Vraag & Antwoord

Beveiliging & privacy

Nog meer spyware pest ellende..

10 antwoorden
  • Mijn zus heeft hier een netwerkje van 3 PCs, (98, ME en 2000), samen met de buren, waar de router staat en die zelf ook een paar PCs hebben staan. Iedere keer al ze IE openmaken dan staat er een startpagina die ze niet willen zien (C:\Program Files\PageOn1\Portal\portal.htm). Ik heb al ik weet niet hoeveel keer de startpagina ingesteld die ze wil hebben, maar deze blijft maar terugkomen. Ook heb ik al minstens 4 keer AdAware over iedere PC gedraaid, en iedere keer blijven er maar wie nieuwe Pests opduiken.. Ik word er een beetje wanhopig van... Hebben jullie suggesties? Marcel
  • Maak eens een HJT logje en lees de Spyware FAQ bovenaan dit subforum eens door. Veel succes.. :wink:
  • Hier is mijn HJT-log... Logfile of HijackThis v1.99.1 Scan saved at 13:27:47, on 28-2-2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\Program Files\AVPersonal\AVGUARD.EXE C:\Program Files\AVPersonal\AVWUPSRV.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\SOUNDMAN.EXE C:\Program Files\AVPersonal\AVGNT.EXE C:\WINNT\system32\adservernow.exe C:\WINNT\system32\rcron.exe C:\WINNT\system32\internat.exe C:\Program Files\IEEE 802.11b WLAN Utility(USB)\EnDisEU3.EXE C:\PROGRA~1\WINZIP\wzqkpick.exe C:\Program Files\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/PageOn1/Portal/portal.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freeler.nl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/PageOn1/Portal/portal.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door Freeler R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = engelberts R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\WINNT\system32\i2helper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3 O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Updater] C:\WINNT\system32\adservernow.exe O4 - HKLM\..\Run: [rCron] C:\WINNT\system32\rcron.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: EnDisEU3.lnk = C:\Program Files\IEEE 802.11b WLAN Utility(USB)\EnDisEU3.EXE O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=http://www.freeler.nl/ O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe Dank je wel... Marcel
  • Sluit alle open vensters. Fix deze met Hijackthis: O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\WINNT\system32\i2helper.dll Deïnstalleer AderverNow en Switch. Herstart de computer en maak een nieuwe Hijackthislog. Post deze.
  • Deze hardnekkige startpagina krijg ik ook steeds in Windows98 SE De antwoorden met logjes en de oplossing gaan mijn kennis te boven. Is er ook een oplossing die wat begrijpelijker is? Bijvoorbeeld in het register wat weg halen op zo? groet, Martin
  • Met Hijackthis verwijder je de bewuste registersleutels. Lijkt me iets makkelijker en veiliger dan zelf het register in te duiken. Als je last hebt van een Switch (Portal) variant zoals de topicstarter, kan je deze perfect deïnstalleren.
  • Sorry dat ik niet zo snel reageer, maar ik ben natuurlijk niet iedere dag bij mijn zus op bezoek :) Goed, ik de O2 - BHO... regel gefixt, en ook AdServerNow verwijderd. Switch kon ik niet vinden.. Dit is de nieuwe log (de vervelende portal-pagina blijft nog steeds terugkomen..) En bedankt! Marcel Logfile of HijackThis v1.99.1 Scan saved at 15:06:39, on 3-3-2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\Program Files\AVPersonal\AVGUARD.EXE C:\Program Files\AVPersonal\AVWUPSRV.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\SOUNDMAN.EXE C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe C:\Program Files\AVPersonal\AVGNT.EXE C:\WINNT\system32\dservice.exe C:\WINNT\system32\internat.exe C:\Program Files\IEEE 802.11b WLAN Utility(USB)\EnDisEU3.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/PageOn1/Portal/portal.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freeler.nl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/PageOn1/Portal/portal.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door Freeler R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = engelberts R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3 O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [rCron] C:\WINNT\system32\dservice.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: EnDisEU3.lnk = C:\Program Files\IEEE 802.11b WLAN Utility(USB)\EnDisEU3.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=http://www.freeler.nl/ O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
  • Heb alles wat met de pageon1 (portal) te maken heeft weggevinkt met Hijack, maar dat bleek niet voldoende. Het installeerde zich opnieuw Nu ook nog weggehaald in de windows/system map: adservenow.exe en deserve.exe of zoiets. en O2 BHO (zie boven) weggevinkt Het lijkt te werken.
  • Start de computer in [url=http://users.pandora.be/marcvn/spyware/1378056.htm]veilige modus[/url]. Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren: [b:34f4f7105c] R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/PageOn1/Portal/portal.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/PageOn1/Portal/portal.html O4 - HKLM\..\Run: [rCron] C:\WINNT\system32\dservice.exe [/b:34f4f7105c] Verwijder de volgende bestanden indien aanwezig: C:\WINNT\system32\dservice Verwijder de volgende mappen indien aanwezig: c:\program files\pageon1 Reboot de computer, run HijackThis opnieuw en post een nieuwe log. Let wel op dat de adservernow niet terug komt. edit: deze kan ook weg: C\winnt\system32\DummyX.dll
  • Niet deserve.exe naar dserve.exe moet je nog zien weg te halen. Ik zie dat die er bij jou nog bijstaat in je system32 map

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.