Vraag & Antwoord

Beveiliging & privacy

Irritante werkbalk / Hijackthis-log

Anoniem
None
12 antwoorden
  • Hallo,

    Een maatje van me heeft sinds enige tijd een irritante werkbalk in zijn Internet Explorer staan; valt met geen mogelijkheid te verwijderen. Ook AdAware weet niks te vinden.
    Een logbestand van Hijackthis plak ik hieronder; heeft iemand misschien een idee of daar 'onrechtmatigheden' in staan? En zo ja, hoe of deze verwijderd moeten worden?

    Alvast bedankt!

    Logfile of HijackThis v1.98.2
    Scan saved at 21:29:59, on 15-9-2004
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    I:\WINDOWS\System32\smss.exe
    I:\WINDOWS\system32\winlogon.exe
    I:\WINDOWS\system32\services.exe
    I:\WINDOWS\system32\lsass.exe
    I:\WINDOWS\system32\svchost.exe
    I:\WINDOWS\System32\svchost.exe
    I:\WINDOWS\system32\spoolsv.exe
    I:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
    I:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    I:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    I:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
    I:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE
    I:\WINDOWS\Explorer.EXE
    I:\WINDOWS\System32\nvsvc32.exe
    I:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
    I:\WINDOWS\System32\taskswitch.exe
    I:\WINDOWS\System32\fast.exe
    I:\PROGRA~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE
    I:\WINDOWS\Dit.exe
    I:\Program Files\Common Files\Symantec Shared\ccApp.exe
    I:\WINDOWS\Mixer.exe
    I:\Program Files\Browser mouse\1.3\mouse32a.exe
    I:\PROGRA~1\COMMON~1\TerraTec\SCHEDU~1\TTTimer.exe
    I:\WINDOWS\System32\svchost.exe
    I:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
    I:\WINDOWS\system32\ctfmon.exe
    I:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    I:\WINDOWS\System32\Fast.exe
    I:\Program Files\FireTrust\MailWasher Pro\MailWasher.exe
    I:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
    I:\WINDOWS\DitExp.exe
    I:\Program Files\Internet Explorer\iexplore.exe
    I:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
    C:\Program Files\Adobe\Photoshop 7.0\Photoshop.exe
    I:\Program Files\Windows Media Player\wmplayer.exe
    I:\Program Files\Norton SystemWorks\Norton Antivirus\OPScan.exe
    I:\Program Files\Messenger\msmsgs.exe
    K:\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O1 - Hosts: 127.98.9.1 mail.home.nl.b9
    O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {7E1A039E-924F-8394-B23C-6E2F4D0B9D1B} - (no file)
    O2 - BHO: StopPopBHO Class - {8017CFC2-1836-4A82-A5B6-829780A41536} - I:\Program Files\Tometa Software\StopPop.net\StopPop.net.dll
    O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - I:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O2 - BHO: (no name) - {F7091AC0-D05D-E0B2-7C2A-FD5CF0051C2C} - I:\PROGRA~1\64time\about plus.exe
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - I:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
    O4 - HKLM\..\Run: [CoolSwitch] I:\WINDOWS\System32\taskswitch.exe
    O4 - HKLM\..\Run: [FastUser] I:\WINDOWS\System32\fast.exe
    O4 - HKLM\..\Run: [Dit] Dit.exe
    O4 - HKLM\..\Run: [ccApp] "I:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [FLMMEDIONMOUSE] I:\Program Files\Browser mouse\1.3\mouse32a.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [TerraTec Scheduler] I:\PROGRA~1\COMMON~1\TerraTec\SCHEDU~1\TTTimer.exe
    O4 - HKLM\..\Run: [AWMON] "I:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
    O4 - Startup: MailWasherPro.lnk = I:\Program Files\FireTrust\MailWasher Pro\MailWasher.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = I:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
    O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
    O16 - DPF: {BAC01377-73DD-4796-854D-2A8997E3D68A} (Yahoo! Photos Easy Upload Tool Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_3us.cab
  • Heb je de "nieuwe" MSN Plus geinstalleerd? Tijdens de installatie moet je aanvinken dat je de content (o.a. werkbalk en nog wat andere troep) van de sponser niet accepteerd. Deinstalleer MSN Plus eens en kijk of de werkbalk weg is. Zoja, installeer MSN Plus opnieuw en let erop dat je de sponser content NIET accepteerd
  • @jaccoswinkels: Waar maak jij uit op dat ts MSN Plus geïnstalleerd heeft staan?

