Vraag & Antwoord

Beveiliging & privacy

portal startpage

Anoniem
De huismeester
18 antwoorden
 • Ik heb hetzelfde probleem: ongewenste portal + eveneens ongewenste favorieten. Als ik in HiJackThis alle vakjes waarin er sprake is van "your-searcher.com" aankruis komt dat rotding toch steeds terug.
  Hieronder de logfile, wat moet ik nog verwijderen?

  Running processes:
  C:\WINNT\System32\smss.exe
  C:\WINNT\system32\winlogon.exe
  C:\WINNT\system32\services.exe
  C:\WINNT\system32\lsass.exe
  C:\WINNT\system32\svchost.exe
  C:\WINNT\system32\spoolsv.exe
  C:\WINNT\System32\svchost.exe
  C:\WINNT\System32\mgabg.exe
  E:\NORTON~1\NORTON~1\npssvc.exe
  C:\WINNT\system32\regsvc.exe
  C:\WINNT\system32\MSTask.exe
  C:\WINNT\system32\stisvc.exe
  C:\WINNT\system32\ZoneLabs\vsmon.exe
  C:\WINNT\System32\WBEM\WinMgmt.exe
  C:\WINNT\system32\mspmspsv.exe
  C:\WINNT\system32\svchost.exe
  C:\WINNT\Explorer.EXE
  C:\WINNT\system32\sstray.exe
  E:\Alcatel\SpeedTouch USB\Dragdiag.exe
  C:\WINNT\System32\PDesk\PDesk.exe
  C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb06.exe
  C:\Program Files\Common Files\Symantec Shared\SymTray.exe
  E:\ZONELA~1\ZONEAL~1\zlclient.exe
  C:\winnt\dllhelp.exe
  E:\Microsoft Office\Office\1043\msoffice.exe
  C:\Program Files\Outlook Express\msimn.exe
  E:\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
  C:\Program Files\Internet Explorer\IEXPLORE.EXE
  H:\anti-spyware\HijackThis.exe

  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://your-searcher.com/sp.htm
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://your-searcher.com/index.htm
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://your-searcher.com/index.htm
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://your-searcher.com/sp.htm
  R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://your-searcher.com/index.htm
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
  O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
  O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
  O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
  O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "E:\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
  O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch
  O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb06.exe
  O4 - HKLM\..\Run: [NPS Event Checker] E:\NORTON~1\NORTON~1\npscheck.exe
  O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\SymTray.exe "Norton SystemWorks"
  O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
  O4 - HKLM\..\Run: [Zone Labs Client] E:\ZONELA~1\ZONEAL~1\zlclient.exe
  O4 - HKCU\..\Run: [dllhelp] c:\winnt\dllhelp.exe
  O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office\OSA9.EXE
  O9 - Extra button: Related (HKLM)
  O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
  O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
  O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
  O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
  O17 - HKLM\System\CCS\Services\Tcpip\..\{A709E400-1939-4D29-A014-C7E3FB023FD1}: NameServer = 62.235.14.4 62.235.13.199

  Alvast bedankt.
  Patrick
 • Hallo
  Ik heb weer eens last van portal startpage.
  Dacht alles gedaan te hebben met hijack en het verwijderen van portal maar komt toch steeds weer terug.
  Daarom is hier mijn hijack log.
  Kan iemand zeggen wat ik weg moet halen?
  Vg Evelyn

  Logfile of HijackThis v1.97.7
  Scan saved at 15:21:59, on 27-5-04
  Platform: Windows 98 SE (Win9x 4.10.2222A)
  MSIE: Internet Explorer v5.00 (5.00.2614.3500)

  Running processes:
  C:\WINDOWS\SYSTEM\KERNEL32.DLL
  C:\WINDOWS\SYSTEM\MSGSRV32.EXE
  C:\WINDOWS\SYSTEM\MPREXE.EXE
  C:\WINDOWS\SYSTEM\mmtask.tsk
  C:\WINDOWS\SYSTEM\MSTASK.EXE
  C:\WINDOWS\SYSTEM\MDM.EXE
  C:\PROGRAM FILES\MESSENGER PLUS! 2\MSGPLUS.EXE
  C:\WINDOWS\EXPLORER.EXE
  C:\WINDOWS\TASKMON.EXE
  C:\WINDOWS\SYSTEM\SYSTRAY.EXE
  C:\WINDOWS\LOADQM.EXE
  C:\PROGRAM FILES\ATOMLOUD\FILE BAIT STOP.EXE
  C:\WINDOWS\SYSTEM\MSGPLUS.EXE
  C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
  C:\PROGRAM FILES\HIJACK\HIJACKTHIS.EXE

