Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

exploit-mhtRedir.gen

Anoniem
None
12 antwoorden
  • Hallo,
    Even een vraag voor een familielid van mij, die door dit virus niet meer het web op kan.
    Mc.Afee geeft aan dat dit virus op zijn computer zit: exploit-mhtRedir.gen
    Wat hij ook probeert, hij krijgt het virus niet verwijderd. Bij zoeken in de computer komt hij veel files tegen met 'way', 'way way' en mine way'.
    Stinger vindt niets, wel wordt de file hosts.txt gevonden. Zijn browser doet het helemaal niet en hij vindt allerlei verwijzingen naar sexservers.

    Op mijn aanraden heeft hij HijackThis zijn werk laten doen met dit als uitkomst:

    Logfile of HijackThis v1.97.7
    Scan saved at 22:23:19, on 20-5-2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
    C:\WINDOWS\System32\CTsvcCDA.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\MsPMSPSv.exe
    C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
    C:\Program Files\McAfee\McAfee Firewall\CPD.EXE
    C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
    C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\McAfee\McAfee Firewall\CPD.EXE
    C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
    C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
    C:\WINDOWS\System32\CTHELPER.EXE
    C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\PROGRA~1\mcafee.com\agent\mcagent.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\WINDOWS\system.exe
    C:\Program Files\Avant Browser\iexplore.exe
    C:\WINDOWS\system.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    E:\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz
    edir.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz
    edir.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz
    edir.php
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz
    edir.php
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#37049
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz
    edir.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz
    edir.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.wilderssecurity.com/showthread.php?t=29051
    O2 - BHO: (no name) - -{000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
    O2 - BHO: (no name) - -{BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
    O2 - BHO: (no name) - -{F72658D7-C047-390B-F3A8-CEBD426DADD8} - (no file)
    O2 - BHO: (no name) - -{FD9BC004-8331-4457-B830-4759FF704C22} - (no file)
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: . - {587DBF2D-9145-4c9e-92C2-1F953DA73773} - C:\WINDOWS\ieyl\ieyl.dll
    O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
    O2 - BHO: (no name) - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:\WINDOWS\msopt.dll
    O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
    O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll
    O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
    O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
    O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
    O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
    O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
    O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe

    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
    O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
    O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [VirusScanMSC] "C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe" /EMBEDDING
    O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\image.dll,Install
    O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.dll,Install
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Add to AD Black List - C:\Program Files\Avant Browser\AddToADBlackList.htm
    O8 - Extra context menu item: Block All Images from the Same Server - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
    O8 - Extra context menu item: Highlight - C:\Program Files\Avant Browser\Highlight.htm
    O8 - Extra context menu item: Open All Links in This Page… - C:\Program Files\Avant Browser\OpenAllLinks.htm
    O8 - Extra context menu item: Search - C:\Program Files\Avant Browser\Search.htm
    O9 - Extra button: Create Mobile Favorite (HKLM)
    O9 - Extra 'Tools' menuitem: Create Mobile Favorite… (HKLM)
    O9 - Extra button: InvulFormulieren (HKLM)
    O9 - Extra 'Tools' menuitem: InvulFormulieren &] (HKLM)
    O9 - Extra button: Opslaan (HKLM)
    O9 - Extra 'Tools' menuitem: Opslaan Formulieren &^ (HKLM)
    O9 - Extra button: RoboForm (HKLM)
    O9 - Extra 'Tools' menuitem: RoboForm Werkbalk &2 (HKLM)
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
    O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - http://down.plaxo.com/down
    elease/PlaxoInstall.cab
    O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
    O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\hepuvpih.exe
    O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:
    osuch.mht!http://cashsearch.biz/legal/x.chm::/load.exe
    O16 - DPF: {23B7A816-3647-49D2-9756-6F41CE8F9201} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/ddm_control.CAB
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
    O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://F:\Acad2004\AcDcToday.ocx
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.vvkso-ict.com/tsweb/msrdp.cab
    O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://F:\Acad2004\InstBanr.ocx
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553530000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://F:\Acad2004\AcPreview.ocx
    O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://download.rfwnad.com/cab/crack.CAB
    O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab

    Hopelijk kan iemand ons uit de brand helpen.
    Alvast heel erg bedankt en ik laat het resultaat zeker even weten.

    Ruurd








  • Dat wordt een moeilijke,
    Download CWShredder.
    Start het programma, klik op de Fix-knop.

    Reboot

    Doe hierna een onlinescan.

