Ongewenste programma's, hoe krijg ik ze weg? - Privacy en beveiliging

dinsdag 16 maart 2004 14:54

Acties:

0 Henk 'm!

Topicstarter

Als Windows XP opgestart is heb ik altijd een aantal ikonen
op mijn desktop zoals: drusearch.com, new cool searchengine,
movietrading, softwaremanager van Cluento. In de favorieten
worden er ook altijd automatisch een heleboel sex-links neergezet.

Als ik mijn komputer probeer uit te zetten is er altijd een programma
genaamd System Query dat nog extra uitgezet moet worden.
Ook heb ik vrijwel altijd programma's in de Temp-folder
genaamd REM en TIM. Ook vaak istsvc programma en xxx-toolbar.

Ik heb al programma's geprobeerd als: Spybot, search and destroy.
BPS-spyware-remover werkte ook niet na 3 keer.
De ikonen (links) weghalen heeft nog nooit geholpen.

De links gaan hierdoor niet weg, soms wordt ik zelfs automatisch
na het opstarten doorgestuurd naar een sex-site met 'website-viewer'.

Wat kan ik hier aan doen?

dinsdag 16 maart 2004 14:55

Acties:

0 Henk 'm!

bonzz.netninja

Niente baffi

spybot
adaware
hijeck this oid toch maar. Maar ik weet hoe irritant sommige zijn. Heb je wel spybot geupdated?

vuistdiep in het post-pc tijdperk van Steve  | Joepie joepie. Dat ging echt toppie! | https://www.dedigitaletuin.nl

dinsdag 16 maart 2004 14:56

Acties:

0 Henk 'm!

Anoniem: 55140

Heb je de genoemd programma's al eens geupdate?
Dat is namelijk wel nodig.

dinsdag 16 maart 2004 14:56

Acties:

0 Henk 'm!

Noork

Probeer eens alle spyware programma's die er zijn. Keuze genoeg, denk ook aan ad-aware en hijackthis.

De snelkoppeling help inderdaad niet. Je moet ook echt het daadwerkelijke programma + dll's weghalen. Meestal staat er in het register ook nog een verwijzing naar het programma. Op google kun je voor de desbetreffende programma's vaak kleine handleidingen vinden voor het verwijderen.

woensdag 17 maart 2004 10:20

Acties:

0 Henk 'm!

infobot

Topicstarter

Anoniem: 55140 schreef op 16 maart 2004 @ 14:56:
Heb je de genoemd programma's al eens geupdate?
Dat is namelijk wel nodig.

Ik heb allerlei programma's geprobeerd als: Spybot, search and destroy v1.2,
BPS-spyware-remover 8.2 build 6, werkte ook niet na 3 keer.

Handmatig heb ik geprobeerd allerlei ongewenste programma's weg te halen,
niets lukt.

Mijn vraag is nu:
Als ik handmatig b.v. het programma 'sysquery 1' (websiteviewer, sex)
heb weggehaald bij programma's en bij windows\system 32 en regedit
en prefetch hoe is het dan mogelijk dat die programma's toch weer terug
zijn na het opstarten van windows?

woensdag 17 maart 2004 10:21

Acties:

0 Henk 'm!

Wokschotel

Op 6 wielen

infobot schreef op 17 maart 2004 @ 10:20:
[...]

Ik heb allerlei programma's geprobeerd als: Spybot, search and destroy v1.2,
BPS-spyware-remover 8.2 build 6, werkte ook niet na 3 keer.

Handmatig heb ik geprobeerd allerlei ongewenste programma's weg te halen,
niets lukt.

Mijn vraag is nu:
Als ik handmatig b.v. het programma 'sysquery 1' (websiteviewer, sex)
heb weggehaald bij programma's en bij windows\system 32 en regedit
en prefetch hoe is het dan mogelijk dat die programma's toch weer terug
zijn na het opstarten van windows?