    @ts: Ik kijk 'm ff na.
  • [quote:3dc039fea9="=Rieske="]@jaccoswinkels: Waar maak jij uit op dat ts MSN Plus geïnstalleerd heeft staan?[/quote:3dc039fea9]

    Dat maak ik nergens uit op, ik vraag 't hem. Ik heb 't zelf ook meegemaakt. De werkbalk is nergens af te vinken en ad-aware kan 'm ook niet verwijderen. Dan wordt 't vaak veroorzaakt door MSN Plus die MET sponsers is geinstalleerd.
  • Mgoe…
    :-?
    ===

    Sluit alle browservensters en fix onderstaande items.
    [code:1:b994890a20]O1 - Hosts: 127.98.9.1 mail.home.nl.b9
    O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file)
    O2 - BHO: (no name) - {7E1A039E-924F-8394-B23C-6E2F4D0B9D1B} - (no file)
    O2 - BHO: StopPopBHO Class - {8017CFC2-1836-4A82-A5B6-829780A41536} - I:\Program Files\Tometa Software\StopPop.net\StopPop.net.dll
    O2 - BHO: (no name) - {F7091AC0-D05D-E0B2-7C2A-FD5CF0051C2C} - I:\PROGRA~1\64time\about plus.exe
    O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)[/code:1:b994890a20]

    Reboot naar veilige modus en verwijder de volgende bestanden.
    [code:1:b994890a20]I:\Program Files\Tometa Software\StopPop.net\StopPop.net.dll
    I:\PROGRA~1\64time\about plus.exe[/code:1:b994890a20]

    Boot terug naar winmode en post een nieuwe log.
  • Dank voor jullie reacties. Zoals ik al schreef betreft het niet mijn eigen PC, maar die van een maatje. Ik heb weer even bij hem geïnformeerd en hij blijkt inderdaad MSN Plus te hebben geïnstalleerd. Na de-installatie was de werkbalk inderdaad verdwenen. Het probleem lijkt opgelost, dus.

    @Rieske: ondanks dat de werkbalk nu verdwenen is zal ik jouw reactie aan hem doorgeven; kan hij in elk geval de rest van de overbodige rommel van zijn systeem verwijderen.

    Nogmaals dank!
  • De log vertoont geen enkel typisch MSN Plus spoor; gegeven items vormen dus andere meuk en dienen idd gefixed te worden.
  • @Rieske: Ik heb zojuist jouw reactie naar hem gemaild, met het verzoek om (na fixen) weer een nieuw log te draaien en op te sturen. Zodra ik dat binnen heb zet ik het hier weer neer, maar ik vrees dat (hem) dat vandaag niet meer gaat lukken.
  • @Rieske: Hieronder een nieuwe Hijack-log, na verwijdering van de door jou aangegeven items. Ziet het er zo al beter uit?

