Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

[HiJackThisLog] Kan spyware niet verwijderen.

Anoniem
None
3 antwoorden
  • Hallo mensen,

    Op de een of andere manier kan AdAware de ad/spyware op mijn comp niet verwijderen. Iedere keer blijven er objecten terugkomen…. Het gaat om ad's die steeds op blijven komen (zelfs als de browser niet gestart is..)

    Hieronder mijn HiJackThis log. Zou iemand mij kunnen wijzen op de punten die ik kan fixen? Ik durf het namelijk niet aan…

    Logfile of HijackThis v1.98.2
    Scan saved at 10:49:36, on 2-2-2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Executive Software\Diskeeper\DkService.exe
    C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\Tablet.exe
    C:\UGS180\plot\ugiipqd.exe
    C:\WINDOWS\System32\MsPMSPSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
    C:\Program Files\Hewlett-Packard\hp LaserJet 1150_1300\SetConfig.exe
    C:\PROGRA~1\MAXTOR~1\Utils\OneTouch.exe
    C:\Program Files\Apoint2K\Apoint.exe
    C:\rraut.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\Program Files\Apoint2K\HidFind.exe
    C:\WINDOWS\mmups.exe
    C:\WINDOWS
    ewpop446.exe
    C:\PROGRA~1\Toolbar\TBPS.exe
    C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Utils\Wacom\TabUserW.exe
    C:\Program Files\WorkPace 3.0\WorkPace.exe
    C:\PROGRA~1\Toolbar\PIB.exe
    C:\Program Files\Common Files\WinTools\WSup.exe
    C:\WINDOWS\system32\userinit.exe
    c:\PROGRA~1\Toolbar\radio.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\hijack\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50213
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50213
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50213
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.tue.nl/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\PROGRA~1\Toolbar\toolbar.dll
    O2 - BHO: (no name) - {02DCA195-602B-4B1F-83FF-381B7E804BDB} - C:\WINDOWS\system32\HDBHO.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
    O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\PROGRA~1\Toolbar\toolbar.dll
    O2 - BHO: Popup Blocker Pro - {A44B961C-8C36-470f-8555-EDA0EFC1E710} - C:\Program Files\Utils\Internet\SafeGuard Pop-up Blocke\popupblocker.dll
    O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\PROGRA~1\Toolbar\toolbar.dll
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
    O4 - HKLM\..\Run: [HPLJ Config] C:\Program Files\Hewlett-Packard\hp LaserJet 1150_1300\SetConfig.exe -c Network -p HPLaserJet1300 -pn "HP LaserJet 1300 PCL 6" -n 0 -l 1033 -sl 120000
    O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\MAXTOR~1\Utils\OneTouch.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\Utils\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
    O4 - HKLM\..\Run: [bluestart] C:\\rraut.exe
    O4 - HKLM\..\Run: [mediamotor.exe] C:\WINDOWS\mmups.exe
    O4 - HKLM\..\Run: [loads.exe] C:\WINDOWS
    ewpop446.exe
    O4 - HKLM\..\Run: [tzgqvgws] c:\windows\system32\tzgqvgws.exe
    O4 - HKLM\..\Run: [TBPS] C:\PROGRA~1\Toolbar\TBPS.exe
    O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: TabUserW.lnk = C:\Program Files\Utils\Wacom\TabUserW.exe
    O4 - Global Startup: Workpace.lnk = C:\Program Files\WorkPace 3.0\workpace.cmd
    O8 - Extra context menu item: Download All Files by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGetAll.htm
    O8 - Extra context menu item: Download by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGet.htm
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://c:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\PROGRA~1\HIDOWN~1\hidownload.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O15 - Trusted Zone: *.media-motor.net
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = campus.tue.nl
    O17 - HKLM\Software\..\Telephony: DomainName = campus.tue.nl
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = campus.tue.nl
    O18 - Protocol: tpro - {FF76A5DA-6158-4439-99FF-EDC1B3FE100C} - C:\PROGRA~1\Toolbar\toolbar.dll



    Thanks!
    Jasper

  • 1. Kijk eens bij Add/Remove Programs. Waarschijnlijk zitten hier rare entries in met namen als 'Search Toolbar' en 'WinTools'. Verwijder deze.