Tja, die proggies zijn uiteraard zo gebouwd dat ze op welke manier dan ook graag terug komen

Maar probeer hijackthis eens en post je output hier

Waarschijnlijk zul je dan zelf in het register handmatig moeten gaan sleutelen, maar meestal helpt dat perfect

De islam kan uw vrijheid schaden

woensdag 17 maart 2004 10:27

Acties:

0 Henk 'm!

infobot

Topicstarter

Wokschotel schreef op 17 maart 2004 @ 10:21:
[...]

Tja, die proggies zijn uiteraard zo gebouwd dat ze op welke manier dan ook graag terug komen Maar probeer hijackthis eens en post je output hier Waarschijnlijk zul je dan zelf in het register handmatig moeten gaan sleutelen, maar meestal helpt dat perfect

Logfile of HijackThis v1.97.5
Scan saved at 10:25:11, on 17-3-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
C:\WINDOWS\System32\msystem.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\Program Files\180Solutions\msbb.exe
C:\WINDOWS\System32\giwquutd.exe
C:\WINDOWS\BPYFMTAH.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\ADRIEG~1\LOCALS~1\Temp\Rem3.exe
C:\Documents and Settings\adrie\installatiefiles en uitpakfiles, niet gesaved\nieuw\hijack this.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O1 - Hosts: 66.118.163.109 auto.search.msn.com
O2 - BHO: Windows Resources - {2D38A51A-23C9-48a1-A33C-48675AA2B494} - C:\WINDOWS\winres.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll
O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O4 - HKLM\..\Run: [System Backup] msystem.exe
O4 - HKLM\..\Run: [bike idol] C:\PROGRA~1\STOPDV~1\softlinkaxis.exe
O4 - HKLM\..\Run: [MSZTCE] C:\WINDOWS\System32\MSZTCE.EXE
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [jsqvfvlo] C:\WINDOWS\System32\giwquutd.exe
O4 - HKLM\..\Run: [BPYFMTAH] C:\WINDOWS\BPYFMTAH.exe
O4 - HKLM\..\RunServices: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O4 - HKCU\..\Run: [AddClass] C:\WINDOWS\AddClass.exe
O4 - HKCU\..\Run: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: GuruNet... - file:C:\Program Files\GuruNet\Html\atiemenu.htm
O13 - DefaultPrefix: http://ehttp.cc/?
O13 - WWW Prefix: http://ehttp.cc/?
O13 - Home Prefix: http://zapret.net/index.html?
O15 - Trusted Zone: *.i-lookup.com
O15 - Trusted Zone: *.offshoreclicks.com
O15 - Trusted Zone: *.teensguru.com
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab
O19 - User stylesheet: C:\Program Files\Internet Explorer\readme.txt

woensdag 17 maart 2004 10:30

Acties:

0 Henk 'm!

wildhagen

Blablabla

Onbekend, horen ze daar?

C:\WINDOWS\System32\msystem.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\Program Files\180Solutions\msbb.exe

Bijzonder verdacht:

C:\WINDOWS\System32\giwquutd.exe
C:\WINDOWS\BPYFMTAH.exe

Ook dit is onbekend bij mij:

O4 - HKLM\..\Run: [MSZTCE] C:\WINDOWS\System32\MSZTCE.EXE
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe

Erg verdacht....:

O4 - HKLM\..\Run: [jsqvfvlo] C:\WINDOWS\System32\giwquutd.exe
O4 - HKLM\..\Run: [BPYFMTAH] C:\WINDOWS\BPYFMTAH.exe
O4 - HKLM\..\RunServices: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O4 - HKCU\..\Run: [AddClass] C:\WINDOWS\AddClass.exe
O4 - HKCU\..\Run: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe

Kun je die verdachte bestanden eens mailen naar mij (gezipt graag, zie profile voor emailadres)?

[ Voor 7% gewijzigd door wildhagen op 17-03-2004 10:32 ]

Virussen? Scan ze hier!

woensdag 17 maart 2004 10:31

Acties:

0 Henk 'm!

pasta

Ondertitel

Ik kan niets vinden over

giwquutd.exe

, en ik krijg het gevoel dat dat de boosdoener is. Ook die

O4 - HKLM\..\Run: [bike idol] C:\PROGRA~1\STOPDV~1\softlinkaxis.exe

vertrouw ik niet echt. Daarbij is natuurlijk

O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab

ook overbodig lijkt me zo

[ Voor 3% gewijzigd door pasta op 17-03-2004 10:32 ]

Signature

woensdag 17 maart 2004 10:38

Acties:

0 Henk 'm!

Anoniem: 94556

damn lachen om zo de fout te vinden.

