Vraag & Antwoord

Beveiliging & privacy

Help: vaag probleem.

20 antwoorden
  • Nou het is dus een vrij vaag probleem. Als je zeg maar een normale tekst hebt zitten er bij mij hyperlinks doorheen en dan niet zoals bij toptext of hoe dat heet (die nieuwe advertentiemethode) maar gewoon echte hyperlinks en dan nog van woorden waarvan je het niet zou verwachten. Vooral van het woord: 'van'. Dit zou random kunnen zijn dus dat het net bij mij het woord van is maar dat weet ik niet. In de statusbalk staat dan als ik over 'van' ga: "goto: van" Hopelijk heeft iemand een idee wat het zou kunnen zijn. Soms dan zie ik het ook bij andere woorden maar dat zou ook van de site zelf kunnen zijn omdat het soms logischer woorden zijn als spyware, computer, virus o.i.d. al staat er dan hetzelfde in de statusbalk: "goto: spyware" of "goto: computer" Als ik erop klik lijkt IE binnen de site naar dat woord te zoeken o.i.d. maar op een gegeven moment opent dan de site: http://www.artoffinding.com/top/uttop.php?qq=computer <--- of welke dan bij goto: stond. Net weer paar geprobeerd: http://www.improvedsearch.net/top/uttop.php?qq=virus De 2 sites hebben dezelfde lay-out dus ik neem aan dat het om een soort van searchbar-achtige variant gaat. In de Hijackthis-log heb ik gezocht maar vond niet echt wat relevants maar als het nodig is wil ik hem wel posten.
  • Het probleem is dus dat bij jou internetpagina's anders weer gegeven worden? Je ziet links tussen de tekst, die er bij andere die dezelfde pagina bekijkt niet staan? Begrijp ik het goed?
  • [quote:22421d5462="Harregarre"]De 2 sites hebben dezelfde lay-out dus ik neem aan dat het om een soort van searchbar-achtige variant gaat. In de Hijackthis-log heb ik gezocht maar vond niet echt wat relevants maar als het nodig is wil ik hem wel posten.[/quote:22421d5462]Het lijkt er toch op dat je browser gehijacked is, ik zou toch maar even dat log van HijackThis hier posten. vr.gr.smeenk :wink:
  • Thx, jah ik denk dat het inderdaad om een hijack gaat want er komen af en toe ook pop-ups en als je een willekeurig woord intikt in de Adresbalk dan gaat ie ook naar een of andere searchsite. Ik weet het eigenlijk 100% zeker nu want ik heb even Opera geïnstalleerd en daar geeft hij dit soort links niet weer. De Hijackthis log: Logfile of HijackThis v1.99.1 Scan saved at 12:58:02, on 9-6-2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Norton Personal Firewall\NISUM.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe C:\Program Files\Messenger Plus! 3\MsgPlus.exe C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\system32\iemb.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Valve\Steam\Steam.exe C:\WINDOWS\system32\sysrm.exe C:\Program Files\Norton Personal Firewall\ccPxySvc.exe C:\WINDOWS\runservice.exe C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Hijackthis\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O2 - BHO: Class - {C6A80F1C-5BB1-CC67-601F-59499EF2AC5B} - C:\WINDOWS\crmk.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\nl\msntb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Program Files\Corel\Corel Graphics 12\Languages\NL\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=061505 serial=xxxxxxxxxxxx-nfp lang=NL O4 - HKLM\..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exe O4 - HKLM\..\Run: [iemb.exe] C:\WINDOWS\system32\iemb.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Steam] C:\Program Files\Valve\Steam\Steam.exe -silent O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {4C0942C1-C405-4805-B3B6-EA16F2DDD1BD} (innova-Panorama-Viewer Object) - http://www.webplaner-innoplus.de/innova/pano/prog/HOL/rundum.6.5.0.11.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab32846.cab O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by21fd.bay21.hotmail.msn.com/activex/HMAtchmt.ocx O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\sysrm.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\ccPxySvc.exe O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\NISUM.EXE O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe Hopelijk zien jullie meer dan ik want ik zag er niet echt iets vaags in. Voorheen heb ik wel eens de die websearch-shit gehad en dat heb ik toen weggekregen door in Regedit te veranderen.
