Vraag & Antwoord

Beveiliging & privacy

spyware

Anoniem
None
45 antwoorden
  • Ik heb echt ongelofelijke last van spyware!

    Mijn comuter is traag
    Mijn startpagina geeft about blank aan
    en ik kan mijn mail niet meer bekijken want dan krijg ik een search programma. Dit is mijn Hijack

    Logfile of HijackThis v1.98.0
    Scan saved at 17:24:02, on 29-7-2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\PROGRA~1\Navnt
    pssvc.exe
    C:\PROGRA~1\NTS\WANADO~1\app\pppoeservice.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Kazaa Lite K++\KazaaLite.kpp
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Winamp3\winamp3.exe
    C:\WINDOWS\Temporary Internet Files\Content.IE5\37NRA2FS\HijackThis[1].exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\WINDOW~1\LOCALS~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\WINDOW~1\LOCALS~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\WINDOW~1\LOCALS~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\WINDOW~1\LOCALS~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\WINDOW~1\LOCALS~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\WINDOW~1\LOCALS~1\Temp\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door Wanadoo Cable v1.2c NL
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    F1 - win.ini: run=fntldr.exe
    O1 - Hosts: 64.237.45.18 ad.doubleclick.net
    O1 - Hosts: 64.237.45.18 aff.weatherbug.com
    O1 - Hosts: 64.237.45.18 www.burstnet.com
    O1 - Hosts: 64.237.45.18 oz.valueclick.com
    O1 - Hosts: 64.237.45.18 a.tribalfusion.com
    O1 - Hosts: 64.237.45.18 servedby.advertising.com
    O1 - Hosts: 64.237.45.18 my.search
    O1 - Hosts: 64.237.45.18 pagead2.googlesyndication.com
    O1 - Hosts: 209.87.155.230 date.com
    O1 - Hosts: 209.87.155.230 dating.com
    O1 - Hosts: 209.87.155.230 freedating.com
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Windows OleServer - {98DBBF16-CA43-4c33-BE80-99E6694468A4} - C:\WINDOWS\System32\msmk.dll
    O2 - BHO: (no name) - {E6573961-8C5D-4EFF-A932-35EE91BDA594} - C:\WINDOWS\System32\edijona.dll
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [DVDUpgrade] DVDUpgrd.exe /async9x
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
    O4 - HKLM\..\Run: [redirect] C:\windows\redirect7.exe
    O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
    O4 - HKLM\..\Run: [easywww] C:\windows\easywww2.exe
    O4 - HKLM\..\Run: [KAZAA] "C:\Program Files\Kazaa Lite K++\kpp.exe" "C:\Program Files\Kazaa Lite K++\KazaaLite.kpp" /SYSTRAY
    O4 - HKLM\..\Run: [SexCams_nl] C:\Program Files\SCom\Dialers\SexCams_nl\SexCams_nl.exe /dontdial
    O4 - HKLM\..\Run: [Soundmx] \soundmx.exe
    O4 - HKLM\..\Run: [g0wmy8r6fs] C:\WINDOWS\gp0ekwktfv.exe
    O4 - HKLM\..\Run: [dnkyugjyxxio] C:\WINDOWS\System32\vkuoiz.exe
    O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
    O4 - HKLM\..\Run: [NPS Event Checker] C:\PROGRA~1\Navnt
    pscheck.exe
    O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\Navnt\defalert.exe
    O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [DivX Updater] C:\WINDOWS\System32\DivX.Exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [aimboot] %SystemRoot%\awinrar.exe
    O4 - HKCU\..\Run: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup
    O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
    O4 - Global Startup: Office Opstarten.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
    O4 - Global Startup: Microsoft Office Snelzoeken.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O4 - Global Startup: Trust 730S LCD PowerC@M ZOOM Monitor.lnk = C:\Program Files\Trust\Trust 730S LCD PowerC@M ZOOM\ICON.exe
    O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = C:\Program Files\Navnt
    avapw32.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra button: Winipcfg - {1DDC24C0-53B2-11F6-A8D6-0010A70C787D} - C:\WINDOWS\Winipcfg.exe (file missing) (HKCU)
    O15 - Trusted Zone: http://*.nuker.com
    O15 - Trusted Zone: http://*.spywarenuker.com
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8E5A0BC7-5FEA-4816-9811-CDB1715C72E5}: NameServer = 194.134.5.5 194.134.5.55
    O18 - Filter: text/html - {877827D8-EC22-46D8-BEE5-7FF4635FCF12} - C:\WINDOWS\System32\edijona.dll
    O18 - Filter: text/plain - {877827D8-EC22-46D8-BEE5-7FF4635FCF12} - C:\WINDOWS\System32\edijona.dll
    O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
    O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)

    Wat ken ik er hiervan verwijderen??