    En als laatste:

    Laat Ad-Aware draaien en verwijder alles wat adaware vindt.
    Draai Adaware op de volgende manier:
    Voor je gaat scannen op spyware met Ad-aware moet je eerst het programma updaten. Wanneer je Ad-aware opstart klik je in het Statusblad op Controleer voor updates om het laatste Reference bestand binnen te halen. Wanneer een nieuw Reference bestand beschikbaar is krijg je melding van de Build en de datum vanaf wanneer dit bestand beschikbaar was. Klik op OK om dit bestand te downloaden. Wanneer je reeds beschikt over het meest recente Reference-bestand, krijg je de melding: Geen updates beschikbaar.

    [b:3f4735811a]Instellingen[/b:3f4735811a]
    - Klik naast Ad-aware 6.0 op het icoon Instellingen, klik op de knop Tweak.
    - Bij Scanning Engine zorg je dat het volgende aangevinkt is: Unload recognized processes during scanning.
    - Bij Cleaning Engine zorg je dat het volgende aangevinkt is: Let windows remove files in use at next boot.
    - Bij Cleaning Engine zorg je dat er geen vinkje staat bij: Automaticly try to unregister objects prior to deletion.
    - Klik op de knop Doorgaan
    - Klik nu op de knop Scan.
    - Zorg dat Activeer grondige scan aangevinkt is.
    - Kies voor Selecteer mappen om te scannen en klik op Selecteer. Duidt nu de partities / mappen aan die je wil scannen. Zorg zeker dat de partitie met je Windows (de actieve partitie meestal c:\) en deze met je programma-bestanden gescand worden. Eigenlijk kan je best alle partities laten scannen door Ad-aware.

    [b:3f4735811a]Scannen[/b:3f4735811a]
    - Sluit ALLE vensters van Internet Explorer.
    - Klik op de knop volgende. Ad-aware gaat nu de geselecteerde partities of mappen scannen op spyware. Wees geduldig, dit kan een tijdje duren.

    [b:3f4735811a]Verwijderen[/b:3f4735811a]
    - Indien er een spyware op de computer aanwezig is zal Ad-aware nu een aantal slechte bestanden en registersleutels vinden. Rechtsklik in dit venster en kies voor Selecteer alles.
    - Klik op de knop Volgende.
    - Het programma zal je vragen om alle geselecteerde items te verwijderen. Bevestig dit met OK.

    [b:3f4735811a]Afsluiten[/b:3f4735811a]
    - Sluit Ad-aware en start de computer opnieuw.

    Draai nu HijackThis opnieuw en zet een nieuw log neer, dan halen we de laatste sleutels eruit.
  • Fantastisch, reuze bedankt alvast. Ik zal e.e.a. vandaag doorspelen en
    zal zo snel mogelijk een nieuwe uitkomst van HijackThis plaatsen.

    Ruurd
  • Ruurd,

    Voor de zekerheid: controleer even of de updatemodule van de antivirus nog werkt.
    Ik vermoed ook dat een van de hijackers zal blijven terug komen. Meld je terug met een nieuwe log, nadat je de bovenstaande instructies uitgevoerd heb.

    Marc
  • Hoi M@rc,

    Dat was ook een van de problemen. Hij kan wel updates ophalen voor zijn virusscanner McAfee.

    Na een telefoontje zojuist is het hem inmiddels wel weer gelukt het internet op te komen. Ik heb hem verzocht een nieuwe log van Hijack This op het forum te zetten en zelf verder te gaan met de correspondentie.
    Zijn naam is ElMel.

    Ik haak hier af, ElMel neemt het over.

    M@rc en Huismeester, bedankt tot zover en groeten.
    Ruurd
  • Hij heeft in ieder geval een worm. Laat hem dit process maar beëindigen:
    C:\WINDOWS\system.exe (2 keer)
    info: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_COLEVO.A
  • Hoi allen!

    Zoals Ruurd al zei, ben ik gelukkig weer in staat om mijn Internet browsers te gebruiken (IE6 / Avantbrowser). Ik heb alle instructies eerder in deze thread nu uitgevoerd:

    -CW-shred vindt een aantal files die de kenmerken bevatten van het CoolWebSearch trojan

    -De online scan van mijn complete systeem van Panda resulteert in 1 virusinfectie die dan ook verwijderd is. (Helaas geen info over welk virus)

    -AdAware (reference file = 19-05-2004) vindt en deleted nog eens 60 files / folders

    -HijackThis vindt een flink aantal verdachte register-entries. Ik vink de mij bekende aan en verwijder deze.