  • @ Harregarre: Check je PB
  • [quote:3b0049a715="NaMRorrIM"]@ Harregarre: Check je PB[/quote:3b0049a715]@ NaMRorrIM: Het is mij op deze wijze niet duidelijk of jullie oude bekenden zijn of dat je een oplossing voor de problemen van Harregarre hebt gepost, graag iets meer duidelijkheid hierover :wink: vr.gr.smeenk
  • Beste Smeenk, Een pb leek mij in deze de juiste beslissing. Er stond namelijk een serial vermeld en dat kan niet de bedoeling zijn dacht ik zo :wink: Ik wilde even geen slapende honden wakker maken door een reactie te geven in dit topic en heb hem dus eerst even een PB gestuurd. Mijn excuus voor de ontstane verwarring.
  • [quote:a8b9ce4e99="NaMRorrIM"]Beste Smeenk, Een pb leek mij in deze de juiste beslissing. Er stond namelijk een serial vermeld en dat kan niet de bedoeling zijn dacht ik zo :wink: Ik wilde even geen slapende honden wakker maken door een reactie te geven in dit topic en heb hem dus eerst even een PB gestuurd. Mijn excuus voor de ontstane verwarring.[/quote:a8b9ce4e99]OK :D Een hele juiste actie dus, bedankt voor het opletten :wink: vr.gr.smeenk
  • Nu ben ik er de persoon niet naar om met een ander zijn veren te gaan pronken, daarom wil er even aan toevoegen dat deze fix opgesteld is door [url=http://forum.computertotaal.nl/phpBB2/profile.php?mode=viewprofile&u=27898]steggel[/url] :wink: Download en installeer [url=http://www.ccleaner.com/]CCleaner[/url] Nog niet gebruiken. Download het bestand [url=http://users.pandora.be/marcvn/regfiles/HSfix.zip]HSfix.zip[/url]. Unzip het en plaats het op je bureaublad, zodat je dit later makkelijk kan terug vinden wanneer je het nodig hebt. Download [url=http://cwshredder.net/bin/CWShredder.exe]CWShredder[/url]. Plaats het bestand ergens waar je het makkelijk kan terug vinden, maar gebruik het nu nog niet. Download [url=http://www.majorgeeks.com/download4289.html]About:buster[/url]. Unzip het naar c:\aboutbuster en controleer of er updates beschikbaar zijn. Installeer deze. Gebruik het programma nog niet. Zorg dat [url=http://users.pandora.be/marcvn/spyware/1117602.htm]alle verborgen bestanden weergegeven worden[/url]. De reparatie moet worden uitgevoerd in VEILIGE mode. Start je PC op in [b:ec4d234245]VEILIGE mode[/b:ec4d234245]. Kijk [url=http://users.pandora.be/marcvn/spyware/1378056.htm]hier[/url] hoe dat moet. Start Hijackthis op en kies voor 'Do a system scan only' Selecteer alleen de items die hieronder zijn genoemd: [b:ec4d234245]R3 - Default URLSearchHook is missing O2 - BHO: Class - {C6A80F1C-5BB1-CC67-601F-59499EF2AC5B} - C:\WINDOWS\crmk.dll O4 - HKLM\..\Run: [iemb.exe] C:\WINDOWS\system32\iemb.exe O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\sysrm.exe [/b:ec4d234245]Klik op 'Fix checked' om de items te verwijderen Zorg dat de [url=http://users.pandora.be/marcvn/spyware/1117602.htm]besturingssysteembestanden en verborgen bestanden zichtbaar zijn[/url] De volgende directories/bestanden verwijderen:[b:ec4d234245] C:\WINDOWS\crmk.dll C:\WINDOWS\system32\iemb.exe C:\WINDOWS\system32\sysrm.exe [/b:ec4d234245] [b:ec4d234245]Doe nu nog de volgende acties:[/b:ec4d234245] Dubbelklik op [b:ec4d234245]HSfix.reg[/b:ec4d234245] om de wijzigingen aan het register toe te voegen. Start CCleaner Ccleaner biedt je de mogelijkheid om in te stellen wat er opgeschoond moet worden. Kies in ieder geval voor de volgende items: Internet Explorer: - Tijdelijke Internet bestanden Systeem: - Prullenbak leegmaken - Tijdelijke bestanden klik nu in Ccleaner op opschonen (rechts onderaan). Herstel je webinstellingen: ga naar Configuratiescherm – Internetopties – tabblad Programma’s. Klik op de knop Webinstellingen herstellen. Start CWShredder en klik op de fix-knop. Start About:buster. Wanneer het programma vraagt om een tweede keer te scannen doe je dit. Herstart de computer nu in normale mode. Doe daarna een online virusscan:[url=http://housecall.antivirus.com/]TrendMicro Housecall[/url] Vink het vakje met Auto Clean aan. Laat het volledig je systeem scannen (Dit zal een tijdje duren) Start Hijackthis opnieuw en post een nieuwe log en het log van AboutBuster. vr.gr.smeenk :wink:
  • Ik had al mijn bedenkingen bij iemb.exe omdat ik die al zag staan bij running processes in de taskbar, zeker omdat hij er niet als SYSTEM tussenstond maar goed ik ga het nu proberen. Thanks voor de snelle hulp in ieder geval en ook bedankt aan steggel... :wink: Hmm, ik heb alles gedaan maar krijg helaas de indruk dat het niet werkt of dat ik iets verkeerd doe. Log Hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 23:19:20, on 9-6-2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Norton Personal Firewall\NISUM.EXE C:\Program Files\Norton Personal Firewall\ccPxySvc.exe C:\WINDOWS\runservice.exe C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe C:\Program Files\Messenger Plus! 3\MsgPlus.exe C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\iTunes\iTunesHelper.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Valve\Steam\Steam.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\crfg.exe C:\WINDOWS\javazm.exe C:\Hijackthis\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Class - {286D2AA1-430A-856A-E962-15FBE7375841} - C:\WINDOWS\appfi32.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\nl\msntb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Program Files\Corel\Corel Graphics 12\Languages\NL\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=061505 serial=nietvooralleogen lang=NL O4 - HKLM\..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [javazm.exe] C:\WINDOWS\javazm.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Steam] C:\Program Files\Valve\Steam\Steam.exe -silent O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {4C0942C1-C405-4805-B3B6-EA16F2DDD1BD} (innova-Panorama-Viewer Object) - http://www.webplaner-innoplus.de/innova/pano/prog/HOL/rundum.6.5.0.11.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab32846.cab O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by21fd.bay21.hotmail.msn.com/activex/HMAtchmt.ocx O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\crfg.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\ccPxySvc.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\NISUM.EXE O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe Als ik hier zo boven kijk en naar degene die verwijderd hadden moeten zijn na de opdrachten is alleen iemb.exe echt weggebleven. sysrm.exe is wel weg maar nu zit dat workstationnetlogon service ding bij crfg.exe. :-? De R3 kon ik trouwens niet zien in Veilige Modus dus aanvinken daarvan ging nogal moeilijk. Het bestand crmk.dll was niet te vinden in de windows map dus die kon ik ook niet verwijderen. De aboutbuster-log: AboutBuster 5.0 reference file 28 Scan started on [9-6-2005] at [22:59:37] ------------------------------------------------ Removed Stream! C:\WINDOWS\{DF725F3E-663B-45F6-82D0-34920644BCA8}.dat:gvupkq Removed Stream! C:\WINDOWS\{DF725F3E-663B-45F6-82D0-34920644BCA8}.dat:lwameu Removed Stream! C:\WINDOWS\{DF725F3E-663B-45F6-82D0-34920644BCA8}.dat:rwxigd Removed Stream! C:\WINDOWS\{DF725F3E-663B-45F6-82D0-34920644BCA8}.dat:wydfbp ------------------------------------------------ Removed File! : C:\Windows\nduni.dat Removed File! : C:\Windows\System32\wkkje.dat ------------------------------------------------ Scan was COMPLETED SUCCESSFULLY at 23:00:22 Internet Explorer geeft aan dat er een fout is gemaakt in iexplore.exe als ik dat online virusscannen probeer te doen. Kan ik niet gewoon even Norton laten virusscannen? CWShredder vond helemaal niks by the way.
