fixen?
    Zo ja beschrijf even wat je gedaan hebt.

    Here we go…
    1. Kopieer onderstaande (quote) in een kladblokbestand en sla het op je bureaublad op als cwsuninst.reg.
    (Zorg dat bij Opslaan als type Alle bestanden geselecteerd is.)
    [quote:0b49a1723e]
    REGEDIT4


    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]


    [/quote:0b49a1723e]
    2. Download CWShredder.
    Unzip het maar gebruik het programma nog niet.

    3. Download About:buster. Unzip het naar c:\aboutbuster en controleer of er updates beschikbaar. Installeer deze.
    Gebruik het programma nog niet.

    4. Zorg dat alle verborgen bestanden weergegeven worden.

    5. Start de computer op in veilige modus

    6. Druk op CTRL+ALT+DEL om Windows Taakbeheer te openen. Ga naar het tabblad Processen en beëindig de volgende processen indien actief:
    jvfskw.exe
    sysfq.exe
    imsins.BAK:upsyh

    7. Sluit alle vensters, run HijackThis nog een keer en laat volgende items repareren:
    [b:0b49a1723e]
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wabmi.dll/sp.html#29836
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wabmi.dll/sp.html#29836
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wabmi.dll/sp.html#29836
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wabmi.dll/sp.html#29836
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wabmi.dll/sp.html#29836
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wabmi.dll/sp.html#29836

    R3 - Default URLSearchHook is missing

    O2 - BHO: (no name) - {B81CA0C4-1209-B883-8E93-5BE66A9C1710} - C:\WINDOWS\system32
    etqm.dll

    O4 - HKLM\..\Run: [zzzHPSETUP] E:\Setup.exe
    O4 - HKLM\..\Run: [ifvtfgyrfl] C:\WINDOWS\System32\jvfskw.exe
    O4 - HKLM\..\Run: [sysfq.exe] C:\WINDOWS\sysfq.exe
    O4 - HKLM\..\RunOnce: [upsyh] C:\WINDOWS\imsins.BAK:upsyh
    O4 - Startup: system[1].exe

    [/b:0b49a1723e]

    8. Dubbelklik nu op cwsuninst.reg om de wijzigingen aan het register toe te voegen.


    9. Verwijder de volgende bestanden:
    C:\WINDOWS\wabmi.dll <–dit bestand
    C:\WINDOWS\system32
    etqm.dll <–dit bestand
    C:\WINDOWS\System32\jvfskw.exe <–dit bestand
    C:\WINDOWS\sysfq.exe <–dit bestand
    system[1].exe <–dit bestand hernoem je naar system[1].111

    10. Maak je Temp-map leeg: Start - Uitvoeren tik in: %TEMP%. Selecteer alle bestanden en verwijder ze.

    11. Ledig de map met Tijdelijke internetbestanden: Ga naar Configuratiescherm - Internetopties - tabblad Algemeen - klik bij Tijdelijke internetbestanden op Bestanden Verwijderen.

    12. Herstel je webinstellingen: ga naar Configuratiescherm - Internetopties - tabblad Programma's. Klik op de knop Webinstellingen herstellen.

    13. Start CWShredder en klik op de fix-knop.

    14. Start About:buster. Scan een tweede keer met about:buster

    15. Reboot de computer nu in normale modus. Run Hijackthis opnieuw en post een nieuwe log.

  • Meldt waar het eventueel fout ging, of als bepaalde zaken niet lukten.
  • Oef, hier ben ik terug.

    (Het is dus blijkbaar gelukt !!!)
    Een paar zaken waren niet zo duidelijk: bvb.
    - punt 8
    - In de map "tijdelijke internetbestanden" bleken zich 2 verborgen mappen te bevinden die door aanklikken van ?? (weet ik al niet meer) in "Beeld" ook zouden moeten kunnen worden verwijderd. Dit lukte dus ook niet.
    Voor de rest bleek alles te werken… tot ik zopas voor de tweede keer I.E. opstartte - de spyware is er nog steeds :cry:

    Nog eventjes de hijack-log die ik meteen na het opstarten maakte.
    Daarna nog een na het terug verschijnen van de spyware.

