Vraag & Antwoord

Beveiliging & privacy

Startpagina wil steeds veranderen. Wie wil log bekijken?

11 antwoorden
  • Ik zit hier bij een vriend die last heeft van een startpagina die steeds wil veranderen maar gelukkig door Spywareguard wordt tegen gehouden. Ik kom een paar vreemde dingen tegen in de log die ik niet ken maar wil toch graag dat een expert zijn licht er even over laat schijnen. Bij voorbaat mijn dank. Logfile of HijackThis v1.99.0 Scan saved at 14:17:22, on 24-1-2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Winamp\winampa.exe C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe C:\WINDOWS\System32\CTFMONSS.EXE C:\WINDOWS\System32\CSRSSW.EXE C:\Program Files\Network Associates\VirusScan\avsynmgr.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe D:\Internet Tools\SpywareGuard\sgmain.exe D:\Internet Tools\SpywareGuard\sgbhp.exe C:\Program Files\Network Associates\VirusScan\VsStat.exe C:\Program Files\Network Associates\VirusScan\Vshwin32.exe C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\Program Files\Common Files\Network Associates\McShield\mcshield.exe C:\Program Files\Network Associates\VirusScan\Webscanx.exe C:\Program Files\Network Associates\VirusScan\Avconsol.exe C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe C:\Program Files\totalcmd\TOTALCMD.EXE C:\WINDOWS\System32\wuauclt.exe d:\Internet Tools\Hijack This\HijackThis.exe C:\Program Files\Common Files\Network Associates\McUpdate\MCUPDATE.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.arnhem.chello.nl:8080 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - D:\Internet Tools\SpywareGuard\dlprotect.dll O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINDOWS\wtlbass32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [CTFMONSS] C:\WINDOWS\System32\CTFMONSS.EXE O4 - HKCU\..\Run: [CSRSSW] C:\WINDOWS\System32\CSRSSW.EXE O4 - Startup: SpywareGuard.lnk = D:\Internet Tools\SpywareGuard\sgmain.exe O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O17 - HKLM\System\CCS\Services\Tcpip\..\{66B3C87C-2074-43B4-BE27-CEA747209C56}: NameServer = 212.142.28.66,212.142.28.130 O23 - Service: AVSync Manager - Unknown - C:\Program Files\Network Associates\VirusScan\avsynmgr.exe O23 - Service: McShield - Unknown - C:\Program Files\Common Files\Network Associates\McShield\mcshield.exe
  • Zorg dat alle [url=http://users.pandora.be/marcvn/spyware/1117602.htm]verborgen bestanden weergegeven worden[/url]. Start de computer in [url=http://users.pandora.be/marcvn/spyware/1378056.htm]veilige modus[/url]. Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren: [b:204f461d93] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINDOWS\wtlbass32.dll O4 - HKCU\..\Run: [CTFMONSS] C:\WINDOWS\System32\CTFMONSS.EXE O4 - HKCU\..\Run: [CSRSSW] C:\WINDOWS\System32\CSRSSW.EXE [/b:204f461d93] Verwijder de volgende bestanden indien aanwezig: C:\WINDOWS\System32\CTFMONSS.EXE C:\WINDOWS\System32\CSRSSW.EXE Reboot de computer, run HijackThis opnieuw en post een nieuwe log. Hoe is de situatie nu?
  • Hoi Marc, ik was al een beetje aan het stoeien geweest en heb hetgeen je aangaf verwijdert. Volgens mij is het OK. Wil je nog even kijken? Mijn hartelijke dank. Groetjes, Gerard. Logfile of HijackThis v1.99.0 Scan saved at 17:06:38, on 24-1-2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Winamp\winampa.exe C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe D:\Internet Tools\SpywareGuard\sgmain.exe C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe D:\Internet Tools\SpywareGuard\sgbhp.exe C:\Program Files\Network Associates\VirusScan\avsynmgr.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe C:\Program Files\Network Associates\VirusScan\VsStat.exe C:\Program Files\Network Associates\VirusScan\Vshwin32.exe C:\Program Files\Common Files\Network Associates\McShield\mcshield.exe C:\Program Files\Network Associates\VirusScan\Avconsol.exe C:\Program Files\Network Associates\VirusScan\Webscanx.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\wuauclt.exe C:\Program Files\totalcmd\TOTALCMD.EXE D:\Internet Tools\Hijack This\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.arnhem.chello.nl:8080 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - D:\Internet Tools\SpywareGuard\dlprotect.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: SpywareGuard.lnk = D:\Internet Tools\SpywareGuard\sgmain.exe O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{66B3C87C-2074-43B4-BE27-CEA747209C56}: NameServer = 212.142.28.66,212.142.28.130 O23 - Service: AVSync Manager - Unknown - C:\Program Files\Network Associates\VirusScan\avsynmgr.exe O23 - Service: McShield - Unknown - C:\Program Files\Common Files\Network Associates\McShield\mcshield.exe
  • Welke startpagina kreeg je ? Deze soms [http://www.supersearchs.com]? Deze zou ik nog fixen: [b:f1f72cd871] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home [/b:f1f72cd871]
  • Nee, ik kreeg de pagina: default. Die 02 default krijg ik niet weg, ook niet in veilige modus. Enig idee?
  • in veilige modus doe je het volgende: Maak je Temp-map leeg: Start - Uitvoeren tik in: %TEMP%. Selecteer alle bestanden in deze map en verwijder ze. Ledig de map met tijdelijke internetbestanden: Configuratiescherm - Internetopties - tabblad Algemeen - klik bij Tijdelijke internetbestanden op Bestanden Verwijderen. Maak je Prullenbak leeg. Herstel je webinstellingen: ga naar Configuratiescherm – Internetopties – tabblad Programma’s. Klik op de knop Webinstellingen herstellen. Reboot de computer in normale modus en post een nieuwe hijackthislog. Je geeft spywareguard toch toestemming om dit te wijzigen?
  • Ik heb alle handelingen gedaan maar krijg default.home niet weg. Ik heb trouwens Spywareguard geen toestemming gegeven om het aan te passen. Ik klik steeds op: restore old value. Edit: Als ik ij HijackThis de 02 wil verwijderen komt Spywareguard in beeld met de melding: changed from http://default.home to about:blank. Moet ik dan soms toestemming geven?
  • Inderdaad. Je moet toestemming geven. Fix het items met default.home. Geef toestemming om te wijzigen. (keep new value) Herstart de computer. Maak een nieuwe log post deze.
  • Ik ben inmiddels weer thuis dus kan er momenteel niets meer aan veranderen. Kan het trouwens veel kwaad als die bewuste regel blijft staan? Toen ik weg ging functioneerde alles goed volgens mij. Alleen als ik probeerde die regel te verwijderen kwam Spywareguard weer in actie. Dus als het verder geen kwaad kan laat ik het voorlopig zo, anders moet ik binnenkort even terug om het af te maken. Alvast bedankt voor je reactie.
  • Best dat je hem laat fixen.
  • Ok, bedankt. Ga ik binnenkort doen. Mocht ik nog tegen probleempjes oplopen dan meld ik mij terug en anders: geen bericht, goed bericht.

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.