    Alvast bedankt!!

    Adaware en spybot vinden de spyware niet.


  • m@rc en consorten denk wel om win en ie update

    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
  • Doe een online virusscan.

    Download daarna Ad-Aware en CWShredder.
    Installeer en update Ad-Aware en scan je systeem volledig. Verwijder alles wat Ad-Aware vindt.
    Draai daarna CWShredder.

    Draai daarna Hijackthis nog een keer en post je nieuwe log in je volgende bericht.

    Downloadlinks en instructies vindt je hier.

    En idd, Update je Windows!
  • Doe evt Spybot S&D er ook nog bij. zie Spyware FAQ
  • [quote:d3677449b5="heesch11"]En idd, Update je Windows![/quote:d3677449b5]ik denk dat we eerst de hijacker er af moeten hebben voor ie weer kan updaten
  • Dit is mijn nieuwe hijack

    Logfile of HijackThis v1.98.0
    Scan saved at 19:14:52, on 29-7-2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\Navnt
    pssvc.exe
    C:\PROGRA~1\NTS\WANADO~1\app\pppoeservice.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Kazaa Lite K++\KazaaLite.kpp
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\WINDOWS\explorer.exe
    C:\Documents and Settings\Windows-gebruiker\Mijn documenten\HijackThis.exe
    C:\WINDOWS\System32\wuauclt.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ajax.nl/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door Wanadoo Cable v1.2c NL
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O1 - Hosts: 64.237.45.18 www.burstnet.com
    O1 - Hosts: 64.237.45.18 oz.valueclick.com
    O1 - Hosts: 64.237.45.18 a.tribalfusion.com
    O1 - Hosts: 64.237.45.18 servedby.advertising.com
    O1 - Hosts: 64.237.45.18 pagead2.googlesyndication.com
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [DVDUpgrade] DVDUpgrd.exe /async9x
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
    O4 - HKLM\..\Run: [redirect] C:\windows\redirect7.exe
    O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
    O4 - HKLM\..\Run: [easywww] C:\windows\easywww2.exe
    O4 - HKLM\..\Run: [KAZAA] "C:\Program Files\Kazaa Lite K++\kpp.exe" "C:\Program Files\Kazaa Lite K++\KazaaLite.kpp" /SYSTRAY
    O4 - HKLM\..\Run: [g0wmy8r6fs] C:\WINDOWS\gp0ekwktfv.exe
    O4 - HKLM\..\Run: [dnkyugjyxxio] C:\WINDOWS\System32\vkuoiz.exe
    O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
    O4 - HKLM\..\Run: [NPS Event Checker] C:\PROGRA~1\Navnt
    pscheck.exe
    O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\Navnt\defalert.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [DivX Updater] C:\WINDOWS\System32\DivX.Exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup
    O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
    O4 - Global Startup: Office Opstarten.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
    O4 - Global Startup: Microsoft Office Snelzoeken.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O4 - Global Startup: Trust 730S LCD PowerC@M ZOOM Monitor.lnk = C:\Program Files\Trust\Trust 730S LCD PowerC@M ZOOM\ICON.exe
    O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = C:\Program Files\Navnt
    avapw32.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra button: Winipcfg - {1DDC24C0-53B2-11F6-A8D6-0010A70C787D} - C:\WINDOWS\Winipcfg.exe (file missing) (HKCU)
    O15 - Trusted Zone: http://*.nuker.com
    O15 - Trusted Zone: http://*.spywarenuker.com
    O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4382/mcfscan.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8E5A0BC7-5FEA-4816-9811-CDB1715C72E5}: NameServer = 194.134.5.5 194.134.5.55