  • Ik heb de fix even iets aangepast, er zijn inderdaad enkele zaken veranderd. Gewoon alles even overnieuw doen.(downloaden hoeft dus niet meer :wink:) Sluit Internet Explorer en gebruik deze even niet meer, gebruik nu alleen je Opera browser(ik heb het vermoeden dat er meer aan de hand is en dat de infectie terug komt bij het gebruik van IE) Zorg dat [url=http://users.pandora.be/marcvn/spyware/1117602.htm]alle verborgen bestanden weergegeven worden[/url]. De reparatie moet worden uitgevoerd in VEILIGE mode. Start je PC op in [b:d4fc2db39f]VEILIGE mode[/b:d4fc2db39f]. Kijk [url=http://users.pandora.be/marcvn/spyware/1378056.htm]hier[/url] hoe dat moet. Start Hijackthis op en kies voor 'Do a system scan only' Selecteer alleen de items die hieronder zijn genoemd: [b:d4fc2db39f]R3 - Default URLSearchHook is missing O2 - BHO: Class - {286D2AA1-430A-856A-E962-15FBE7375841} - C:\WINDOWS\appfi32.dll O4 - HKLM\..\Run: [javazm.exe] C:\WINDOWS\javazm.exe O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\crfg.exe[/b:d4fc2db39f] Als je dit niet zelf ingesteld hebt dan kan je deze ook aanvinken: [b:d4fc2db39f]O4 - HKLM\..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exe[/b:d4fc2db39f] Sluit alle geopende vensters(behalve HijackThis) klik op 'Fix checked' om de items te verwijderen Zorg dat de [url=http://users.pandora.be/marcvn/spyware/1117602.htm]besturingssysteembestanden en verborgen bestanden zichtbaar zijn[/url] De volgende directories/bestanden verwijderen:[b:d4fc2db39f] C:\WINDOWS\appfi32.dll C:\WINDOWS\javazm.exe C:\WINDOWS\crfg.exe [/b:d4fc2db39f] [b:d4fc2db39f]Doe nu nog de volgende acties:[/b:d4fc2db39f] Dubbelklik op [b:d4fc2db39f]HSfix.reg[/b:d4fc2db39f] om de wijzigingen aan het register toe te voegen. Start CCleaner Ccleaner biedt je de mogelijkheid om in te stellen wat er opgeschoond moet worden. Kies in ieder geval voor de volgende items: Internet Explorer: - Tijdelijke Internet bestanden Systeem: - Prullenbak leegmaken - Tijdelijke bestanden klik nu in Ccleaner op opschonen (rechts onderaan). Herstel je webinstellingen: ga naar Configuratiescherm – Internetopties – tabblad Programma’s. Klik op de knop Webinstellingen herstellen. Start About:buster. Wanneer het programma vraagt om een tweede keer te scannen doe je dit. Herstart de computer nu in normale mode. Laat het volledige systeem scannen, gebruik hiervoor Norton(wel even eerst de laatste updates ophalen Probeer het volgende eens: Open een kladblokbestand. Plaats onderstaande code in dit kladblokbestand. Sla het op als look.bat Bij Opslaan als type zorg je dat er staat alle bestanden. dubbelklik op look.bat en er zal een bestandje open: look.txt Post de inhoud. [code:1:d4fc2db39f]regedit /e ok1.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe" regedit /e ok2.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe" copy ok1.txt+ok2.txt = look.txt del ok1.txt del ok2.txt notepad look.txt[/code:1:d4fc2db39f]Misschien levert dit iets op :roll: Start Hijackthis opnieuw en post een nieuwe log en het log van AboutBuster. vr.gr.smeenk :wink:
  • Bedankt voor snelle reactie, ik ga het meteen proberen. Dat vinkje voor beveiligde bestanden e.d. was ik idd vergeten. Hopelijk gaat het nu lukken. Oh en die bij 04 van iexplore.exe, dat is zeg maar dat Internet Explorer direct opent na het opstarten? Dat gebeurt namelijk sinds deze hijack dus ik neem aan dat dat ook een van de dingen is dus dat fix ik dan ook. Ohjah, gisteren toen kon ik in Veilige Modus dus niet R3 verwijderen omdat hij niet aangegeven stond. Heb het daarna in normale modus gedaan en toen lukte het dus wel. Ik weet niet of dat handig is. Misschien ligt het eraan dat ik Veilige Modus (zonder netwerkmogelijkheden) had gekozen.