    Logfile of HijackThis v1.98.2
    Scan saved at 19:58:36, on 17-9-2004
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    I:\WINDOWS\System32\smss.exe
    I:\WINDOWS\system32\winlogon.exe
    I:\WINDOWS\system32\services.exe
    I:\WINDOWS\system32\lsass.exe
    I:\WINDOWS\system32\svchost.exe
    I:\WINDOWS\System32\svchost.exe
    I:\WINDOWS\system32\spoolsv.exe
    I:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
    I:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    I:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    I:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
    I:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE
    I:\WINDOWS\Explorer.EXE
    I:\WINDOWS\System32\nvsvc32.exe
    I:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
    I:\WINDOWS\System32\taskswitch.exe
    I:\PROGRA~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE
    I:\WINDOWS\System32\fast.exe
    I:\WINDOWS\Dit.exe
    I:\Program Files\Common Files\Symantec Shared\ccApp.exe
    I:\WINDOWS\Mixer.exe
    I:\Program Files\Browser mouse\1.3\mouse32a.exe
    I:\WINDOWS\System32\svchost.exe
    I:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
    I:\WINDOWS\system32\ctfmon.exe
    I:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    I:\WINDOWS\System32\Fast.exe
    I:\Program Files\FireTrust\MailWasher Pro\MailWasher.exe
    I:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
    I:\WINDOWS\DitExp.exe
    I:\Program Files\Windows Media Player\wmplayer.exe
    I:\Program Files\Messenger\msmsgs.exe
    K:\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O1 - Hosts: 127.98.9.1 mail.home.nl.b9
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - I:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - I:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O4 - HKLM\..\Run: [CoolSwitch] I:\WINDOWS\System32\taskswitch.exe
    O4 - HKLM\..\Run: [FastUser] I:\WINDOWS\System32\fast.exe
    O4 - HKLM\..\Run: [Dit] Dit.exe
    O4 - HKLM\..\Run: [ccApp] "I:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [FLMMEDIONMOUSE] I:\Program Files\Browser mouse\1.3\mouse32a.exe
    O4 - HKLM\..\Run: [AWMON] "I:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
    O4 - Startup: MailWasherPro.lnk = I:\Program Files\FireTrust\MailWasher Pro\MailWasher.exe
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
  • [code:1:dcb1cf369d]O1 - Hosts: 127.98.9.1 mail.home.nl.b9[/code:1:dcb1cf369d]
    Niet gefixed?
  • Hmmm, ga ik even navragen …
  • Die was er idd even bij in geschoten. Zie hier het nieuwe log:

    Logfile of HijackThis v1.98.2
    Scan saved at 21:33:04, on 17-9-2004
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    I:\WINDOWS\System32\smss.exe
    I:\WINDOWS\system32\winlogon.exe
    I:\WINDOWS\system32\services.exe
    I:\WINDOWS\system32\lsass.exe
    I:\WINDOWS\system32\svchost.exe
    I:\WINDOWS\System32\svchost.exe
    I:\WINDOWS\system32\spoolsv.exe
    I:\WINDOWS\Explorer.EXE
    I:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
    I:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    I:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    I:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
    I:\WINDOWS\System32\taskswitch.exe
    I:\WINDOWS\System32\fast.exe
    I:\WINDOWS\Dit.exe
    I:\Program Files\Common Files\Symantec Shared\ccApp.exe
    I:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE
    I:\WINDOWS\Mixer.exe
    I:\Program Files\Browser mouse\1.3\mouse32a.exe
    I:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
    I:\WINDOWS\system32\ctfmon.exe
    I:\WINDOWS\System32\nvsvc32.exe
    I:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
    I:\Program Files\FireTrust\MailWasher Pro\MailWasher.exe
    I:\PROGRA~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE
    I:\WINDOWS\DitExp.exe
    I:\WINDOWS\System32\svchost.exe
    I:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    I:\WINDOWS\System32\Fast.exe
    I:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
    I:\Program Files\Windows Media Player\wmplayer.exe
    C:\PROGRA~1\MICROS~4\OFFICE11\OUTLOOK.EXE
    C:\Program Files\Adobe\Photoshop 7.0\Photoshop.exe
    I:\WINDOWS\system32\rundll32.exe
    I:\Program Files\Norton SystemWorks\Norton Antivirus\OPScan.exe
    K:\HijackThis.exe
    I:\Program Files\Messenger\msmsgs.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - I:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - I:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O4 - HKLM\..\Run: [CoolSwitch] I:\WINDOWS\System32\taskswitch.exe
    O4 - HKLM\..\Run: [FastUser] I:\WINDOWS\System32\fast.exe
    O4 - HKLM\..\Run: [Dit] Dit.exe
    O4 - HKLM\..\Run: [ccApp] "I:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [FLMMEDIONMOUSE] I:\Program Files\Browser mouse\1.3\mouse32a.exe
    O4 - HKLM\..\Run: [AWMON] "I:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
    O4 - Startup: MailWasherPro.lnk = I:\Program Files\FireTrust\MailWasher Pro\MailWasher.exe
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.