  • Ga even kijken
  • Download het bestand Appinit.bat.
    Run het bestand niet uit de zip-map, maar unzip het naar je desktop.
    Even verschijnt er een dosbox en dan wordt er een bestandje aangemaakt dat windows.txt noemt.
    Plak de inhoud van windows.txt in je volgende bericht.
  • ik krijg een txt bestandje met allemaal rare tekens!!!!! En hij is heel groot. Toch neerzetten?
  • toch neerzetten, dat is precies wat ik even wil zien.
  • regf       Jack\Onbekend\0:04:29
    kG hbin  ¾Sßy…úRk5%èL
    Ä«dá¨ÿÿÿnk, à“£æÄ ÿÿÿÿ ÿÿÿÿÿÿÿÿ 8 x ÿÿÿÿ 0 : Q£‹ˆ WindowsoÈþÿÿsk7x x    ”     ì
         !
     €  !      #
     €  #  ?    
         ?   
        ?    
            „B£7Øÿÿÿvk : Ø   fùAppInit_DLLs֍æGÀÿÿÿc : \ w i n d o w s \ s y s t e m 3 2 \ w i n g . d l l ‰  ° Ðÿÿÿvk  P   ÀUDeviceNotSelectedTimeoutðÿÿÿ1 5  _£ûóðÿÿÿ9 0   Ðÿÿÿvk  €'   zGDIProcessHandleQuota"þàÿÿÿvk  À   °ºSpooler2ðÿÿÿy e s  °  p  è àÿÿÿvk  €   =pswapdiskÐÿÿÿvk  `   R¿TransmissionRetryTimeoutàÿÿÿ°  p  è  X Ðÿÿÿvk  €'   USERProcessHandleQuota x âú€š~~µïþ÷Ÿ_eB6¸´v¥ùÙÇÛGE ǨË¤vìÅé2ôæ:@”JVT( ‡äI¨…"ö3‡ÞçK\œèŒ]Ò\jù¦ï¬•SLJoÁP•kžh¡SÊ7pÁaARËòÚòÛLäpÕÑ©C8¿*ÕˆQÀK!+¢·87­ç|ËœW¾1ÝiBjµ LP(¸Üdr±§»‹ÊƧ}mÏëVâF$ &‡. U7XY÷Q:-cöujP¶„
    $Ûn|“dTÛX†÷u€úÐuq„Bnsüõ´¿Ð³BÓ✟‘åþñˆšö7ìÇn¾{Vö,-¸CÇõ‡ýoªE—¯sôïæÊLH~ƹ\†’d B 7vâFUýM}s±‚%È.ìGM"¢Ž¹YŠ©ŸëEŠôñ®e ÿûÉÞ¥ëÔ¡vnP²Ä•¥çç¤Ûö2/hŒÈÆ#ŽÛ÷ÿû’€Ý-Ú/2`Wêëí<coK5+u¦ kÉ7ì€ö0@ɹ-ìéG.}ApÈ ‰0cAfÌNŽ†å â(Àñù™ËVÐ.ÏnMv㏄5N`MNtFš‚j*—ã=ÄÖ÷›ÏÜ’õ&¬$BUºË-Õ°‡‹=7Ò@ pŠI'(Ë8Ý<b>ÒÅÐñ>Ð êA¦Š= 3Ä7%ÃÞ¸¶iÕk^J$NKœ¹r”O!hŒM›Ïßå³¾ýzÜuOÌ;‡ôBk¹¾U6³Fò0üŒÌò²H¨€ ªB—ÃÓÛ¤›‰®
    ô‘¢k“銫ŠvªM\[WjύÆÉÚøÔNåù­‘ßʐÚÅ™R]KM”žù×.½ Zš­(¤:Ä?KoÈD:P;ÅŒócÇ£xAÐè§ÑLœg: ä&Di<‡¸Óo'Îk&³q}k=§EVÇÞX’GÛz8/µMÏÔ«ÕÏƧ ¬Á|\*ÀËФû~ÿ§«V‘+…ÔóZä—½NØr0?'tB’¾=3ý»¾J<Ÿ7¬Lgaÿû’‘bÆ,Ù«2`R#ÛIaæJ
    4­d =)Cl•‡™0ꢶeoL › ±ë^âuoÞù‹÷ª?CÁ1e¸Uþ5_É]ÊWýÌ)æj‘ {îfS8ž¡Ø]|¥Š.¿€XŒ~¿”ÿˆWȏØ14«¤1êgÿ£“zˆ«<ýw®Èõ¾ÞíU¤µ7M©ulØ‹{j>È!~ñöpªc”J]75ÕëÃýBÅcQ"ÃDÿ½ Ñ1Ü[)éw÷<ùÔQ,ÇÀ`Ez5Ø ¥ét)ýü¨½ŒJt‘ëQÊë_Û×íû¾ÎÄýpÅôïVgMÛ^¶‰Š7IÊ3…2Š#”‘1Q™$(2h-J[²¤[5-7HØÞ£c2úI­&t5.Ý”ìËZÒHûJ²úo÷è>ÿo÷~¢é €¶Ð$ŒGhuWA$Kˆ$;Z’—‚(R^dzËROZÛu&V»˜ûo5ýQ¶Kàêhûé·ÎW§¥.ôµ¦EÇA´“Õ’ ¾Ãs·Õ BE\§SÒr™Oÿû’©B—(]i‰RM…K=æL