    2. Selecteer de volgende dingen in HijackThis en klik op "fix checked":

    O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
    O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
    O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe
    En alle 'C:\Progra~1\Toolbar\*' dingen

    Start de PC op in Safe Mode, en verwijder zowel C:\PROGRAM FILES\COMMON FILES\WinTools\ als C:\PROGRAM FILES\Toolbar\

    3. Gebruik niet alleen Ad-Aware. Als je ernaast ook Spybot gebruikt zit je al iets veiliger. Gebruik ook Immunize in Spybot (wel eerst updaten).
  • Zo simpel zal het niet gaan om de desbetreffende items te verwijderen, want deze worden ook als service gebruikt.
    Hoogstwaarschijnlijk kan je de 1.99-versie van hijackthis ook niet runnen omdat deze crasht op die services die hier in combinatie meekomen.
    Verder staat er nog veel meer in je log die helemaal niet thuishoort.

    Ok..

    *Ga naar Start - Uitvoeren en typ "services.msc" (zonder "") en druk op Enter.
    Scroll naar beneden en kijk of de service "Wintools for IE Service" aanwezig is. Zo ja:
    Dubbelklik op de service, en klik in het venster wat dan verschijnt op de knop "Stoppen". Verander het opstarttype naar "Uitschakelen"
    Klik hierna op "Toepassen", en dan op "OK".

    Zoek daarna in diezelfde lijst naar "WebSeach Toolbar support NT service" en doe hetzelfde zoals hierboven.

    * Zorg ervoor dat je verborgen mappen en bestanden weergegeven zijn. Hoe deze weer te geven.

    * Start hijackthis en vink volgende items aan:

    [b:12292154e3]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50213
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50213
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50213
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
    R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\PROGRA~1\Toolbar\toolbar.dll
    O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
    O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\PROGRA~1\Toolbar\toolbar.dll
    O2 - BHO: Popup Blocker Pro - {A44B961C-8C36-470f-8555-EDA0EFC1E710} - C:\Program Files\Utils\Internet\SafeGuard Pop-up Blocke\popupblocker.dll
    O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\PROGRA~1\Toolbar\toolbar.dll
    O4 - HKLM\..\Run: [bluestart] C:\\rraut.exe
    O4 - HKLM\..\Run: [mediamotor.exe] C:\WINDOWS\mmups.exe
    O4 - HKLM\..\Run: [loads.exe] C:\WINDOWS
    ewpop446.exe
    O4 - HKLM\..\Run: [tzgqvgws] c:\windows\system32\tzgqvgws.exe
    O4 - HKLM\..\Run: [TBPS] C:\PROGRA~1\Toolbar\TBPS.exe
    O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe
    O15 - Trusted Zone: *.media-motor.net[/b:12292154e3]

    * Sluit [b:12292154e3]alle[/b:12292154e3] open vensters behalve hijackthis en klik: Fix Checked.

    * Start nu je pc op in [b:12292154e3]VEILIGE MODE.[/b:12292154e3] Hoe start ik in veilige mode op.

    * Zoek daarna via verkenner naar volgende mappen/bestanden en verwijder deze indien nog aanwezig:

    C:\rraut.exe
    C:\WINDOWS\mmups.exe
    C:\WINDOWS
    ewpop446.exe
    C:\PROGRAM FILES\Toolbar <==deze map
    C:\PROGRAM FILES\COMMON FILES\WinTools <==deze map
    C:\Program Files\Utils\Internet\SafeGuard Pop-up Blocke <==deze map
    c:\windows\system32\tzgqvgws.exe

    * Ga daarna naar start > uitvoeren en typ: [b:12292154e3]cleanmgr[/b:12292154e3] en klik op ok.
    Laat het je systeem scannen op bestanden die moeten verwijderd worden.
    Zorg er wel voor dat je daar enkel maar 'tijdelijke bestanden', 'tijdelijke internetbestanden' en 'prullenbak' staan aangevinkt.
    Klik daarna op ok.

    * Reboot je pc terug normaal.

    * Post een nieuw HijackThislogje ter controle. Doe dit met de 1.99-versie van hijackthis, want nu zal die wel werken. :wink:

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.