Vraag & Antwoord

Beveiliging & privacy

[HiJackThisLog] Kan spyware niet verwijderen.

3 antwoorden
  • Hallo mensen, Op de een of andere manier kan AdAware de ad/spyware op mijn comp niet verwijderen. Iedere keer blijven er objecten terugkomen.... Het gaat om ad's die steeds op blijven komen (zelfs als de browser niet gestart is..) Hieronder mijn HiJackThis log. Zou iemand mij kunnen wijzen op de punten die ik kan fixen? Ik durf het namelijk niet aan... Logfile of HijackThis v1.98.2 Scan saved at 10:49:36, on 2-2-2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Executive Software\Diskeeper\DkService.exe C:\Program Files\Network Associates\Common Framework\FrameworkService.exe C:\Program Files\Network Associates\VirusScan\Mcshield.exe C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\Tablet.exe C:\UGS180\plot\ugiipqd.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe C:\Program Files\Hewlett-Packard\hp LaserJet 1150_1300\SetConfig.exe C:\PROGRA~1\MAXTOR~1\Utils\OneTouch.exe C:\Program Files\Apoint2K\Apoint.exe C:\rraut.exe C:\Program Files\Apoint2K\Apntex.exe C:\Program Files\Apoint2K\HidFind.exe C:\WINDOWS\mmups.exe C:\WINDOWS\newpop446.exe C:\PROGRA~1\Toolbar\TBPS.exe C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\Utils\Wacom\TabUserW.exe C:\Program Files\WorkPace 3.0\WorkPace.exe C:\PROGRA~1\Toolbar\PIB.exe C:\Program Files\Common Files\WinTools\WSup.exe C:\WINDOWS\system32\userinit.exe c:\PROGRA~1\Toolbar\radio.exe C:\WINDOWS\system32\wuauclt.exe C:\hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50213 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50213 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50213 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.tue.nl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\PROGRA~1\Toolbar\toolbar.dll O2 - BHO: (no name) - {02DCA195-602B-4B1F-83FF-381B7E804BDB} - C:\WINDOWS\system32\HDBHO.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\PROGRA~1\Toolbar\toolbar.dll O2 - BHO: Popup Blocker Pro - {A44B961C-8C36-470f-8555-EDA0EFC1E710} - C:\Program Files\Utils\Internet\SafeGuard Pop-up Blocke\popupblocker.dll O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\PROGRA~1\Toolbar\toolbar.dll O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [HPLJ Config] C:\Program Files\Hewlett-Packard\hp LaserJet 1150_1300\SetConfig.exe -c Network -p HPLaserJet1300 -pn "HP LaserJet 1300 PCL 6" -n 0 -l 1033 -sl 120000 O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\MAXTOR~1\Utils\OneTouch.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\Utils\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe" O4 - HKLM\..\Run: [bluestart] C:\\rraut.exe O4 - HKLM\..\Run: [mediamotor.exe] C:\WINDOWS\mmups.exe O4 - HKLM\..\Run: [loads.exe] C:\WINDOWS\newpop446.exe O4 - HKLM\..\Run: [tzgqvgws] c:\windows\system32\tzgqvgws.exe O4 - HKLM\..\Run: [TBPS] C:\PROGRA~1\Toolbar\TBPS.exe O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: TabUserW.lnk = C:\Program Files\Utils\Wacom\TabUserW.exe O4 - Global Startup: Workpace.lnk = C:\Program Files\WorkPace 3.0\workpace.cmd O8 - Extra context menu item: Download All Files by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGetAll.htm O8 - Extra context menu item: Download by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGet.htm O8 - Extra context menu item: E&xport to Microsoft Excel - res://c:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\PROGRA~1\HIDOWN~1\hidownload.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O15 - Trusted Zone: *.media-motor.net O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = campus.tue.nl O17 - HKLM\Software\..\Telephony: DomainName = campus.tue.nl O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = campus.tue.nl O18 - Protocol: tpro - {FF76A5DA-6158-4439-99FF-EDC1B3FE100C} - C:\PROGRA~1\Toolbar\toolbar.dll Thanks! Jasper