    Logfile of HijackThis v1.98.2
    Scan saved at 23:46:28, on 9/09/2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\NavNT\defwatch.exe
    C:\Program Files\NavNT\rtvscan.exe
    C:\WINDOWS\System32
    vsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\NavNT\vptray.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Documents and Settings\paul\Menu Start\Programma's\Opstarten\system[1].exe
    C:\WINDOWS\System32\MsgSys.EXE
    C:\WINDOWS\System32\wuauclt.exe
    C:\Documents and Settings\paul\Bureaublad\HijackThis.exe

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - Startup: system[1].exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab


    Nieuwe log:

    Logfile of HijackThis v1.98.2
    Scan saved at 23:57:35, on 9/09/2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\NavNT\defwatch.exe
    C:\Program Files\NavNT\rtvscan.exe
    C:\WINDOWS\System32
    vsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\NavNT\vptray.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Documents and Settings\paul\Menu Start\Programma's\Opstarten\system[1].exe
    C:\WINDOWS\System32\MsgSys.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS
    tko.exe
    C:\WINDOWS\system32\atlpq32.exe
    C:\Documents and Settings\paul\Bureaublad\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\cpmyf.dll/sp.html#29836
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cpmyf.dll/sp.html#29836
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\cpmyf.dll/sp.html#29836
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\cpmyf.dll/sp.html#29836
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cpmyf.dll/sp.html#29836
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\cpmyf.dll/sp.html#29836
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {5C08210D-7F1B-7570-3DFD-9D61E8993802} - C:\WINDOWS\system32\iejf32.dll
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [atlpq32.exe] C:\WINDOWS\system32\atlpq32.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - Startup: system[1].exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O15 - Trusted Zone: *.05p.com
    O15 - Trusted Zone: *.blazefind.com
    O15 - Trusted Zone: *.clickspring.net
    O15 - Trusted Zone: *.flingstone.com
    O15 - Trusted Zone: *.mt-download.com
    O15 - Trusted Zone: *.my-internet.info
    O15 - Trusted Zone: *.scoobidoo.com
    O15 - Trusted Zone: *.searchbarcash.com
    O15 - Trusted Zone: *.searchmiracle.com
    O15 - Trusted Zone: *.slotch.com
    O15 - Trusted Zone: *.xxxtoolbar.com
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll (file missing)


    M@rc, je bent blijkbaar niet meer on line (heb ik alle begrip voor).
    Alvast hartelijk dank voor de hulp maar ik ben er blijkbaar nog niet uit…
    ik ga zelf ook maar wat slapen…


  • M@rc, bedoel je met "punt 8" (dubbelklik op cwsuninstall.reg) : gewoon 2x op icoon op bureaublad klikken waarna de wijzigingen automatisch aan het register worden toegevoegd ?

    De HijackThis-log ziet er nu heel anders uit dan vóór de opruiming.
    Ik blijf er voorlopig dan ook maar van af en wacht op assistentie…

    (alvast nogmaals bedankt !)
  • Homesearch is zo te zien weg, dit lijkt op about:blank in z'n uppie. (krijg je idd een witte pagina?)

    Edit: als je een about:blank (= lege witte) pagina krijgt, dowload dan even dit bestandje en pak hem uit op je bureaublad, run hem en windows.txt verschijnt, plak die in je volgende bericht. (waarschijnlijk heeft about nog een dll verstopt zitten waardoor hij terug komt)

    edit: @ Marc, is er niet een kans dat system[1].exe een virus is? Zoekresultaten op viruslist.com nog niet doorgespit maar zijn er genoeg. ( http://www.viruslist.com/eng/viruslistfind.html?findTxt=system[1].exe%20&findWhere=111&page=1 )

    Edit: @Marc alweer, ik zie nou dat je wil dat hij die file renamed, ik neem aan dat je dan twijfelt wat het is? (Zo ja, misschien levert het iets op om die file op kaspersky te checken?)
  • Hallo paulII,

    Logje ziet er inderdaad anders uit maar zeker nog niet goed.
    Bestandsnamen zijn gewijzigd.

    Wat me vooral opvalt is het bestand system[1].exe. Had je de file hernoemd zoals ik gevraagd had?
    Kan je me een nieuwe logje geven van get_active_services?

    Wat betreft de regfile: gewoon op dubbelklikken en bevestigen met ja om de wijzigingen in het register door te voeren. (nu niet meer doen - heeft geen nut)
    Ben je een beetje vertrouwd met werken in je register?


    groeten,
    Marc
  • [quote:1a823b1e1d="M@rc"]Hallo paulII,

    Logje ziet er inderdaad anders uit maar zeker nog niet goed.
    Bestandsnamen zijn gewijzigd.

    Wat me vooral opvalt is het bestand system[1].exe. Had je de file hernoemd zoals ik gevraagd had?
    Kan je me een nieuwe logje geven van get_active_services?