Meestal staan die searchbalkjes in je explorer.
wat ik dan doe is de letterlijke naam overtypen en naar regedit gaan.
het is nog g1 1 keer niet gelukt
werkt uitstekend
uiteraard nadat ik ad-aware en spybot gebruikt heb

[ Voor 11% gewijzigd door Anoniem: 94556 op 17-03-2004 10:38 ]

woensdag 17 maart 2004 11:45

Acties:

0 Henk 'm!

infobot

Topicstarter

Ik heb alles via hijackthis gestuft en heb nog keys
in de registry gestuft, en ook in de windows 32 folder,
toen ik daarna de komputer volledig deed opstarten
was alles weg.
Maar toen ging ik dus naar internet explorer, door
simpelweg naar google te gaan, en toen waren de
sexlinks weer te zien op de desktop. Vanaf die
situatie komt de troep langzamerhand weer allemaal
binnen.

Nu eerst de situatie binnen hijackthis nadat ik alles
gestuft had en alles in orde was en daarna de situatie
dat ik bij google geweest was.

ALLES GESTUFT EN ALLES IN ORDE......................

Logfile of HijackThis v1.97.5
Scan saved at 11:23:19, on 17-3-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\adrie\installatiefiles en uitpakfiles, niet gesaved\nieuw\hijack this.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O1 - Hosts: 66.118.163.109 auto.search.msn.com
O2 - BHO: Microsoft Excel - {17DA0C9E-4A27-4ac5-BB75-5D24B8CDB972} - C:\DOCUME~1\ADRIEG~1\APPLIC~1\MICROS~1\Office\Excel10.dll
O2 - BHO: Windows Resources - {2D38A51A-23C9-48a1-A33C-48675AA2B494} - C:\WINDOWS\winres.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll (file missing)
O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: GuruNet... - file:C:\Program Files\GuruNet\Html\atiemenu.htm
O13 - DefaultPrefix: http://ehttp.cc/?
O13 - WWW Prefix: http://ehttp.cc/?
O13 - Home Prefix: http://zapret.net/index.html?
O19 - User stylesheet: C:\Program Files\Internet Explorer\readme.txt

NADAT IK BIJ GOOGLE OP HET INTERNET GEWEEST WAS.....................

Logfile of HijackThis v1.97.5
Scan saved at 11:26:06, on 17-3-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\adrie\installatiefiles en uitpakfiles, niet gesaved\nieuw\hijack this.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O1 - Hosts: 66.118.163.109 auto.search.msn.com
O2 - BHO: Windows Resources - {2D38A51A-23C9-48a1-A33C-48675AA2B494} - C:\WINDOWS\winres.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll (file missing)
O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: GuruNet... - file:C:\Program Files\GuruNet\Html\atiemenu.htm
O13 - DefaultPrefix: http://ehttp.cc/?
O13 - WWW Prefix: http://ehttp.cc/?
O13 - Home Prefix: http://zapret.net/index.html?
O15 - Trusted Zone: *.i-lookup.com
O15 - Trusted Zone: *.offshoreclicks.com
O15 - Trusted Zone: *.teensguru.com
O19 - User stylesheet: C:\Program Files\Internet Explorer\readme.txt

woensdag 17 maart 2004 11:48

Acties:

0 Henk 'm!

pasta

Ondertitel

code:

1
2
3

O13 - DefaultPrefix: http://ehttp.cc/?
O13 - WWW Prefix: http://ehttp.cc/?
O13 - Home Prefix: http://zapret.net/index.html?

Misschien die ff verwijderen?

