Vraag & Antwoord
Nog meer spyware pest ellende..
10 antwoorden
- Mijn zus heeft hier een netwerkje van 3 PCs, (98, ME en 2000), samen met de buren, waar de router staat en die zelf ook een paar PCs hebben staan.
Iedere keer al ze IE openmaken dan staat er een startpagina die ze niet willen zien (C:\Program Files\PageOn1\Portal\portal.htm). Ik heb al ik weet niet hoeveel keer de startpagina ingesteld die ze wil hebben, maar deze blijft maar terugkomen.
Ook heb ik al minstens 4 keer AdAware over iedere PC gedraaid, en iedere keer blijven er maar wie nieuwe Pests opduiken.. Ik word er een beetje wanhopig van…
Hebben jullie suggesties?
Marcel - Maak eens een HJT logje en lees de Spyware FAQ bovenaan dit subforum eens door. Veel succes.. :wink:
- Hier is mijn HJT-log…
Logfile of HijackThis v1.99.1
Scan saved at 13:27:47, on 28-2-2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\system32\adservernow.exe
C:\WINNT\system32\rcron.exe
C:\WINNT\system32\internat.exe
C:\Program Files\IEEE 802.11b WLAN Utility(USB)\EnDisEU3.EXE
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\Program Files\HiJackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/PageOn1/Portal/portal.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freeler.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/PageOn1/Portal/portal.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door Freeler
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = engelberts
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\WINNT\system32\i2helper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Updater] C:\WINNT\system32\adservernow.exe
O4 - HKLM\..\Run: [rCron] C:\WINNT\system32\rcron.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: EnDisEU3.lnk = C:\Program Files\IEEE 802.11b WLAN Utility(USB)\EnDisEU3.EXE
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freeler.nl/
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
Dank je wel… Marcel - Sluit alle open vensters. Fix deze met Hijackthis:
O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\WINNT\system32\i2helper.dll
Deïnstalleer AderverNow en Switch. Herstart de computer en maak een nieuwe Hijackthislog.
Post deze. - Deze hardnekkige startpagina krijg ik ook steeds in Windows98 SE
De antwoorden met logjes en de oplossing gaan mijn kennis te boven.
Is er ook een oplossing die wat begrijpelijker is?
Bijvoorbeeld in het register wat weg halen op zo?
groet,
Martin - Met Hijackthis verwijder je de bewuste registersleutels.
Lijkt me iets makkelijker en veiliger dan zelf het register in te duiken.
Als je last hebt van een Switch (Portal) variant zoals de topicstarter, kan je deze perfect deïnstalleren. - Sorry dat ik niet zo snel reageer, maar ik ben natuurlijk niet iedere dag bij mijn zus op bezoek
Goed, ik de O2 - BHO… regel gefixt, en ook AdServerNow verwijderd.
Switch kon ik niet vinden..
Dit is de nieuwe log (de vervelende portal-pagina blijft nog steeds terugkomen..)
En bedankt!
Marcel
Logfile of HijackThis v1.99.1
Scan saved at 15:06:39, on 3-3-2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\system32\dservice.exe
C:\WINNT\system32\internat.exe
C:\Program Files\IEEE 802.11b WLAN Utility(USB)\EnDisEU3.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HiJackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/PageOn1/Portal/portal.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freeler.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/PageOn1/Portal/portal.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door Freeler
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = engelberts
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [rCron] C:\WINNT\system32\dservice.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: EnDisEU3.lnk = C:\Program Files\IEEE 802.11b WLAN Utility(USB)\EnDisEU3.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freeler.nl/
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe - Heb alles wat met de pageon1 (portal) te maken heeft weggevinkt met Hijack,
maar dat bleek niet voldoende.
Het installeerde zich opnieuw
Nu ook nog weggehaald in de windows/system map: adservenow.exe en deserve.exe of zoiets. en O2 BHO (zie boven) weggevinkt
Het lijkt te werken. - Start de computer in veilige modus.
Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren:
[b:34f4f7105c]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/PageOn1/Portal/portal.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/PageOn1/Portal/portal.html
O4 - HKLM\..\Run: [rCron] C:\WINNT\system32\dservice.exe
[/b:34f4f7105c]
Verwijder de volgende bestanden indien aanwezig:
C:\WINNT\system32\dservice
Verwijder de volgende mappen indien aanwezig:
c:\program files\pageon1
Reboot de computer, run HijackThis opnieuw en post een nieuwe log.
Let wel op dat de adservernow niet terug komt.
edit: deze kan ook weg: C\winnt\system32\DummyX.dll - Niet deserve.exe naar dserve.exe moet je nog zien weg te halen.
Ik zie dat die er bij jou nog bijstaat in je system32 map
Beantwoord deze vraag
Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.