    $«h´ø M mô–‰p¶œŒé²\x™! ‡^@2@ RŠºNL’uŇѺ¸ÇŸ`ø±éã[uªYxꇪæ&íôšÃi¾Ñ›ôÖô¦LZ ÃïÏ?ëà!ü­ì Q¬7 }õðE,Iã¾/ÿþÛ&l@  $””`¨8âyíÎPIkPt_¡¿nîm[øvâ>/œÎdz²q¾}ݯ¹Þô͝Ïþü¸{¶‡·ËØl}þöÇìÝÒÉ×3¹0´‘&e=hO˃ì¤*/žT“ŽÈkL«Ù'žô„€·< $’wDŠ¬Ü<šª¥jI À'Ü»±—
    –ճ姑r§BÖF«/Ý Œág†¿uöüª¨þYEŒ³—³²rùá…]ýgKÕÊ‘ž#±Ò)L©%d FÐY„ð ›BBs½<±’¤Åsb™R2€>E婲`˜y’­/¼îµúóE¶­ï¼¿Ë›œÎ,q1%ÞÊå‡ÚªQí÷¸ÌüoòÁò‡gJ¹ nIMRMÆEçjíó¥¶ÿûÅ€w+Z–=€i ­%oK)g{¼‘€*­,ØÇ¥¹—³qû¯.öµµY]8ItîÉ%VîÍa— ‚š«öLPmº•` üŠ—5¿SÕ²m±Ñγ–õ±2'(šëq#ÿÛ7_}ä6
    •n›w8`‚,û¶þó¿ßÿÿ©?Ý ©£¡€ª,®š4ÃæÞ@^¥–á âŒs¨IZ^ Åÿ“u5ö3ŽBPð=f± ‹3Úßã.­ý.cX·JÍQ»Î¬¬»ÒcQ±ÉB”¦×¾Û{ÓjŠªbÔÆ«šyZgxc;ð€œÍ´¶>
    ln:Á<=q‘”äuDdf‰vçCÜ*çHêep4ܼ;î7¦›©»išC˜yå'E3ÆÖ<“þ}¬ù÷'7"0>ź®†µô±´ß®v¥®©Pá÷Ùz}¾¤ ‘HÜ“®
    •|“XO›<ÊÊ¿ý¯è‘ŽsüÂ:ÎÐYö)UWÑ»³³±ÒÆ>Ëø'×ÕÚ7åYe!ÖˆUGJÙ%+šÊ@ÁS½')¬«d~d•Uÿû’¨†Ÿ*Z©/2`T‰»©%^J<©j¤¼ÉT+oô‘‰½° rÚ¹7šQ?e3}P!¾Gh4Ýå 㙯—ou9ð#(+•ò}”ù©hÇ {ìyÝάs¹rúøj
    oz.Ü࢒->Ÿ1±Ì¯b $ÛŠßu"MÛ.…N6Š Ëo]%#êQú€‚
    V*lìn[²nä¾_)üŸ”>£¯Œ‡Ö<¾!šååû©¬Ð³o«ð̾öG"™ þ§nJõ†.&•JÇÛˆÐó‰L-Jëâ÷Ù¡ÎQÛ™¥¨Z¦ízXnOrí¾Þ«öÖY®
    Af%9Üt¢°k-#[Œ±^ó>|ÿ§ ß@„XÛßoôð§Oî1ÃÅXýh ƒ€Ñ{COe&óî'e¬« =%–Ì=/îՏ¹«­²Kä Aª)^éÿ0²¶ b[™‘ß¾fKc<Ì G-ÏâÉ·³Òç{ÐìÔÁÿ…º ¶Ô ÊðŠ>–3íY ÀùàÞ|…Z_ȹN­V­5hŠæŒ¨Úí/ÿžÅŒàLÿû’¿„±*Üé+bUê;ý$£_J ©fá)<•lÔ—™0a×ñßlO ªmñ–/ÿà¨ÿœôUs_nêößàãN¤À0"Áa!*ÆÓE°fÎg€¹¢Øû-íkR=pͪöôű’*ib]%WdœÃSh¢$*f’gpï},ð™'@Hó.<"¼Qžßþ1JýÉ‹)ÇÞ¨Ý ZÛa Œ¡D¯U†¦´Œb‰˜¦è0/§º-û„–ʌǶŒì§ºn©~ôGGDﻟúåO,m±÷²¶¿DTÖÛUF&´’h ŽËÞ5k5ͳ ÿ²#~ø]ãÙñ {›®K]ǁâ¾÷Ïÿ­3FXK
    ;¢à¶'~Ÿ›ÿñŒ¹ÅΫѥ8²ÖŠ.LYïŒ( Ï̗P÷êJ ^¸ª%Ñ+
    Óß„fýÈë&c#oDQfÛjµô9õ½>›ΩœxÔÕmJÓy·¼ÆÝã;¶««¿¦“!71wbçóüŽK_:Ûjtøh©ÏÕ=rü§Mb#Ìó¯^³b„ÿû’Ø„B•*\Q(bSåK%æL
    t«u¤´I‰3•m¤—0 CU˜@ y!+"Y*º5#8l­‘ãÔ‰y g<°§•ûÕôÅ©5Ÿ5q]ÀÕ7LĶþï]ïÃŒïêºÎÌ䤂ÎsòôõûØò¦F-+vÑsö¹ä™P†ÒqÆ2™L†R:¥_3¡áý=±€ )Ýø$Ñ6Å=•“Ç6Apa`@Ê"M¯ëÖ±S3ëIÄMB¥ö8ñ“¥EÏu3u42HT¾c–õ©´¡úTüÕD*]W³Zsö5ãÇ$M[O‡{›NéV—+Í΂:b "Rr^P Ùx(‹î±çEÒÆ ½Lÿ‰›¬Ÿ¾W®8çŠsf1~’<|×Pšâ•ÈØ„ûŽ‘?ûšy­9¨„ãõÇO“è·\JÃGWo
  • Download TheKillbox.
    Unzip de bestanden naar een aparte map. Run Killbox door te dubbelklikken op Killbox.exe.
    In de "Paste Full Path of File to Delete" box, kopieer en plak je het volgende:
    c:\windows\system32\wing.dll
    Ga naar het menu "Action" en kies voor "Delete on reboot".
    In het volgende scherm ga je in het menu "File" naar "Add file". Het bestand dat je wil verwijderen wordt nu toegevoegd aan de lijst, en komt in het scherm te staan.