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/Onlinedirect/Portal/portal.html
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.nl
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Onlinedirect/Portal/portal.html
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://searchbar.linksummary.com/
  O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
  O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
  O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
  O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
  O4 - HKLM\..\Run: [LoadQM] loadqm.exe
  O4 - HKLM\..\Run: [AudioSite] C:\PROGRA~1\ATOMLOUD\File Bait Stop.exe
  O4 - HKLM\..\Run: [CLSID] C:\WINDOWS\SYSTEM\MSGPLUS.EXE
  O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
  O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
  O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
  O4 - HKLM\..\RunServices: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
  O4 - HKCU\..\Run: [Yahoo! Pager] d:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
  O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
  O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
  O4 - Startup: PowerReg SchedulerV2.exe
  O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
  O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
  O9 - Extra button: ICQ Lite (HKLM)
  O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
  O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
  O14 - IERESET.INF: SEARCH_PAGE_URL=
  O14 - IERESET.INF: START_PAGE_URL=
  O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
  O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
  O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
  O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
 • Sowieso:
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/Onlinedirect/Portal/portal.html
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Onlinedirect/Portal/portal.html
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://searchbar.linksummary.com/
  Ben ik niet zeker van: O4 - HKLM\..\Run: [AudioSite] C:\PROGRA~1\ATOMLOUD\File Bait Stop.exe
  is ook wel onzinnig: O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
 • Ik heb verwijderd wat je zei maar nog steeds niet goed. heb er nu zelfs een searchbar bij :-(

  dit is het nieuwe log

  Logfile of HijackThis v1.97.7
  Scan saved at 15:58:35, on 27-5-04
  Platform: Windows 98 SE (Win9x 4.10.2222A)
  MSIE: Internet Explorer v5.00 (5.00.2614.3500)

  Running processes:
  C:\WINDOWS\SYSTEM\KERNEL32.DLL
  C:\WINDOWS\SYSTEM\MSGSRV32.EXE
  C:\WINDOWS\SYSTEM\MPREXE.EXE
  C:\WINDOWS\SYSTEM\MSTASK.EXE
  C:\WINDOWS\SYSTEM\MDM.EXE
  C:\PROGRAM FILES\MESSENGER PLUS! 2\MSGPLUS.EXE
  C:\WINDOWS\SYSTEM\mmtask.tsk
  C:\WINDOWS\EXPLORER.EXE
  C:\WINDOWS\TASKMON.EXE
  C:\WINDOWS\SYSTEM\SYSTRAY.EXE
  C:\WINDOWS\LOADQM.EXE
  C:\PROGRAM FILES\ATOMLOUD\FILE BAIT STOP.EXE
  C:\WINDOWS\SYSTEM\MSGPLUS.EXE
  C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
  C:\WINDOWS\SYSTEM\DDHELP.EXE
  C:\PROGRAM FILES\HIJACK\HIJACKTHIS.EXE

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mysearchnow.com
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.nl
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Onlinedirect/Portal/portal.html
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
  O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
  O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
  O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
  O4 - HKLM\..\Run: [LoadQM] loadqm.exe
  O4 - HKLM\..\Run: [AudioSite] C:\PROGRA~1\ATOMLOUD\File Bait Stop.exe
  O4 - HKLM\..\Run: [CLSID] C:\WINDOWS\SYSTEM\MSGPLUS.EXE
  O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
  O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
  O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
  O4 - HKLM\..\RunServices: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
  O4 - HKCU\..\Run: [Yahoo! Pager] d:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
  O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
  O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
  O4 - Startup: PowerReg SchedulerV2.exe
  O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
  O9 - Extra button: ICQ Lite (HKLM)
  O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
  O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
  O14 - IERESET.INF: SEARCH_PAGE_URL=
  O14 - IERESET.INF: START_PAGE_URL=
  O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
  O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
  O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
  O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab

  Evelyn
 • Evelyn

  Probeer dit even:
  Download CWShredder.
  Start het programma, klik op de Fix-knop en start de computer opnieuw.  Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren:
  [b:05d688a10c]
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Onlinedirect/Portal/portal.html

  O4 - HKLM\..\Run: [AudioSite] C:\PROGRA~1\ATOMLOUD\File Bait Stop.exe
  O4 - HKLM\..\Run: [CLSID] C:\WINDOWS\SYSTEM\MSGPLUS.EXE

  [/b:05d688a10c]
  Als je dit gedaan hebt start je de computer op in veilige modus.
  Zorg dat alle verborgen bestanden weergegeven worden, en verwijder de volgende bestanden of mappen indien aanwezig:
  C:\WINDOWS\SYSTEM\MSGPLUS.EXE <–dit bestand
  C:\PROGRA~1\ATOMLOUD\File Bait Stop.exe <–dit bestand

  Reboot en post een nieuwe log.

