Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Extreem hardnekkige spyware

None
9 antwoorden
  • Ik heb heel veel spyware etc ineens. lees er meer over in de andere topic: hier DIT IS GEEN DUBBELPOSTING! (het werd me opgedragen door Tomtom137, ivm het feit dat ik het in het verkeerde forum had gepost)

    Mijn probleem staat dus in die topic. Verder, is het nu ook nog zo dat ik inees een virusscanner genaamd Spywarequake geinstalleerd had :-? Deze heb ik via 'software' kunnen verwijderen, resterende delen in program files heb ik ook verwijderd.

    Ik moest een hijackthis logje doen: hier is ie dan!
    [code:1:25efb6e9aa]Logfile of HijackThis v1.99.1
    Scan saved at 15:08:03, on 16-6-2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\atmclk.exe
    C:\WINDOWS\system32\dcomcfg.exe
    C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\Program Files\Logitech\MouseWare\system\em_exec.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.40607\aspnet_admin.exe
    C:\WINDOWS\ATKKBService.exe
    C:\WINDOWS\system32\CTsvcCDA.exe
    C:\WINDOWS\system32
    vsvc32.exe
    C:\Program Files\CyberLink\Shared files\RichVideo.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Documents and Settings\Yoeri\Bureaublad\HijackThis.exe
    C:\WINDOWS\system32\wuauclt.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\system32\hp100.tmp
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
    O4 - HKCU\..\Run: [Creative Detector] "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R
    O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
    O4 - HKCU\..\Run: [USDownloader] "E:\Setups\USDownloader\USDownloader.exe"
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dll
    O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dll
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Xstream Radio - {7A0815F1-6B65-4e3a-B198-709807B4042A} - C:\Program Files\XstreamRadio 3.02\RadioHelper.dll
    O9 - Extra 'Tools' menuitem: Xstream Radio - {7A0815F1-6B65-4e3a-B198-709807B4042A} - C:\Program Files\XstreamRadio 3.02\RadioHelper.dll
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Kaspersky Anti-Virus Service (kavsvc) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
    vsvc32.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

    [/code:1:25efb6e9aa]

    USdownloader.exe staat er bewust bij, dat is niets van spyware…

    Verder, kreeg ik zojuist een waarschuwing van mijn virusscanner Kaspersky, dat hij het een en ander aan gevaarlijke dingen had gevonden. Dit lijkt mij juist niet gevaarlijk, het gaat namelijk om 'winlogon.exe', verder zijn er nog wel 2 trojan downloaders!!!

    Zie screenshot:
    [img:25efb6e9aa]http://img227.imageshack.us/img227/9273/kaspersky1zu.th.jpg[/img:25efb6e9aa]


    Hopelijk kunnen jullie me helpen, want hier word ik gek van!

  • ik heb ondertussen gescand met Spybot S&D, CWschredder, Ad-aware en mijn virusscanner. Spybot S&D heeft heel veel problemen verholpen, alles is verwijderd.

    Er is nu nog 1 dingetje die steeds weer omhoog komt. 'Virus Alert!' dit is een icoontje in mijn taakbalk. Heeft iemand nog een ideee?
  • momentje


    [b:f01d562cc1]PartyGaming[/b:f01d562cc1] << gebruik jij dit????????????
  • Eerst maar eens kijken wat het precies is.

    Post #1

    Download SmitfraudFix (van[b:73822b7386]S!Ri[/b:73822b7386]), en pak het uit op je bureaublad.

    * Open de [b:73822b7386]SmitfraudFix[/b:73822b7386] map en dubbelklik op [b:73822b7386]smitfraudfix.cmd[/b:73822b7386]
    * Kies optie #1 - [b:73822b7386]Search[/b:73822b7386] door[b:73822b7386]1[/b:73822b7386] te typen, en druk op "[b:73822b7386]Enter[/b:73822b7386]";

    [i:73822b7386]Er zal een tekstbestandje openen. [/i:73822b7386]
    * Plaats de inhoud van dat tekstbestandje in je volgende antwoord.