  • Probeer eerst alles in veilige modus te doen, bij het zoeken van te verwijderen bestanden ook maar even kijken naar de bestanden uit de eerste fix die je niet kon vinden. Voer alles in één keer uit(belangrijk) Die regel van Internet Explorer vond ik inderdaad ook verdacht, deze hijack vertoont veel tekenen die wijzen op een variant van HomeSearch. Mogelijk is dit een nieuwe variant. vr.gr.smeenk :wink:
  • Op de een of andere manier lukt het maar niet om de met Hijack gemaakte veranderingen te behouden zeg maar. Hij starrte Iexplorer toch weer op aan het begin. Dat .bat werkt niet, denk dat de code niet klopt want hij maakt niet de bestanden ok1.txt en ok2.txt waardoor look.txt al helemaal niet gemaakt kan worden... :wink: Hier de Hijackthis-log atm: Logfile of HijackThis v1.99.1 Scan saved at 14:27:08, on 10-6-2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Norton Personal Firewall\NISUM.EXE C:\Program Files\Norton Personal Firewall\ccPxySvc.exe C:\WINDOWS\runservice.exe C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe C:\Program Files\Messenger Plus! 3\MsgPlus.exe C:\Program Files\iTunes\iTunesHelper.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Valve\Steam\Steam.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Hijackthis\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\nl\msntb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Program Files\Corel\Corel Graphics 12\Languages\NL\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=061505 serial=zoujewelwillenhebben lang=NL O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Steam] C:\Program Files\Valve\Steam\Steam.exe -silent O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {4C0942C1-C405-4805-B3B6-EA16F2DDD1BD} (innova-Panorama-Viewer Object) - http://www.webplaner-innoplus.de/innova/pano/prog/HOL/rundum.6.5.0.11.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab32846.cab O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by21fd.bay21.hotmail.msn.com/activex/HMAtchmt.ocx O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\ccPxySvc.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\NISUM.EXE O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe Hmm, lijkt wel of de dingen nu weg zijn uit de log, misschien heb ik zelf wel op internet explorer geklikt. Ik start m zo ff opnieuw op om het te checken. Het lijkt wel of het weer goed is trouwens... :D Startte net Internet Explorer en heb tot nu toe nog geen popups gehad en tevens zijn de onderstrepingen onder woorden weg en refered hij niet maar naar dubieuze sites als je een willekeurig woord intikt in de adresbalk. Thnx... :D :D smeenk is de man ole ole! :D :D
  • Het gaat blijkbaar de goede kant op :wink:[quote:cc3c2c3456="Harregarre"]Het lijkt wel of het weer goed is trouwens... :D Startte net Internet Explorer en heb tot nu toe nog geen popups gehad en tevens zijn de onderstrepingen onder woorden weg en refered hij niet maar naar dubieuze sites als je een willekeurig woord intikt in de adresbalk. Thnx... :D :D smeenk is de man ole ole! :D :D[/quote:cc3c2c3456]Ik begrijp je blijdschap, want problemen met je PC is altijd balen, maar nog eventjes dit doen, want deze staat er nog steeds: [b:cc3c2c3456]R3 - Default URLSearchHook is missing[/b:cc3c2c3456] Onderstaande regel is eigenlijk onnodig(controleert alleen maar of er updates voor Sun Java) [b:cc3c2c3456]O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe[/b:cc3c2c3456] Even fixen met HijackThis Heb je ook een antispyware prog op je PC? Zo ja, update deze dan en laat je systeem eens scannen. Zo nee, Scan de computer met een geupdate Ad-Aware SE. Instructies vind je [url=http://users.telenet.be/marcvn/spyware/1414188.htm]hier[/url]. Vermeld de resultaten van deze scan en post een nieuw log met HijackThis Je kan het volgende dan ook even doen: Copieer onderstaande code [code:1:cc3c2c3456]dir %Windir%\tasks\*.job /a:h > files.txt notepad files.txt[/code:1:cc3c2c3456] Plak de code in notepad en sla het bestand op je bureaublad als [b:cc3c2c3456]findjob.bat[/b:cc3c2c3456] Opslaan als type: [b:cc3c2c3456]Alle bestanden[/b:cc3c2c3456] start daarna het bestand findjob.bat. Er opent zich een kladblokbestand, post de inhoud van dit bestand Ik heb dat andere batch-bestand uit mijn vorige post ook even aangepast, dus dat mag je ook nog even proberen. vr.gr.smeenk :wink:
  • Ad-Aware laat ik meestal wel elke dag of om de paar dagen even scannen. En die R3 wil echt niet aangezien hij in Veilige Modus niet wordt gevonden. Dat ene snap ik trouwens niet, als ik die findjob.bat draai dan komt er dit uit: Het volume in station C heeft geen naam. Het volumenummer is 203B-4ACE Map van C:\WINDOWS\tasks _________________________________________ Je andere veranderde/verbeterde code doet nog steeds niks... Beetje vaag...