  Marc
 • @ MichielPH,

  Ter info:
  Je laat de goede zaken fixen met HijackThis maar je neemt de oorzaak van die Startportal niet weg: O4 - HKLM\..\Run: [CLSID] C:\WINDOWS\SYSTEM\MSGPLUS.EXE
  Daarom kwam deze terug.


  My Searchnow is CWS, vandaar nu eerst CWSHredder…

  @ Evelyn
  Lees ook dit door: http://www.spywareinfo.com/newsletter/archives/june-2003/3.php

  De MSGPLUS.EXE die ik je laat verwijderen heeft niks Messengerplus te maken.
 • En nu dit:

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mysearchnow.com
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Onlinedirect/Portal/portal.html

  En misschien deze:
  C:\PROGRAM FILES\ATOMLOUD\FILE BAIT STOP.EXE
  O4 - HKLM\..\Run: [AudioSite] C:\PROGRA~1\ATOMLOUD\File Bait Stop.exe
 • Heb weer gedaan zoals gezged.

  CWScgredder kwam niets raars tegen volgens mij.
  Hier het nieuwe log zoals het nu is na het verwijderen van de bestanden zoals gezegd

  Logfile of HijackThis v1.97.7
  Scan saved at 16:27:13, on 27-5-04
  Platform: Windows 98 SE (Win9x 4.10.2222A)
  MSIE: Internet Explorer v5.00 (5.00.2614.3500)

  Running processes:
  C:\WINDOWS\SYSTEM\KERNEL32.DLL
  C:\WINDOWS\SYSTEM\MSGSRV32.EXE
  C:\WINDOWS\SYSTEM\MPREXE.EXE
  C:\WINDOWS\SYSTEM\mmtask.tsk
  C:\WINDOWS\SYSTEM\MSTASK.EXE
  C:\WINDOWS\SYSTEM\MDM.EXE
  C:\PROGRAM FILES\MESSENGER PLUS! 2\MSGPLUS.EXE
  C:\WINDOWS\EXPLORER.EXE
  C:\WINDOWS\TASKMON.EXE
  C:\WINDOWS\SYSTEM\SYSTRAY.EXE
  C:\WINDOWS\LOADQM.EXE
  C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
  C:\PROGRAM FILES\HIJACK\HIJACKTHIS.EXE

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/Onlinedirect/Portal/portal.html
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.nl
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
  O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
  O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
  O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
  O4 - HKLM\..\Run: [LoadQM] loadqm.exe
  O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
  O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
  O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
  O4 - HKLM\..\RunServices: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
  O4 - HKCU\..\Run: [Yahoo! Pager] d:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
  O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
  O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
  O4 - Startup: PowerReg SchedulerV2.exe
  O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
  O9 - Extra button: ICQ Lite (HKLM)
  O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
  O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
  O14 - IERESET.INF: SEARCH_PAGE_URL=
  O14 - IERESET.INF: START_PAGE_URL=
  O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
  O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
  O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
  O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab

  gr Evelyn
 • Evelyn,

  Deze nog laten fixen door HijckThis.
  [b:9525dd1fef]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/Onlinedirect/Portal/portal.html[/b:9525dd1fef]
  Reboot.

  Marc

  edit: en indien mogelijk de essentiële updates via Windows Update even downloaden…je mist er wel een aantal.

  c:\program files\online direct <—deze map mag ook weg
 • Heeeeeeee heel erg bedankt ! :lol:
  Het is dankzij jullie gelukt en ik ben weer van de rommel af.

  Evelyn
 • Graag gedaan.
  :wink:
 • …en nog vergeten te zeggen: natuurlijk ook al CWShredder en Spybot gebruikt.
 • Moet lukken CWShredder.
  Download CWShredder.
  Start het programma, klik op de Fix-knop.

  Na een reboot post je een nieuwe HijackThislog.
 • Je laatste post te laat opgemerkt.

  Ik blijf er bij dat CWShredder hem moet pakken. Heb je de laatste versie?

  Probeer dit anders:
  Sla HijackThis op in een eigen map. Niet op je bureaublad of in je Temp-files. HijackThis maakt namelijk backups in de map waar het opgestart wordt.
  Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren:
  [b:f56b0ff392]
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://your-searcher.com/sp.htm
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://your-searcher.com/index.htm
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://your-searcher.com/index.htm
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://your-searcher.com/sp.htm
  R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://your-searcher.com/index.htm

  O4 - HKCU\..\Run: [dllhelp] c:\winnt\dllhelp.exe
  [/b:f56b0ff392]
  Als je dit gedaan hebt start je de computer op in veilige modus.
  Zorg dat alle verborgen bestanden weergegeven worden, en verwijder de volgende bestanden of mappen indien aanwezig:
  c:\winnt\dllhelp.exe <—this file

  Reboot, run HijackThis nog een keer en post een nieuwe log.

  Marc
 • Voordat je dat laatste bericht gepost hebt heb ik nog een keer CWShredder uitgevoerd. Toen ik wou rebooten kreeg ik de melding dat er een programma niet kon afgesloten worden: "WIN MIN". Die melding heb ik al een keer gehad vandaag. Een virusscan met de laatste definitions bracht alleszins niets aan het licht.
  Bij het opstarten van IE: opnieuw die vervloekte portal!
  Mijn CWShredder is alleszins ook de meest recente versie.
  Hier de logfile:

  Running processes:
  C:\WINNT\System32\smss.exe
  C:\WINNT\system32\winlogon.exe
  C:\WINNT\system32\services.exe
  C:\WINNT\system32\lsass.exe
  C:\WINNT\system32\svchost.exe
  C:\WINNT\system32\spoolsv.exe
  C:\WINNT\System32\svchost.exe
  C:\WINNT\System32\mgabg.exe
  E:\NORTON~1\NORTON~1\npssvc.exe
  C:\WINNT\system32\regsvc.exe
  C:\WINNT\system32\MSTask.exe
  C:\WINNT\system32\stisvc.exe
  C:\WINNT\system32\ZoneLabs\vsmon.exe
  C:\WINNT\System32\WBEM\WinMgmt.exe
  C:\WINNT\system32\mspmspsv.exe
  C:\WINNT\system32\svchost.exe
  C:\WINNT\Explorer.EXE
  C:\WINNT\system32\sstray.exe
  E:\Alcatel\SpeedTouch USB\Dragdiag.exe
  C:\WINNT\System32\PDesk\PDesk.exe
  C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb06.exe
  C:\Program Files\Common Files\Symantec Shared\SymTray.exe
  E:\ZONELA~1\ZONEAL~1\zlclient.exe
  C:\winnt\dllhelp.exe
  E:\Microsoft Office\Office\1043\msoffice.exe
  C:\Program Files\Internet Explorer\IEXPLORE.EXE
  H:\anti-spyware\HijackThis.exe

  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://your-searcher.com/sp.htm
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://your-searcher.com/index.htm
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://your-searcher.com/index.htm
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://your-searcher.com/sp.htm
  R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://your-searcher.com/index.htm
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
  O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
  O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
  O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
  O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "E:\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
  O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch
  O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb06.exe
  O4 - HKLM\..\Run: [NPS Event Checker] E:\NORTON~1\NORTON~1\npscheck.exe
  O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\SymTray.exe "Norton SystemWorks"
  O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
  O4 - HKLM\..\Run: [Zone Labs Client] E:\ZONELA~1\ZONEAL~1\zlclient.exe
  O4 - HKCU\..\Run: [dllhelp] c:\winnt\dllhelp.exe
  O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office\OSA9.EXE
  O9 - Extra button: Related (HKLM)
  O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
  O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
  O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
  O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
  O17 - HKLM\System\CCS\Services\Tcpip\..\{A709E400-1939-4D29-A014-C7E3FB023FD1}: NameServer = 62.235.14.4 62.235.13.199
 • Ja, die "dllhelp" was iets waarvan ik niet wist waar het vandaan kwam en ik had het op proef naar de prullenbak verplaatst met nog enkele andere bestanden maar toen werkte mijn Mediaplayer niet meer waarna ik ze heb teruggezet.
  Eerst nu nog een keer opnieuw die dllhelp verwijderen.
  (HiJackThis stond reeds in een eigen directory)
 • Sluit eerst dllhelp.exe af via de taakmanager, en start dan HijackThis en verwijder de sleutels die M@rc aangaf.
 • Het is nu eindelijk gelukt!
  Eerst kreeg ik nog bij het afsluiten de melding dat het programma "WIN MIN" niet reageerde en na het rebooten en IE opstarten dan weer opnieuw die ###portal en al evenmin gewenste favorieten, maar toen heb ik zoals gevraagd eerst die "dllhelp" beëindigd met de taskmanager en daarna pas HiJackThis uitgevoerd en daarmee is het gelukt.
  Heel erg bedankt voor de snelle hulp!

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.