    -Ik draai HijackThis nogmaals en kom tot de volgende log:

    Logfile of HijackThis v1.97.7
    Scan saved at 10:37:30, on 21-5-2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
    C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
    C:\WINDOWS\System32\CTHELPER.EXE
    C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\PROGRA~1\mcafee.com\agent\mcagent.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Webroot\Washer\wwDisp.exe
    C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
    C:\WINDOWS\System32\CTsvcCDA.exe
    C:\WINDOWS\System32\oodag.exe
    C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\MsPMSPSv.exe
    C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
    C:\Program Files\McAfee\McAfee Firewall\CPD.EXE
    C:\Program Files\McAfee\McAfee Firewall\CPD.EXE
    C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
    C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
    E:\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz
    edir.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz
    edir.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz
    edir.php
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz
    edir.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz
    edir.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz
    edir.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:\WINDOWS\msopt.dll
    O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
    O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
    O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
    O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
    O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe

    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
    O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
    O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [VirusScanMSC] "C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe" /EMBEDDING
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Add to AD Black List - C:\Program Files\Avant Browser\AddToADBlackList.htm
    O8 - Extra context menu item: Block All Images from the Same Server - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Highlight - C:\Program Files\Avant Browser\Highlight.htm
    O8 - Extra context menu item: Open All Links in This Page… - C:\Program Files\Avant Browser\OpenAllLinks.htm
    O8 - Extra context menu item: Search - C:\Program Files\Avant Browser\Search.htm
    O9 - Extra button: Create Mobile Favorite (HKLM)
    O9 - Extra 'Tools' menuitem: Create Mobile Favorite… (HKLM)
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
    O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
    O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:
    osuch.mht!http://cashsearch.biz/legal/x.chm::/load.exe
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
    O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://F:\Acad2004\AcDcToday.ocx
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.vvkso-ict.com/tsweb/msrdp.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://F:\Acad2004\InstBanr.ocx
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553530000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://F:\Acad2004\AcPreview.ocx
    O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://download.rfwnad.com/cab/crack.CAB
    O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) -
    http://www.creative.com/SU/ocx/12119/CTPID.cab

    Het irritante is dat hoe vaak ik één van de anti-spyware programma's ook gebruik, ik telkens weer dezelfde entries, zoals in de log te zien is, krijg. Vooral die jksearch is een lastige. Deze stelt mijn startpagina zowel in IE als Adaware (zelfde engine) opnieuw in.

    Wat mij verder nog opvalt, is dat mijn hosts file (C:\Windows\) voortdurend volgestort wordt met verwijzingen naar vunzige sites. Wanneer ik mbv notepad deze regels selecteer en verwijder, het bestand save en dan in Verkenner de directory ververs, zie ik dat het bestand weer volledig gevuld wordt. Ook verwijderen helpt niet; het bestand wordt vrijwel direct weer aangemaakt en gevuld.

    Ik heb nog even naar mijn lopende processen gekeken: system staat er 1 keer tussen (zonder.EXE) en dat proces kan ik niet beëindigen (geen foutmelding maar gaat gewoon niet weg).

    Verdere info:

    -Tussen elke stap zoals hierboven beschreven heb ik het systeem gereboot.

    -Ik werk met McAfee Virusscan 7.05, laatste update 10-05-2004. Ik zie net dat ik em weer mag updaten…. :P

    Ok, ik hoop dat er nog een redding is om van dit verschrikkelijk irritante probleem af te komen.

    Alvast bedankt allemaal voor jullie hulp!

    Groeten,

    ElMel







  • Hallo Elmel,

    Dat die JKSearch ging terugkomen had ik verwacht. (zie mijn vorige post in dit topic).
    Kopieer de inhoud van de quote box naar een kladblok bestand.

    [quote:00e9ce8f16]
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    "System"=-
    [-HKEY_CLASSES_ROOT\CLSID\{061646A1-DC57-487D-B023-A938198C174E}]
    [-HKEY_CLASSES_ROOT\CLSID\{4E8A9E72-8942-40EF-88DF-A559152F6B41}]
    [-HKEY_CLASSES_ROOT\CLSID\{6E94CEC3-0C84-4310-AE20-CD4090178388}]
    [/quote:00e9ce8f16]

    Sla het bestand op als clear.reg
    Ga Bestand en kies voor Opslaan als. Bij Opslaan als type zorg je dat alle bestanden geslecteerd is.
    Sla het op als clear.reg op je desktop.
    Dubbelklik op het bestand om de wijzigingen aan het register toe te voegen.

    Reboot.

    Zoek het volgende bestand: system32.dll
    Waarschijnlijk bevindt dit bestand zich op de volgende plaats:
    c:\windows\system32\system32.dll

    Verwijder dit bestand.

    Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren:
    [b:00e9ce8f16]
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz
    edir.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz
    edir.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz
    edir.php
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz
    edir.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz
    edir.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz
    edir.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

    O2 - BHO: (no name) - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:\WINDOWS\msopt.dll

    O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:
    osuch.mht!http://cashsearch.biz/legal/x.chm::/load.exe
    O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://download.rfwnad.com/cab/crack.CAB

    [/b:00e9ce8f16]
    Reboot en post een nieuwe log.

    Werkt de update-module van virusscanner nog?

    groeten,
    Marc






  • Hoi Marc!

    Ik heb je advies net opgevolgd en kom nu tot de volgende log:

    Logfile of HijackThis v1.97.7
    Scan saved at 18:33:14, on 21-5-2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
    C:\WINDOWS\System32\CTsvcCDA.exe
    C:\WINDOWS\System32\oodag.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
    C:\WINDOWS\System32\MsPMSPSv.exe
    C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
    C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
    C:\WINDOWS\System32\CTHELPER.EXE
    C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\PROGRA~1\mcafee.com\agent\mcagent.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
    C:\Program Files\McAfee\McAfee Firewall\CPD.EXE
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Webroot\Washer\wwDisp.exe
    C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
    C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
    C:\Program Files\McAfee\McAfee Firewall\CPD.EXE
    E:\HijackThis.exe

    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
    O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
    O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
    O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
    O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe

    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
    O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
    O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [VirusScanMSC] "C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe" /EMBEDDING
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Add to AD Black List - C:\Program Files\Avant Browser\AddToADBlackList.htm
    O8 - Extra context menu item: Alle links in deze pagina openen… - C:\Program Files\Avant Browser\OpenAllLinks.htm
    O8 - Extra context menu item: Block All Images from the Same Server - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
    O8 - Extra context menu item: Blokkeer alle plaatjes afkomstig van dezelfde server - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Highlight - C:\Program Files\Avant Browser\Highlight.htm
    O8 - Extra context menu item: Markeren - C:\Program Files\Avant Browser\Highlight.htm
    O8 - Extra context menu item: Open All Links in This Page… - C:\Program Files\Avant Browser\OpenAllLinks.htm
    O8 - Extra context menu item: Search - C:\Program Files\Avant Browser\Search.htm
    O8 - Extra context menu item: Toevoegen aan Reclame Black List - C:\Program Files\Avant Browser\AddToADBlackList.htm
    O8 - Extra context menu item: Zoeken - C:\Program Files\Avant Browser\Search.htm
    O9 - Extra button: Create Mobile Favorite (HKLM)
    O9 - Extra 'Tools' menuitem: Create Mobile Favorite… (HKLM)
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
    O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
    O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://F:\Acad2004\AcDcToday.ocx
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.vvkso-ict.com/tsweb/msrdp.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://F:\Acad2004\InstBanr.ocx
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553530000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://F:\Acad2004\AcPreview.ocx
    O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab


    Het lijkt erop dat de boel weer normaal is, denk je niet?

    Zo ja, hartstikke bedankt!!! :D

    Groeten,

    ElMel
  • Hallo Elmel,

    Graag gedaan.

    Dit ziet er stukker properder uit dan je eerste log.
    Deze mag je nog laten repareren door HijackThis:
    [b:405e38002b]
    O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.vvkso-ict.com/tsweb/msrdp.cab
    [/b:405e38002b]

    groeten,
    Marc
  • Hoi M@rc!

    Ook deze heb ik nu succesvol verwijderd. Wat ik juist zo moeilijk vond aan al die verwijzingen is dat er een aantal bij zaten die niet op het eerste gezicht als 'schadelijk' te herkennen waren. Is daar een informatiebron over te vinden op Internet of herken jij deze uit ervaring?

    Al met al, nogmaals dank!

    Groeten,


    ElMel
  • Dag Elmel,

    Ik ben hier al een tijdje mee bezig en na een tijdje begint begint één en ander wel te dagen. :D
    Veel 'baddies' maken inderdaad gebruik van legitieme (windows-) bestandsnamen.
    Er zijn lijsten te vinden waar je wat zaken kan opzoeken, maar deze zijn lang niet up-to-date. En dan nog blijft het vaak afwegen is het goed of slecht…
    Een aantal links vind je in de spywarefaq (link zie sig).
    Mocht je vragen hebben, dan mag je deze natuurlijk altijd stellen. We zullen er graag op antwoorden.

    groeten,
    Marc

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.