  • Fix die R3 in normale modus. Lukt het nog niet dan doe je dit: Open een klablokbestand. Kopieer onderstaande code in dit kladblokbestand. Ga naar Bestand - Opslaan als. Bij "Opslaan in" kies je: Bureaublad Bij "Bestandsnaam" zet je: fix.reg Bij "Opslaan als type" selecteer je: Alle bestanden (*.*). Klik op de knop Opslaan. [code:1:61fd19ed79]REGEDIT4 [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="" [/code:1:61fd19ed79] Dubbelklik op de fix.reg file en laat de wijzigingen aan het register toevoegen.
  • Inderdaad, zoals M@rc zegt, eerst de R3 in normale modus proberen te fixen :wink: [quote:7d5cbb3fbb="Harregarre"]Ad-Aware laat ik meestal wel elke dag of om de paar dagen even scannen. En die R3 wil echt niet aangezien hij in Veilige Modus niet wordt gevonden. Dat ene snap ik trouwens niet, als ik die findjob.bat draai dan komt er dit uit: Het volume in station C heeft geen naam. Het volumenummer is 203B-4ACE Map van C:\WINDOWS\tasks _________________________________________ Je andere veranderde/verbeterde code doet nog steeds niks... Beetje vaag...[/quote:7d5cbb3fbb]Ik zag dat je MessengerPlus gebruikte en wilde met Findjob.bat controleren of je dit programma ooit al eens met sponsors geïnstalleerd had(i.v.m. LOP), dit blijkt niet het geval. Het andere batje geeft geen resultaat simpelweg omdat die registersleutels niet in je register staan. Dat is goed, omdat die IE automatisch meestartte en die 023 terug kwam ondanks het gebruik van HSfix.reg wilde ik dat op deze wijze controleren omdat deze variant van HomeSearch behoorlijk afweek van andere die ik tot dusver gezien had :wink: Dat je regelmatig Ad-Aware gebruikt is ook een goede zaak, want deze ruimt ook behoorlijk veel op. Je schreef dat je Internet Explorer foutmeldingen gaf, controleer maar eens of dat nog steeds zo is. Mogelijk is ActiveX uitgeschakeld waardoor je geen onlinescan kan doen. Deze hijacker kan een aantal bestanden op je computer verwijderd hebben. Controleer of volgende bestanden nog aanwezig zijn: - Control.exe: Ga naar http://www.spywareinfo.com/~merijn/winfiles.html#control en download indien nodig de control.exe die bij je besturingssysteem hoort. Control.exe moet zich in de map c:\windows\system32 bevinden. - Hosts (zonder extensie): Hosts bevindt zich in \system32\drivers\etc\. Indien niet aanwezig, download je the Hoster: http://members.aol.com/toadbee/hoster.zip . Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af. - SDHelper.dll: Als je naast Ad-aware ook Spybot Search & Destroy gebruikt kan deze hijacker ook het bestand SDHelper.dll verwijderen. Download SDHelper.dll: http://www.spywareinfo.com/~merijn/winfiles.html#sdhelper. Plaats de file in de installatiemap van Spybot Search & Destroy. Meestal is dit C:\Program Files\Spybot - Search & Destroy. - Shell.dll: Controleer even via de verkenner of shell.dll in de system32-map staat. Indien het bestand ontbreekt, ga je naar System32\dllcache. Zoek Shell.dll, rechtsklik er op en kies voor kopiëren. Plaats het kopie in de system32-map. vr.gr.smeenk :wink:
  • Het bestand Hosts zie ik niet trouwens maar de download waar je naar verwees is corrupt, ik kan iig niet het rar-bestand openen.
  • Ik heb per ongeluk een oude link in het bericht gekopieerd. Deze werkt wel: http://www.funkytoad.com/download/hoster.zip Als je dit alles gedaan hebt doe dan het volgende: Schakel Systeemherstel uit. Herstart de computer. Schakel Systeemherstel weer in. [url=http://users.pandora.be/marcvn/spyware/1852808.htm]Systeemherstel uitschakelen[/url]. Ik denk dat we dan wel klaar zijn met het opschonen van je systeem :D Hier nog wat info over [url=http://users.pandora.be/marcvn/spyware/1564073.htm]hoe je een nieuwe infectie kan voorkomen[/url]. vr.gr.smeenk :wink:

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.