Signature

woensdag 17 maart 2004 12:33

Acties:

0 Henk 'm!

WimB

Ik veronderstel dat deze wel uit de trusted zone mogen:

code:

1
2
3

O15 - Trusted Zone: *.i-lookup.com
O15 - Trusted Zone: *.offshoreclicks.com
O15 - Trusted Zone: *.teensguru.com

En dit mag volgens mij ook wel weg:

code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html

Heb je trouwens Ad-aware wel gebruikt?

edit:
Ik heb nog wat verdergekeken in je log en ik kan nauwelijks geloven dat je Spybot Search & Destroy en Ad-aware hebt gebruikt. Je hebt ze toch wel ge-update vooraleer ermee te scannen?

[ Voor 81% gewijzigd door WimB op 17-03-2004 12:46 ]

woensdag 17 maart 2004 12:42

Acties:

0 Henk 'm!

Anoniem: 55140

code:

1	O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll (file missing)

Overblijfsel istbar

code:

1	O2 - BHO: Windows Resources - {2D38A51A-23C9-48a1-A33C-48675AA2B494} - C:\WINDOWS\winres.dll

CWScrap.

code:

O13 - DefaultPrefix: http://ehttp.cc/?
O13 - WWW Prefix: http://ehttp.cc/?
O13 - Home Prefix: http://zapret.net/index.html?
O15 - Trusted Zone: *.i-lookup.com
O15 - Trusted Zone: *.offshoreclicks.com
O15 - Trusted Zone: *.teensguru.com
O19 - User stylesheet: C:\Program Files\Internet Explorer\readme.txt

De meeste daarvan zijn nogal twijfelachtig, zou alles wegmikken behalve misschien de laatste.

code:

1	O1 - Hosts: 66.118.163.109 auto.search.msn.com

Die klopt ook niet volgens mij.

De URLs spreken voor zich lijkt me.
Als je de zut fixt: Geen IE open hebben staan.
Reboot ook na het fixen.(Op eigen risico)

En ga eens een virusscanner en dergelijke draaien, je blijkt hem nodig te hebben.

woensdag 17 maart 2004 12:43

Acties:

0 Henk 'm!

wildhagen

Blablabla

WimB schreef op 17 maart 2004 @ 12:33:

edit2:
Ik vertrouw die C:\WINDOWS\Explorer.EXE ook niet zo. Maar ik ben niet zeker.
[/edit]

Eh... de Windows Explorer is wel vertrouwd hoor, die zit standaard bij Windows

Virussen? Scan ze hier!

woensdag 17 maart 2004 12:47

Acties:

0 Henk 'm!

WimB

wildhagen schreef op 17 maart 2004 @ 12:43:
[...]

Eh... de Windows Explorer is wel vertrouwd hoor, die zit standaard bij Windows

Heb ik weggedaan. Soms durft spyware zich wel eens explorer.exe of kernell.exe ofzo te noemen.

woensdag 17 maart 2004 12:48

Acties:

0 Henk 'm!

wildhagen

Blablabla

WimB schreef op 17 maart 2004 @ 12:47:
[...]

Heb ik weggedaan. Soms durft spyware zich wel eens explorer.exe of kernell.exe ofzo te noemen.

Klopt, maar vaak staat-ie dan in %systemroot%\System32, daar hoort-ie niet thuis.

Virussen? Scan ze hier!

woensdag 17 maart 2004 12:48

Acties:

0 Henk 'm!

Anoniem: 55140

WimB schreef op 17 maart 2004 @ 12:47:
[...]

Heb ik weggedaan. Soms durft spyware zich wel eens explorer.exe of kernell.exe ofzo te noemen.

Dan moet je kijken naar de directories.

kernell.exe is btw sowieso geen legit windowsfile.

woensdag 17 maart 2004 13:04

Acties:

0 Henk 'm!

infobot

Topicstarter

Dit is het enigste wat nog over is, en dan krijg
ik toch nog bij Favorieten, allerlei sexlinks te
zien.