    Als dit gebeurd is, ga je in dit zelfde venster naar het menu "Action", en kies je voor "Process and Reboot".
    De computer moet nu opnieuw gestart worden.
    Na de reboot run je de nieuwste versie van CWShredder, en Ad-aware.
    Herstart hierna en draai een nieuw Hijacklog, en plaats dat in je volgende bericht, dan halen we de laatste sleutels eruit.
  • dit is mijn nieuwe hijack!!

    Logfile of HijackThis v1.98.0
    Scan saved at 20:42:22, on 29-7-2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Kazaa Lite K++\KazaaLite.kpp
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\PROGRA~1\Navnt
    pssvc.exe
    C:\PROGRA~1\NTS\WANADO~1\app\pppoeservice.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Documents and Settings\Windows-gebruiker\Mijn documenten\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ajax.nl/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door Wanadoo Cable v1.2c NL
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O1 - Hosts: 64.237.45.18 www.burstnet.com
    O1 - Hosts: 64.237.45.18 oz.valueclick.com
    O1 - Hosts: 64.237.45.18 a.tribalfusion.com
    O1 - Hosts: 64.237.45.18 servedby.advertising.com
    O1 - Hosts: 64.237.45.18 pagead2.googlesyndication.com
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [DVDUpgrade] DVDUpgrd.exe /async9x
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
    O4 - HKLM\..\Run: [redirect] C:\windows\redirect7.exe
    O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
    O4 - HKLM\..\Run: [easywww] C:\windows\easywww2.exe
    O4 - HKLM\..\Run: [KAZAA] "C:\Program Files\Kazaa Lite K++\kpp.exe" "C:\Program Files\Kazaa Lite K++\KazaaLite.kpp" /SYSTRAY
    O4 - HKLM\..\Run: [g0wmy8r6fs] C:\WINDOWS\gp0ekwktfv.exe
    O4 - HKLM\..\Run: [dnkyugjyxxio] C:\WINDOWS\System32\vkuoiz.exe
    O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
    O4 - HKLM\..\Run: [NPS Event Checker] C:\PROGRA~1\Navnt
    pscheck.exe
    O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\Navnt\defalert.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [DivX Updater] C:\WINDOWS\System32\DivX.Exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup
    O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
    O4 - Global Startup: Office Opstarten.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
    O4 - Global Startup: Microsoft Office Snelzoeken.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O4 - Global Startup: Trust 730S LCD PowerC@M ZOOM Monitor.lnk = C:\Program Files\Trust\Trust 730S LCD PowerC@M ZOOM\ICON.exe
    O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = C:\Program Files\Navnt
    avapw32.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra button: Winipcfg - {1DDC24C0-53B2-11F6-A8D6-0010A70C787D} - C:\WINDOWS\Winipcfg.exe (file missing) (HKCU)
    O15 - Trusted Zone: http://*.nuker.com
    O15 - Trusted Zone: http://*.spywarenuker.com
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4382/mcfscan.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8E5A0BC7-5FEA-4816-9811-CDB1715C72E5}: NameServer = 194.134.5.5 194.134.5.55
    O20 - AppInit_DLLs: c:\windows\system32\wing.dll