    Wat betreft de regfile: gewoon op dubbelklikken en bevestigen met ja om de wijzigingen in het register door te voeren. (nu niet meer doen - heeft geen nut)
    Ben je een beetje vertrouwd met werken in je register?


    groeten,
    Marc[/quote:1a823b1e1d]

    System[1].exe heb ik inderdaad hernoemd,
    "werken in register": ik weet dat er zoiets als een "register" bestaat, maar daar houdt het ook mee op….
    (als ik dat allemaal kon, had ik misschien wel geen beroep moeten doen op de specialisten van dit forum ;))

    En hier dan de recente "active service":

    These are the Current Active Services:

    REMOTE PROCEDURE CALL (RPC) HELPER: O?’ŽrtñåȲ$Ó
    C:\WINDOWS
    tko.exe /s

    WINDOWS AUDIO: AudioSrv
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COMPUTER BROWSER: Browser
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVICES VOOR CRYPTOGRAFIE: CryptSvc
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    DHCP CLIENT: Dhcp
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    LOGICAL DISK MANAGER: dmserver
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVICE VOOR HET RAPPORTEREN VAN FOUTEN: ERSvc
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COM+-GEBEURTENISSYSTEEM: EventSystem
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    COMPATIBILITEIT VOOR SNELLE GEBRUIKERSWISSELING: FastUserSwitchingCompatibility
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    HELP EN ONDERSTEUNING: helpsvc
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SERVER: lanmanserver
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    WORKSTATION: lanmanworkstation
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    MESSENGER: Messenger
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    NETWORK CONNECTIONS: Netman
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    NETWORK LOCATION AWARENESS (NLA): Nla
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    VERBINDINGSBEHEER VOOR RAS: RasMan
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TASK SCHEDULER: Schedule
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SECONDARY LOGON: seclogon
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SYSTEM EVENT NOTIFICATION: SENS
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    SHELL HARDWARE DETECTION: ShellHWDetection
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    SYSTEM RESTORE-SERVICE: srservice
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TELEPHONY: TapiSrv
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    TERMINAL SERVICES: TermService
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    THEMA'S: Themes
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    DISTRIBUTED LINK TRACKING CLIENT: TrkWks
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    UPLOADBEHEER: uploadmgr
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    WINDOWS TIME: W32Time
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    WINDOWS MANAGEMENT INSTRUMENTATION: winmgmt
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    AUTOMATISCHE UPDATES: wuauserv
    C:\WINDOWS\system32\svchost.exe -k netsvcs

    WIRELESS ZERO CONFIGURATION-SERVICE: WZCSVC
    C:\WINDOWS\System32\svchost.exe -k netsvcs

    DEFWATCH: DefWatch
    C:\Program Files\NavNT\defwatch.exe

    DNS CLIENT: Dnscache
    C:\WINDOWS\System32\svchost.exe -k NetworkService

    EVENT LOG: Eventlog
    C:\WINDOWS\system32\services.exe

    PLUG AND PLAY: PlugPlay
    C:\WINDOWS\system32\services.exe

    TCP/IP NETBIOS HELPER: LmHosts
    C:\WINDOWS\System32\svchost.exe -k LocalService

    REMOTE REGISTRY: RemoteRegistry
    C:\WINDOWS\system32\svchost.exe -k LocalService

    SSDP DISCOVERY-SERVICE: SSDPSRV
    C:\WINDOWS\System32\svchost.exe -k LocalService

    WEBCLIENT: WebClient
    C:\WINDOWS\System32\svchost.exe -k LocalService

    NORTON ANTIVIRUS CLIENT: Norton AntiVirus Server
    C:\Program Files\NavNT\rtvscan.exe

    NVIDIA DISPLAY DRIVER SERVICE: NVSvc
    C:\WINDOWS\System32
    vsvc32.exe

    IPSEC-SERVICES: PolicyAgent
    C:\WINDOWS\System32\lsass.exe

    PROTECTED STORAGE: ProtectedStorage
    C:\WINDOWS\system32\lsass.exe

    SECURITY ACCOUNTS MANAGER: SamSs
    C:\WINDOWS\system32\lsass.exe

    REMOTE PROCEDURE CALL (RPC): RpcSs
    C:\WINDOWS\system32\svchost -k rpcss

    PRINT SPOOLER: Spooler
    C:\WINDOWS\system32\spoolsv.exe

    WINDOWS IMAGE ACQUISITION (WIA): stisvc
    C:\WINDOWS\System32\svchost.exe -k imgsvc

    TRUEVECTOR INTERNET MONITOR: vsmon
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service

  • Hallo paulII,

    Laat de nieuwe hijackthislog ook maar komen.
    De service is nu wel actief.
    Nu kunnen we hem verwijderen.
    Kan je me het bestand active.txt ook mailen?
    mail maar naar mmm2uattelenet.be (at vervang je door @)
    De reden dat ik dit vraag is dat met kopiëren van active.txt in dit topic de naam van de service waarschijnlijk gewijzigd is…
    Ik wil dit even checken.

    Indien mogelijk blijf even online als het kan.
    groeten,
    Marc

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.