Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Nog meer spyware pest ellende..

mondeel
10 antwoorden
  • Mijn zus heeft hier een netwerkje van 3 PCs, (98, ME en 2000), samen met de buren, waar de router staat en die zelf ook een paar PCs hebben staan.
    Iedere keer al ze IE openmaken dan staat er een startpagina die ze niet willen zien (C:\Program Files\PageOn1\Portal\portal.htm). Ik heb al ik weet niet hoeveel keer de startpagina ingesteld die ze wil hebben, maar deze blijft maar terugkomen.
    Ook heb ik al minstens 4 keer AdAware over iedere PC gedraaid, en iedere keer blijven er maar wie nieuwe Pests opduiken.. Ik word er een beetje wanhopig van…
    Hebben jullie suggesties?

    Marcel
  • Maak eens een HJT logje en lees de Spyware FAQ bovenaan dit subforum eens door. Veel succes.. :wink:
  • Hier is mijn HJT-log…


    Logfile of HijackThis v1.99.1
    Scan saved at 13:27:47, on 28-2-2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\LEXBCES.EXE
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\system32\LEXPPS.EXE
    C:\Program Files\AVPersonal\AVGUARD.EXE
    C:\Program Files\AVPersonal\AVWUPSRV.EXE
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\SOUNDMAN.EXE
    C:\Program Files\AVPersonal\AVGNT.EXE
    C:\WINNT\system32\adservernow.exe
    C:\WINNT\system32\rcron.exe
    C:\WINNT\system32\internat.exe
    C:\Program Files\IEEE 802.11b WLAN Utility(USB)\EnDisEU3.EXE
    C:\PROGRA~1\WINZIP\wzqkpick.exe
    C:\Program Files\HiJackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/PageOn1/Portal/portal.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freeler.nl/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/PageOn1/Portal/portal.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door Freeler
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = engelberts
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\WINNT\system32\i2helper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
    O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3
    O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
    O4 - HKLM\..\Run: [Updater] C:\WINNT\system32\adservernow.exe
    O4 - HKLM\..\Run: [rCron] C:\WINNT\system32\rcron.exe
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - Global Startup: EnDisEU3.lnk = C:\Program Files\IEEE 802.11b WLAN Utility(USB)\EnDisEU3.EXE
    O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.freeler.nl/
    O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
    O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32
    wprovau.dll
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
    O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

    Dank je wel… Marcel
  • Sluit alle open vensters. Fix deze met Hijackthis:
    O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\WINNT\system32\i2helper.dll
    Deïnstalleer AderverNow en Switch. Herstart de computer en maak een nieuwe Hijackthislog.
    Post deze.
  • Deze hardnekkige startpagina krijg ik ook steeds in Windows98 SE
    De antwoorden met logjes en de oplossing gaan mijn kennis te boven.
    Is er ook een oplossing die wat begrijpelijker is?
    Bijvoorbeeld in het register wat weg halen op zo?

    groet,
    Martin
  • Met Hijackthis verwijder je de bewuste registersleutels.
    Lijkt me iets makkelijker en veiliger dan zelf het register in te duiken.
    Als je last hebt van een Switch (Portal) variant zoals de topicstarter, kan je deze perfect deïnstalleren.
  • Sorry dat ik niet zo snel reageer, maar ik ben natuurlijk niet iedere dag bij mijn zus op bezoek :)

    Goed, ik de O2 - BHO… regel gefixt, en ook AdServerNow verwijderd.
    Switch kon ik niet vinden..

    Dit is de nieuwe log (de vervelende portal-pagina blijft nog steeds terugkomen..)
    En bedankt!
    Marcel

    Logfile of HijackThis v1.99.1
    Scan saved at 15:06:39, on 3-3-2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\LEXBCES.EXE
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\system32\LEXPPS.EXE
    C:\Program Files\AVPersonal\AVGUARD.EXE
    C:\Program Files\AVPersonal\AVWUPSRV.EXE
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\SOUNDMAN.EXE
    C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
    C:\Program Files\AVPersonal\AVGNT.EXE
    C:\WINNT\system32\dservice.exe
    C:\WINNT\system32\internat.exe
    C:\Program Files\IEEE 802.11b WLAN Utility(USB)\EnDisEU3.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\HiJackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/PageOn1/Portal/portal.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freeler.nl/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/PageOn1/Portal/portal.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door Freeler
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = engelberts
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
    O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3
    O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
    O4 - HKLM\..\Run: [rCron] C:\WINNT\system32\dservice.exe
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - Global Startup: EnDisEU3.lnk = C:\Program Files\IEEE 802.11b WLAN Utility(USB)\EnDisEU3.EXE
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.freeler.nl/
    O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
    O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32
    wprovau.dll
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
    O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
  • Heb alles wat met de pageon1 (portal) te maken heeft weggevinkt met Hijack,
    maar dat bleek niet voldoende.
    Het installeerde zich opnieuw
    Nu ook nog weggehaald in de windows/system map: adservenow.exe en deserve.exe of zoiets. en O2 BHO (zie boven) weggevinkt

    Het lijkt te werken.
  • Start de computer in veilige modus.

    Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren:
    [b:34f4f7105c]
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/PageOn1/Portal/portal.html

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/PageOn1/Portal/portal.html

    O4 - HKLM\..\Run: [rCron] C:\WINNT\system32\dservice.exe
    [/b:34f4f7105c]

    Verwijder de volgende bestanden indien aanwezig:
    C:\WINNT\system32\dservice

    Verwijder de volgende mappen indien aanwezig:
    c:\program files\pageon1

    Reboot de computer, run HijackThis opnieuw en post een nieuwe log.

    Let wel op dat de adservernow niet terug komt.


    edit: deze kan ook weg: C\winnt\system32\DummyX.dll
  • Niet deserve.exe naar dserve.exe moet je nog zien weg te halen.
    Ik zie dat die er bij jou nog bijstaat in je system32 map

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.