  • 1. Kijk eens bij Add/Remove Programs. Waarschijnlijk zitten hier rare entries in met namen als 'Search Toolbar' en 'WinTools'. Verwijder deze. 2. Selecteer de volgende dingen in HijackThis en klik op "fix checked": O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file) O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe En alle 'C:\Progra~1\Toolbar\*' dingen Start de PC op in Safe Mode, en verwijder zowel C:\PROGRAM FILES\COMMON FILES\WinTools\ als C:\PROGRAM FILES\Toolbar\ 3. Gebruik niet alleen Ad-Aware. Als je ernaast ook Spybot gebruikt zit je al iets veiliger. Gebruik ook Immunize in Spybot (wel eerst updaten).
  • Zo simpel zal het niet gaan om de desbetreffende items te verwijderen, want deze worden ook als service gebruikt. Hoogstwaarschijnlijk kan je de 1.99-versie van hijackthis ook niet runnen omdat deze crasht op die services die hier in combinatie meekomen. Verder staat er nog veel meer in je log die helemaal niet thuishoort. Ok.. *Ga naar Start - Uitvoeren en typ "services.msc" (zonder "") en druk op Enter. Scroll naar beneden en kijk of de service "Wintools for IE Service" aanwezig is. Zo ja: Dubbelklik op de service, en klik in het venster wat dan verschijnt op de knop "Stoppen". Verander het opstarttype naar "Uitschakelen" Klik hierna op "Toepassen", en dan op "OK". Zoek daarna in diezelfde lijst naar "WebSeach Toolbar support NT service" en doe hetzelfde zoals hierboven. * Zorg ervoor dat je verborgen mappen en bestanden weergegeven zijn. [url=http://users.telenet.be/marcvn/spyware/1117602.htm]Hoe deze weer te geven.[/url] * Start hijackthis en vink volgende items aan: [b:12292154e3]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50213 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50213 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50213 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\PROGRA~1\Toolbar\toolbar.dll O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\PROGRA~1\Toolbar\toolbar.dll O2 - BHO: Popup Blocker Pro - {A44B961C-8C36-470f-8555-EDA0EFC1E710} - C:\Program Files\Utils\Internet\SafeGuard Pop-up Blocke\popupblocker.dll O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\PROGRA~1\Toolbar\toolbar.dll O4 - HKLM\..\Run: [bluestart] C:\\rraut.exe O4 - HKLM\..\Run: [mediamotor.exe] C:\WINDOWS\mmups.exe O4 - HKLM\..\Run: [loads.exe] C:\WINDOWS\newpop446.exe O4 - HKLM\..\Run: [tzgqvgws] c:\windows\system32\tzgqvgws.exe O4 - HKLM\..\Run: [TBPS] C:\PROGRA~1\Toolbar\TBPS.exe O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe O15 - Trusted Zone: *.media-motor.net[/b:12292154e3] * Sluit [b:12292154e3]alle[/b:12292154e3] open vensters behalve hijackthis en klik: Fix Checked. * Start nu je pc op in [b:12292154e3]VEILIGE MODE.[/b:12292154e3] [url=http://users.pandora.be/marcvn/spyware/1378056.htm]Hoe start ik in veilige mode op.[/url] * Zoek daarna via verkenner naar volgende mappen/bestanden en verwijder deze indien nog aanwezig: C:\rraut.exe C:\WINDOWS\mmups.exe C:\WINDOWS\newpop446.exe C:\PROGRAM FILES\Toolbar <==deze map C:\PROGRAM FILES\COMMON FILES\WinTools <==deze map C:\Program Files\Utils\Internet\SafeGuard Pop-up Blocke <==deze map c:\windows\system32\tzgqvgws.exe * Ga daarna naar start > uitvoeren en typ: [b:12292154e3]cleanmgr[/b:12292154e3] en klik op ok. Laat het je systeem scannen op bestanden die moeten verwijderd worden. Zorg er wel voor dat je daar enkel maar 'tijdelijke bestanden', 'tijdelijke internetbestanden' en 'prullenbak' staan aangevinkt. Klik daarna op ok. * Reboot je pc terug normaal. * Post een nieuw HijackThislogje ter controle. Doe dit met de 1.99-versie van hijackthis, want nu zal die wel werken. :wink:

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.