Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Vervelende Hijacjker

Anoniem
M@rc
11 antwoorden
  • Onderstaand log is gemaakt met Hijackthis. De eerste regels met aan het eind de term "Obfuscated" en de "about:blank regel heb ik verwijderd. Ook de regel 3 regels lager, eindigende op JHGO.dll heb ik verwijderd.
    Toch komt deze ellende elke keer terug. Zie ik wat over het hoofd, of moet ik een bestand wat hier niet bijstaat opzoeken en verwijderen ?



    Logfile of HijackThis v1.97.7
    Scan saved at 16:57:44, on 18-4-04
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v5.00 (5.00.2614.3500)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\PROGRAM FILES\TELES\ISDN DRIVERS\TISDNMON.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\SYSTEM\SOKSCM98.EXE
    C:\WINDOWS\SYSTEM\SCARDSVR.EXE
    C:\WINDOWS\SCARDS32.EXE
    C:\TEMP\ICSUPP95.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\PROGRAM FILES\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
    C:\PROGRAM FILES\SOPHOS SWEEP\ICMON.EXE
    C:\PROGRAM FILES\SPYWAREGUARD\SGMAIN.EXE
    C:\PROGRAM FILES\SPYWAREGUARD\SGBHP.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\WINDOWS\SYSTEM\RNAAPP.EXE
    C:\WINDOWS\SYSTEM\TAPISRV.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    D:\OPSCHONEN\HIJACKTHIS.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\JHGO.DLL/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\JHGO.DLL/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\JHGO.DLL/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\JHGO.DLL/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\JHGO.DLL/sp.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\JHGO.DLL/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    F1 - win.ini: run=hpfsched
    O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\PROGRAM FILES\SPYWAREGUARD\DLPROTECT.DLL
    O2 - BHO: (no name) - {5EA5BFA2-9158-11D8-AB8B-00089D6013AE} - C:\WINDOWS\SYSTEM\JHGO.DLL
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    O4 - HKLM\..\Run: [ISDNMonitor] C:\Program Files\TELES\ISDN Drivers\tisdnmon.exe
    O4 - HKLM\..\Run: [InterCheckMonitor] "C:\PROGRAM FILES\SOPHOS SWEEP\ICMON.EXE" -minimised
    O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKLM\..\RunServices: [Smart Card Office Kernel] "C:\WINDOWS\SYSTEM\SOKSCM98.EXE"
    O4 - HKLM\..\RunServices: [SCardSvr] C:\WINDOWS\SYSTEM\SCardSvr.exe
    O4 - HKLM\..\RunServices: [TwkSCardSrv] C:\WINDOWS\SCARDS32.exe
    O4 - HKLM\..\RunServices: [Sweep95] C:\Program Files\Sophos SWEEP\ICLOAD95.EXE
    O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
  • Cwshredder al gebruikt?

    http://www.majorgeeks.com/download4086.html

    Je explorer is ook wel aan een update toe :)
  • Ja en adware en spybot en toch blijft het terug komen.
  • Toch raad ik je aan de [b:880bea2b86]laatste[/b:880bea2b86] versie CWshredder nogmaals te gebruiken ( Klik op fix, niet op scan)

    [quote:880bea2b86]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res:// C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: (no name) - {48918FB4-1FD5-4DF3-87F0- 12C36350039D} - C:\WINDOWS\System32\gfmnaaa.dll

    [/quote:880bea2b86]

    Dit komt van de site van Merijn.. gedateerd 6 april 2004, dus gebruik de laatste versie van CWShredder!

    Deze speelt dus ook een rol:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
  • Dat heb ik gedaan en ook die about: blank was verwijderd.
    Alle regels die je noemt waren er uit (allemaal met dat JHGO.dll bestand).
    Ik heb de indruk dat er nog iets anders bezig is, maar ook bij het opstarten staat niks bijzonders, wat ik er niet zelf in heb gezet.
  • Ga eens naar

    http://www.spywareinfo.com/~merijn/cwschronicles.html

    en dan naar het item:

    CWS.Searchx
    Dit lijkt jouw hijack te zijn

    Merijn geeft onderaan aan dat deze hijack soms samengaat met CWS.Realyellowpage (staat er direct onder) waarbij je de "MANUAL REMOVAL INSTRUCTIONS " moet uitvoeren
  • Ja, dat lijkt idd op het probleem. Ik kom helaas pas dinsdag weer bij de betreffende PC, dus ik zal nog even moeten wachten met kontroleren.
    Ik vraag me trouwens af waar ik de 2 filters moet zoeken in het register (windows98 SE).
    Is dat een sleutel met kenmerk 48918FB4-1FD5-4DF3-87F0- 12C36350039D ?
  • het gaat volgens mij om deze :

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res:// C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated)

    en

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

    maar dat kan je met Hijackthis doen :)
  • Ja, alleen die gfmnaaa.dll heb ik nog niet zien langs komen. Als ik echter de info lees, kan de naam van die DLL willekeurig veranderen. Dat had ik ook al geconstateerd.
  • Peter,

    Neem eens HijackThislog in veilige modus.
    Misschien dat je daar iets meer ziet…

    groeten,
  • Ga ik proberen.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.