Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

startpagina spyware

Anoniem
Peeet
16 antwoorden
  • Elke keer als IE opstart is mijn startpagina veranderd! S&D, CWS, spywareblaster, hi-jackfixer, en zelfs Hi-jackThis bieden geen oplossing.
    Wie kan mij helpen?
    Hier de laatste log:

    Logfile of HijackThis v1.97.7
    Scan saved at 14:10:05, on 27-6-2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Norton AntiVirus
    avapsvc.exe
    C:\WINDOWS\System32
    vsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\MsPMSPSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\d3kd.exe
    C:\PROGRA~1\NORTON~1
    avapw32.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\WINDOWS\appju32.exe
    C:\Program Files\MRU-Blaster\scheduler.exe
    C:\Program Files\TVFM Tuner\QuickTV.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\amejx.dll/sp.html#27063
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://amejx.dll/index.html#27063
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://amejx.dll/index.html#27063
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\amejx.dll/sp.html#27063
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://amejx.dll/index.html#27063
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\amejx.dll/sp.html#27063
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {38683242-D589-5595-2821-3BE52429FEC3} - C:\WINDOWS\system32\apphk32.dll
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1
    avapw32.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [appju32.exe] C:\WINDOWS\appju32.exe
    O4 - HKCU\..\Run: [MtdAcq] C:\Program Files\Creative\Shared Files\Media Sniffer\MtdAcq.EXE /s
    O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
    O4 - HKLM\..\RunOnce: [iesf.exe] C:\WINDOWS\system32\iesf.exe
    O4 - HKLM\..\RunOnce: [netxy.exe] C:\WINDOWS\system32
    etxy.exe
    O4 - HKLM\..\RunOnce: [atlau32.exe] C:\WINDOWS\system32\atlau32.exe
    O4 - HKLM\..\RunOnce: [iekp32.exe] C:\WINDOWS\iekp32.exe
    O4 - HKLM\..\RunOnce: [apibn.exe] C:\WINDOWS\system32\apibn.exe
    O4 - HKLM\..\RunOnce: [atlvt.exe] C:\WINDOWS\system32\atlvt.exe
    O4 - HKLM\..\RunOnce: [d3zw.exe] C:\WINDOWS\system32\d3zw.exe
    O4 - HKLM\..\RunOnce: [javawo32.exe] C:\WINDOWS\system32\javawo32.exe
    O4 - HKLM\..\RunOnce: [javajn.exe] C:\WINDOWS\system32\javajn.exe
    O4 - HKLM\..\RunOnce: [ntig32.exe] C:\WINDOWS\system32
    tig32.exe
    O4 - HKLM\..\RunOnce: [ntym32.exe] C:\WINDOWS\system32
    tym32.exe
    O4 - HKLM\..\RunOnce: [winay32.exe] C:\WINDOWS\system32\winay32.exe
    O4 - HKLM\..\RunOnce: [sdkgf.exe] C:\WINDOWS\sdkgf.exe
    O4 - HKLM\..\RunOnce: [addnc.exe] C:\WINDOWS\addnc.exe
    O4 - HKLM\..\RunOnce: [nettf.exe] C:\WINDOWS
    ettf.exe
    O4 - Startup: MRU-Blaster Scheduler.lnk = C:\Program Files\MRU-Blaster\scheduler.exe
    O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Program Files\MRU-Blaster\mrublaster.exe
    O4 - Startup: QuickTV.lnk = C:\Program Files\TVFM Tuner\QuickTV.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\googletoolbar.dll/cmsearch.html
    O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\googletoolbar.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\googletoolbar.dll/cmcache.html
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\googletoolbar.dll/cmsimilar.html
    O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\googletoolbar.dll/cmtrans.html
    O9 - Extra button: ICQ Lite (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)







  • Kijk er ff naar.
  • Hallo Peet,

    Zorg dat alle verborgen bestanden weergegeven worden: http://users.pandora.be/marcvn/spyware/1117602.htm
    Open Windows Taakbeheer door op CTRL+ALT+DEL te drukken. Ga naar het tabblad processen. Beëindig volgende processen door ze te selecteren en op de knop Proces beëindigen te klikken:
    [b:446214daa7]
    d3kd.exe
    appju32.exe
    [/b:446214daa7]

    Ga naar start - Uitvoeren en tik in: Services.msc
    Zoek tussen de services naar [b:446214daa7]Network Security Service[/b:446214daa7].
    Dubbelklik op deze service en in het venster dat verschijnt kies je bij Opstarttype voor Uitgeschakeld. Klik op [b:446214daa7]Toepassen[/b:446214daa7] en vervolgens op [b:446214daa7]OK[/b:446214daa7].

    [b:446214daa7]Sluit alle open vensters[/b:446214daa7].

    Run HijackThis en laat volgende items repareren:
    [b:446214daa7]
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\amejx.dll/sp.html#27063
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://amejx.dll/index.html#27063
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://amejx.dll/index.html#27063
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\amejx.dll/sp.html#27063
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://amejx.dll/index.html#27063
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\amejx.dll/sp.html#27063

    O2 - BHO: (no name) - {38683242-D589-5595-2821-3BE52429FEC3} - C:\WINDOWS\system32\apphk32.dll

    O4 - HKLM\..\Run: [appju32.exe] C:\WINDOWS\appju32.exe

    O4 - HKLM\..\RunOnce: [iesf.exe] C:\WINDOWS\system32\iesf.exe
    O4 - HKLM\..\RunOnce: [netxy.exe] C:\WINDOWS\system32
    etxy.exe
    O4 - HKLM\..\RunOnce: [atlau32.exe] C:\WINDOWS\system32\atlau32.exe
    O4 - HKLM\..\RunOnce: [iekp32.exe] C:\WINDOWS\iekp32.exe
    O4 - HKLM\..\RunOnce: [apibn.exe] C:\WINDOWS\system32\apibn.exe
    O4 - HKLM\..\RunOnce: [atlvt.exe] C:\WINDOWS\system32\atlvt.exe
    O4 - HKLM\..\RunOnce: [d3zw.exe] C:\WINDOWS\system32\d3zw.exe
    O4 - HKLM\..\RunOnce: [javawo32.exe] C:\WINDOWS\system32\javawo32.exe
    O4 - HKLM\..\RunOnce: [javajn.exe] C:\WINDOWS\system32\javajn.exe
    O4 - HKLM\..\RunOnce: [ntig32.exe] C:\WINDOWS\system32
    tig32.exe
    O4 - HKLM\..\RunOnce: [ntym32.exe] C:\WINDOWS\system32
    tym32.exe
    O4 - HKLM\..\RunOnce: [winay32.exe] C:\WINDOWS\system32\winay32.exe
    O4 - HKLM\..\RunOnce: [sdkgf.exe] C:\WINDOWS\sdkgf.exe
    O4 - HKLM\..\RunOnce: [addnc.exe] C:\WINDOWS\addnc.exe
    O4 - HKLM\..\RunOnce: [nettf.exe] C:\WINDOWS
    ettf.exe
    [/b:446214daa7]
    Start de computer in veilige modus door tijdens het opstarten op F8 te drukken, en verwijder de volgende bestanden:

    C:\WINDOWS\system32\d3kd.exe <–dit bestand
    C:\WINDOWS\appju32.exe <–dit bestand
    C:\WINDOWS\system32\amejx.dll <–dit bestand

    Plak onderstaande quote in een kladblokbestand, sla het op als cwsuninst.reg
    [quote:446214daa7]
    REGEDIT4

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY___NS_SERVICE_3]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\__NS_Service_3]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY___NS_SERVICE_3]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\__NS_Service_3]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
    "Shopping Wizard"=-
    "Search Extender"=-
    "Home Search Assistant"=-
    [/quote:446214daa7]
    Dubbelklik op cwsuninst.reg om de wijzingen aan het register toe te voegen.
    Reboot run HijackThis nog een keer en post een nieuwe log.
    Meldt even wat lukte en wat niet, wat je kon verwijderen en wat niet?.

    groeten,



  • [code:1:211b88ee72]C:\WINDOWS\system32\d3kd.exe
    C:\WINDOWS\appju32.exe
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\amejx.dll/sp.html#27063
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://amejx.dll/index.html#27063
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://amejx.dll/index.html#27063
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\amejx.dll/sp.html#27063
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://amejx.dll/index.html#27063
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\amejx.dll/sp.html#27063
    O2 - BHO: (no name) - {38683242-D589-5595-2821-3BE52429FEC3} - C:\WINDOWS\system32\apphk32.dll
    O4 - HKLM\..\Run: [appju32.exe] C:\WINDOWS\appju32.exe
    O4 - HKLM\..\RunOnce: [iesf.exe] C:\WINDOWS\system32\iesf.exe
    O4 - HKLM\..\RunOnce: [netxy.exe] C:\WINDOWS\system32
    etxy.exe
    O4 - HKLM\..\RunOnce: [atlau32.exe] C:\WINDOWS\system32\atlau32.exe
    O4 - HKLM\..\RunOnce: [iekp32.exe] C:\WINDOWS\iekp32.exe
    O4 - HKLM\..\RunOnce: [apibn.exe] C:\WINDOWS\system32\apibn.exe
    O4 - HKLM\..\RunOnce: [atlvt.exe] C:\WINDOWS\system32\atlvt.exe
    O4 - HKLM\..\RunOnce: [d3zw.exe] C:\WINDOWS\system32\d3zw.exe
    O4 - HKLM\..\RunOnce: [javawo32.exe] C:\WINDOWS\system32\javawo32.exe
    O4 - HKLM\..\RunOnce: [javajn.exe] C:\WINDOWS\system32\javajn.exe
    O4 - HKLM\..\RunOnce: [ntig32.exe] C:\WINDOWS\system32
    tig32.exe
    O4 - HKLM\..\RunOnce: [ntym32.exe] C:\WINDOWS\system32
    tym32.exe
    O4 - HKLM\..\RunOnce: [winay32.exe] C:\WINDOWS\system32\winay32.exe
    O4 - HKLM\..\RunOnce: [sdkgf.exe] C:\WINDOWS\sdkgf.exe
    O4 - HKLM\..\RunOnce: [addnc.exe] C:\WINDOWS\addnc.exe
    O4 - HKLM\..\RunOnce: [nettf.exe] C:\WINDOWS
    ettf.exe
    [/code:1:211b88ee72]

    Aanvinken en fixen.
    Daarna rebooten in safe mode en Spybot en AdAware draaien en evt problemen laten fixen.

    Reboot daarna terug naar Windows en draai hjt nog eens en post de logfile.



  • Nevermind…
  • ik ga het even proberen… alvast bedankt
  • Ik heb alles gedaan zoals aangegeven
    hier de laatste log:

    Logfile of HijackThis v1.97.7
    Scan saved at 15:19:53, on 27-6-2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\NORTON~1
    avapw32.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Program Files\Norton AntiVirus
    avapsvc.exe
    C:\WINDOWS\System32
    vsvc32.exe
    C:\Program Files\MRU-Blaster\scheduler.exe
    C:\Program Files\TVFM Tuner\QuickTV.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\MsPMSPSv.exe
    C:\hijackthis\HijackThis.exe

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1
    avapw32.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKCU\..\Run: [MtdAcq] C:\Program Files\Creative\Shared Files\Media Sniffer\MtdAcq.EXE /s
    O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
    O4 - Startup: MRU-Blaster Scheduler.lnk = C:\Program Files\MRU-Blaster\scheduler.exe
    O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Program Files\MRU-Blaster\mrublaster.exe
    O4 - Startup: QuickTV.lnk = C:\Program Files\TVFM Tuner\QuickTV.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\googletoolbar.dll/cmsearch.html
    O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\googletoolbar.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\googletoolbar.dll/cmcache.html
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\googletoolbar.dll/cmsimilar.html
    O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\googletoolbar.dll/cmtrans.html
    O9 - Extra button: ICQ Lite (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)


    Ik moet nog wel ff proberen IE weer opnieuw te starten en het resultaat bekijken.
    over enkele minuten weten we of het gelukt is…..



  • Allebei heel erg bedankt!!! Het werkt!
    thnx
    Moet ik nog iets terug zetten van de gewijzigde instellingen?
  • Edit:
    Ga in de verkenner en kijk of volgende bestanden aanwezig zijn:
    c:\windows\system32\control.exe
    c:\windows\system32\drivers\etc\hosts

    Maak je gebruik van Spybot Search & Destroy?
  • M@rc,

    control.exe is aanwezig
    …\hosts is er niet, wel een file genaamd Imhosts

    en ja, ik gebruik S&D
  • Hallo Peeet,

    Deze hijacker heeft bij jou SDHelper.dll en hosts verwijderd.

    Download hier SDhelper.dll. Plaats de file in de installatiemap van spybot. (Meestal is dit C:\Program Files\Spybot - Search & Destroy)

    Imhosts moet er ook zijn. Gewoon laten staan.
    Download the Hoster. Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af.

    ….en dan kan je er weer tegen.

    groeten,
    Marc
  • Overweeg verder te gaan browsen met bv Mozilla Firefox.
  • hallo M2rc,

    De link naar the hoster werkt niet..

    de SDhelper staat wel weer op z'n plaats..

    groet,
    Peeet
  • Peeet,

    Probeer deze.

    groeten,
  • M@rc,

    Het is voor elkaar.
    Ik kan er zo dus weer even tegen….
    thxs
  • Let verder niet op mij, ik lul maar wat…

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.