Logfile of HijackThis v1.97.5
Scan saved at 12:46:59, on 17-3-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
C:\Documents and Settings\adrie goedegebuure\Menu Start\Programma's\systeem\hijackthis\hijack this.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll (file missing)
O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe

woensdag 17 maart 2004 13:04

Acties:

0 Henk 'm!

pasta

Ondertitel

code:

1	O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll (file missing)

Signature

woensdag 17 maart 2004 13:07

Acties:

0 Henk 'm!

wildhagen

Blablabla

pastapappie.NET schreef op 17 maart 2004 @ 13:04:
code:
1
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll (file missing)

Check eens wat er achter staat: file missing. Dus alleen de registry-entry is er nog, dat kan het niet veroorzaken lijkt me zo...

Virussen? Scan ze hier!

woensdag 17 maart 2004 13:14

Acties:

0 Henk 'm!

Zeror

Ik Henk 'm!

Op deze manier kan je door blijven gaan. Ik zou als ik jouw was, gewoon je data back-uppen en windows opnieuw installeren. Dan ben je met een uurtje klaar + je hele pc is weer schoon.

Trans-life! :::: Nintendo ID: Zeror_rk / SW-6670-3316-6323 :::: BattleTag: Zeror#2996 :: Twitch: Z3ROR

woensdag 17 maart 2004 13:29

Acties:

0 Henk 'm!

WimB

rakker zero schreef op 17 maart 2004 @ 13:14:
Op deze manier kan je door blijven gaan. Ik zou als ik jouw was, gewoon je data back-uppen en windows opnieuw installeren. Dan ben je met een uurtje klaar + je hele pc is weer schoon.

Niet mee eens. Als hij nu zijn favorieten handmatig verwijdert, zouden ze weg moeten blijven.

woensdag 17 maart 2004 13:38

Acties:

0 Henk 'm!

infobot

Topicstarter

WimB schreef op 17 maart 2004 @ 13:29:
[...]

Niet mee eens. Als hij nu zijn favorieten handmatig verwijdert, zouden ze weg moeten blijven.

Hoe haal ik dan die Favorieten weg? Als ik dat doe
zegt windows dat het niet kan omdat het een
systeemfolder is. Ik heb die favorieten verder
niet nodig omdat ik een eigen folder daar voor
heb.

woensdag 17 maart 2004 13:39

Acties:

0 Henk 'm!

wildhagen

Blablabla

Niet de folder zelf verwijderen, maar alles wat in die Favorites-folder staat verwijderen.

Weet overigens niet of ze dan nog terugkomen... maar proberen kan geen kwaad, als je ze toch niet gebruikt.

Virussen? Scan ze hier!

woensdag 17 maart 2004 14:57

Acties:

0 Henk 'm!

infobot

Topicstarter

Dit is nu de situatie, ik moet zeggen dat er nu veel
minder sexlinks zichtbaar zijn dan eerst en er
gebeuren minder onheilspellende dingen.

Het gebeurt nog wel dat er in de folder Favorieten
links bijkomen, die stuf ik dan, verder gebeurt er
momenteel niet zo veel, even nog afwachten hoe erg
of het kwade programma zich nog kan uitbreiden.

Logfile of HijackThis v1.97.5
Scan saved at 14:49:32, on 17-3-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
C:\Documents and Settings\adrie goedegebuure\Menu Start\Programma's\systeem\hijackthis\hijack this.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll (file missing)
O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe

woensdag 17 maart 2004 15:14

Acties:

0 Henk 'm!

Anoniem: 55140

wildhagen schreef op 17 maart 2004 @ 13:07:
[...]

Check eens wat er achter staat: file missing. Dus alleen de registry-entry is er nog, dat kan het niet veroorzaken lijkt me zo...

Mwah, dat geldt zeker niet altijd.
Dat zegt niet niet erg veel als er file missing achter staat, vaak genoeg gezien dat dat BS is nml.

Dus removen is toch beter.

woensdag 17 maart 2004 15:30

Acties:

0 Henk 'm!

Freee!!

Trotse papa van Toon en Len!

Anoniem: 55140 schreef op 17 maart 2004 @ 15:14:
[...]
Dus removen is toch beter.

En ook RegCleaner maar even eroverheen halen.

The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long

GoT voor Behoud der Nederlandschen Taal [GvBdNT

woensdag 17 maart 2004 16:00

Acties:

0 Henk 'm!

WimB

tip van de dag:

Installeer een virusscanner en een firewall