    Succes
  • SmitFraudFix v2.61

    Scan done at 16:11:32,20, vr 16-06-2006
    Run from C:\Documents and Settings\Yoeri\Bureaublad\SmitfraudFix
    OS: Microsoft Windows XP [versie 5.1.2600] - Windows_NT
    Fix ran in normal mode

    »»»»»»»»»»»»»»»»»»»»»»»» C:\


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    C:\WINDOWS\system32\atmclk.exe FOUND !
    C:\WINDOWS\system32\dcomcfg.exe FOUND !
    C:\WINDOWS\system32\hp???.tmp FOUND !
    C:\WINDOWS\system32\hp????.tmp FOUND !
    C:\WINDOWS\system32\ld????.tmp FOUND !
    C:\WINDOWS\system32\ot.ico FOUND !
    C:\WINDOWS\system32\simpole.tlb FOUND !
    C:\WINDOWS\system32\stdole3.tlb FOUND !
    C:\WINDOWS\system32\1024\ FOUND !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Yoeri\Application Data


    »»»»»»»»»»»»»»»»»»»»»»»» Start Menu


    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Yoeri\FAVORI~1

    C:\DOCUME~1\Yoeri\FAVORI~1\Antivirus Test Online.url FOUND !

    »»»»»»»»»»»»»»»»»»»»»»»» Desktop


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


    »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


    »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Mijn huidige introductiepagina"


    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, following keys are not inevitably infected!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{ed39ecef-902e-4ed1-8434-71e8db89e5ca}"="decorin"

    [HKEY_CLASSES_ROOT\CLSID\{ed39ecef-902e-4ed1-8434-71e8db89e5ca}\InProcServer32]
    @="C:\WINDOWS\system32\oybgrql.dll"

    [HKEY_CURRENT_USER\Software\Classes\CLSID\{ed39ecef-902e-4ed1-8434-71e8db89e5ca}\InProcServer32]
    @="C:\WINDOWS\system32\oybgrql.dll"


    »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


    »»»»»»»»»»»»»»»»»»»»»»»» End
  • Niks weg , erg aanwezig.

    Doe onderstaande.



    Post #2 - Clean

    * Print onderstaande instrukties uit of kopieer ze naar een .txt bestand.
    Dit, omdat de rest van de fix in veilige modus is en je hier dus niet meer kan terugzoeken.

    * Start op in

    * Open de map [b:6a611545f7]smitfraudfix[/b:6a611545f7] en dubbelklik op [b:6a611545f7]smitfraudfix.cmd[/b:6a611545f7]
    * Kies optie #2 - [b:6a611545f7]Clean[/b:6a611545f7] door[b:6a611545f7]2[/b:6a611545f7] te typen, en druk op "[b:6a611545f7]Enter[/b:6a611545f7]" om de
    geïnfecteerde bestanden te verwijderen.

    [i:6a611545f7]Je zal een vraag krijgen: ""Registry cleaning - Do you want to clean the registry ?"[/i:6a611545f7]
    * Antwoord "yes" door [b:6a611545f7]y[/b:6a611545f7] te typen en druk op "Enter".
    (Als je pc daarna niet herstart, start hem dan handmatig terug op in normale modus)

    [i:6a611545f7]Het tooltje zal nu onderzoeken of [b:6a611545f7]wininet.dll[/b:6a611545f7] geïnfecteerd is. Je kan dus de vraag krijgen of je
    het geïnfecteerde bestandje wil vervangen.[/i:6a611545f7]
    *Antwoord dan "yes" door [b:6a611545f7]y[/b:6a611545f7] te typen en druk op "Enter".

    [i:6a611545f7]Het kan zijn dat het tooltje je pc opnieuw laat opstarten om zijn werk te kunnen afmaken.[/i:6a611545f7]
    * Als dat niet zo is, start je pc dan handmatig opnieuw op in normale modus.

    [i:6a611545f7]Er zal een tekstbestandje openen met de resultaten van de fix. [/i:6a611545f7]>
    * Post de inhoud van dit bestandje in je volgende antwoord, samen met een nieuw Hijackthis-logje.
    (Je kan het rapport ook vinden in c:\rapport.txt)

    Succes

  • oke, ik zal het vanavond/morgen even doen (ben hard bezig met toetsweek, tussendoor posten enz kan wel, maar echt tijd om me aandacht voor veilige modus te doen heb ik niet)

    de enigste dingen die ik nu nog kan ZIEN (op bureaublad aan popups etc) is dit: Dat soort van 'verboden' tekentje wat er staat hoort bij de spyware/wathet ookis

    [img:0456205885]http://img113.imageshack.us/img113/7026/laatstefout8of.th.jpg[/img:0456205885]
  • tuurlijk zolang je de volgende fix niet doet blijf je dat houden.
  • [quote:0d06a4612e="juisterr"]tuurlijk zolang je de volgende fix niet doet blijf je dat houden.[/quote:0d06a4612e]

    dat snap ik

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.