    ik merk het al dat het alweer een stuk beter gaat. computer wordt sneller en mijn startpagina doet het ook gewoon weer.


  • Hallo Tinus,

    We zijn er nog niet.
    Waarschijnlijk heb je nog steeds last van de About:blank hijack.
    Voor we die aanpakken gaan we eerst wat spul opruimen.

    Van Bearshare zijn er versie bekend die spyware bevatten. Aan jou de keuze..(ik zou hem deïnstalleren)

    Ga naar configuratiescherm - Software -programma's wijzigen of verwijderen. Deïnstalleer
    Spykiller
    SpywareBegone.


    Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren:
    [b:831e2919bb]
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

    O1 - Hosts: 64.237.45.18 www.burstnet.com
    O1 - Hosts: 64.237.45.18 oz.valueclick.com
    O1 - Hosts: 64.237.45.18 a.tribalfusion.com
    O1 - Hosts: 64.237.45.18 servedby.advertising.com
    O1 - Hosts: 64.237.45.18 pagead2.googlesyndication.com

    O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
    O4 - HKLM\..\Run: [redirect] C:\windows\redirect7.exe
    O4 - HKLM\..\Run: [easywww] C:\windows\easywww2.exe
    O4 - HKLM\..\Run: [g0wmy8r6fs] C:\WINDOWS\gp0ekwktfv.exe
    O4 - HKLM\..\Run: [dnkyugjyxxio] C:\WINDOWS\System32\vkuoiz.exe
    O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
    O4 - HKLM\..\Run: [KAZAA] "C:\Program Files\Kazaa Lite K++\kpp.exe" "C:\Program Files\Kazaa Lite K++\KazaaLite.kpp" /SYSTRA

    O4 - HKCU\..\Run: [DivX Updater] C:\WINDOWS\System32\DivX.Exe
    O4 - HKCU\..\Run: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup
    O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan

    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

    O15 - Trusted Zone: http://*.nuker.com
    O15 - Trusted Zone: http://*.spywarenuker.com


    [/b:831e2919bb]
    Als je dit gedaan hebt start je de computer op in veilige modus.
    Zorg dat alle verborgen bestanden weergegeven worden, en verwijder de volgende bestanden of mappen indien aanwezig:
    C:\windows\redirect7.exe
    C:\windows\easywww2.exe
    C:\WINDOWS\gp0ekwktfv.exe
    C:\WINDOWS\System32\vkuoiz.exe
    C:\WINDOWS\alchem.exe
    C:\WINDOWS\System32\DivX.Exe

    Reboot de computer en doe een online-scan: http://housecall.trendmicro.com/housecall/start_corp.asp

    Reboot de computer, run HijackThis nog een keer en post een nieuwe HijackTHislog.

    Meldt ook even of FAT32 of NTFS gebruikt.

    groeten,
    Marc
  • Moet ik de geinfecteerde bestanden verwijderen of herstellen??
  • Mogen allemaal weg.
  • Logfile of HijackThis v1.98.0
    Scan saved at 22:15:25, on 29-7-2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\PROGRA~1\Navnt
    pssvc.exe
    C:\PROGRA~1\NTS\WANADO~1\app\pppoeservice.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Documents and Settings\Windows-gebruiker\Mijn documenten\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ajax.nl/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door Wanadoo Cable v1.2c NL
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [DVDUpgrade] DVDUpgrd.exe /async9x
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
    O4 - HKLM\..\Run: [NPS Event Checker] C:\PROGRA~1\Navnt
    pscheck.exe
    O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\Navnt\defalert.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - Global Startup: Office Opstarten.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
    O4 - Global Startup: Microsoft Office Snelzoeken.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O4 - Global Startup: Trust 730S LCD PowerC@M ZOOM Monitor.lnk = C:\Program Files\Trust\Trust 730S LCD PowerC@M ZOOM\ICON.exe
    O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = C:\Program Files\Navnt
    avapw32.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra button: Winipcfg - {1DDC24C0-53B2-11F6-A8D6-0010A70C787D} - C:\WINDOWS\Winipcfg.exe (file missing) (HKCU)
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4382/mcfscan.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8E5A0BC7-5FEA-4816-9811-CDB1715C72E5}: NameServer = 194.134.5.5 194.134.5.55
    O20 - AppInit_DLLs: c:\windows\system32\wing.dll


    Ik gebruik NTFS


  • Dit heb ik nog niet gezien:
    O20 - AppInit_DLLs: c:\windows\system32\wing.dll

    Dit is de verborgen installer voor about:blank
    Een goede kans dat de infectie straks of morgen weer daar is.
    Om dit te voorkomen moeten we dit bestandje eerst zichtbaar maken.
    Download Reglite: http://www.resplendence.com
    eglite
    Installeer en run het programma. In het scherm dat opent geef je bij Adress het volgende in (copy/paste):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs.

    Dubbelklik op AppInit_DLLs om de Data editor te openen. Onderaan dit venster zie je een veld 'Value'.
    Dit veld bevat de waarde: c:\windows\system32\wing.dll
    Is die niet zo meld je dan terug.
    De map Windows in het linkerscherm van Reglite is paars geselecteerd. Rechtsklik op deze map en kies voor Rename. Hernoem deze map naar NOTWindows.
    Klik opnieuw op AppInit_DLLs. Selecteer in het veld Value de verwijzing naar de c:\windows\system32\wing.dll, en verwijder het.
    Hernoem de map NOTWindows naar zijn oorsponkelijke naam Windows.
    Controleer nu via verkenner of je c:\windows\system32\wing.dll kan zien.

    groeten,
    Marc
  • Ik druk op download reglite for free. IN het volgende scherm ken ik kiezen tussen heel wat dingen om te downloaden. Welke moet ik hiervan nemen?
  • Neem deze maar

    groeten,

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.

Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord