Adware, spyware,...zucht... help please! - Privacy en beveiliging

dinsdag 15 februari 2005 12:35

Acties:

Verwijderd

Topicstarter

Wie kan en wil mij helpen? Mijn pc is besmet met adware/spyware. De startpagina wordt steeds veranderd in RES://C:\WINDOWS\system32\shdoclc.dll/navcanll.htm Tevens worden er links aan mijn favorieten toegevoegd die ik niet wil.
Symantec antivirus vindt niets. Adware van lavasoft en hitmanpro vinden wel coolwebsearch, verwijderen het volgens eigen zeggen, maar het probleem blijft bestaan. Ik heb hijack geinstalleerd en zal het logfile plaatsen. Probleem is dat ik niet handig genoeg ben met een pc om zelf het rtegister te durven bewerken... Zijn hier deskundigen die mij daarvoor aanwijzingen kunnen geven? Ik weet niet eens hoe ik het openen moet... In ieder geval komt hiet de logfile van hijack.
Bij voorbaat dank voor jullie hulp!

Logfile of HijackThis v1.99.0
Scan saved at 11:04:45, on 15-2-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\gsicon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\CTFMON32.EXE
C:\WINDOWS\System32\CSRSSU.EXE
C:\Program Files\BestPopUpKiller\BestPopupKiller.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\SpywareBlaster\spywareblaster.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SEDP Class - {3BA765C2-08DB-4fe2-9279-311CA10D582A} - C:\WINDOWS\sehlp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SToolbar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\stlbd.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [GSICONEXE] gsicon.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Personal Firewall] C:\Program Files\Preventon\Personal Firewall\PFWall.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [PImenu] C:\Program Files\PImenu\PImenu.exe
O4 - HKCU\..\Run: [CTFMON32] C:\WINDOWS\System32\CTFMON32.EXE
O4 - HKCU\..\Run: [CSRSSU] C:\WINDOWS\System32\CSRSSU.EXE
O4 - HKCU\..\Run: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [BestPopUpKiller] C:\Program Files\BestPopUpKiller\BestPopupKiller.exe /startup
O4 - Startup: Dialer Detect.lnk = C:\Program Files\FSG\DialerDetect\dd.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FDF492C-7A3E-43B8-BFAC-B3E5AA51EF33}: NameServer = 195.121.1.34 195.121.1.66
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Inverse IP InSight Client - Inverse Network Technology - C:\Program Files\IP Insight\LaunchIPI.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

dinsdag 15 februari 2005 12:42

Acties:

Battle Bunny

@CybErvee: Zwets niet. Een beetje te grof imho.

Eerst met Process Monitor (http://www.sysinternals.com) alle "vage" processen killen en daarna Hitman pro nog eens laten lopen.

Daarna met Mozilla gaan browsen...

[ Voor 16% gewijzigd door Battle Bunny op 15-02-2005 12:42 ]

dinsdag 15 februari 2005 12:42

Acties:

Stiegl

Probeer eens Spybot Search & Destroy, deze kon bij mij wel een browser hijack verwijderen, en kan tevens processen onderscheppen voordat deze worden opgestart. Of de nieuwe antispyware tool van Microsoft. Samen met Ad-aware hou ik mijn PC hiermee wel spyware vrij.

[ Voor 35% gewijzigd door Stiegl op 15-02-2005 12:44 ]

Uit onderzoek is gebleken dat 85% van alle statistieken niet klopt

dinsdag 15 februari 2005 12:43

Acties:

Verwijderd

Er draaien nog een aantal toolbars zie: O3 - Toolbar: SToolbar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\stlbd.dll

Plak je logfile is in http://hijackthis.de/index.php?langselect=english en je ziet gelijk wat er geinfecteerd is en eventueel waar je even met google naar moet zoeken.

dinsdag 15 februari 2005 12:45

Acties:

Artz

Voor coolwebsearch is een speciaal remove progje te vinden, dat moet je ff googlen.

dinsdag 15 februari 2005 12:51

Acties:

kleefding

hitmanpro draaien in veilige modus zou genoeg moeten wezen

dinsdag 15 februari 2005 12:52

Acties:

pasta

Ondertitel

code:

1 2	C:\WINDOWS\System32\dslagent.exe C:\WINDOWS\System32\CSRSSU.EXE

Deze files wijzen mij door een snelle google beurt op spyware, gooi ze eens door Jotti's online malware scan.

code:

1
2
3

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

Deze mogen ook wel weg.

code:

1 2	O2 - BHO: SEDP Class - {3BA765C2-08DB-4fe2-9279-311CA10D582A} - C:\WINDOWS\sehlp.dll O3 - Toolbar: SToolbar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\stlbd.dll

Gooi deze ook eens door Jotti's online malware scan.

code:

1 2	O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB O4 - HKCU\..\Run: [CSRSSU] C:\WINDOWS\System32\CSRSSU.EXE

Deze kunnen ook weg.

Signature

maandag 21 februari 2005 23:06

Acties:

Verwijderd

Topicstarter

Heren,

dank voor jullie hulp. Uiteindelijk bracht de nieuwe antispyware software van Microsoft de redding. De aanwijzingen van Pasta waren ongetwijfeld juist, maar volstonden niet. Ergens zat dus nog meer ellende. Hitmanpro, adware,spybot: ik heb het allemaal in de veilige modus laten draaien - het hielp niet.
Ik heb overigens wel het idee dat mijn systeem trager is dan voorheen. Kan dat? Zou er nog ergens ellende staan?

EHE

maandag 21 februari 2005 23:43

Acties:

Verwijderd

Maak eens een startuplogje met hijackthis onder de "misc tools". Vink ook de vakjes "list also minor sections" en "list empty sections" aan.
grtz,

Beamerke

maandag 21 februari 2005 23:47

Acties:

Verwijderd

Artz schreef op dinsdag 15 februari 2005 @ 12:45:
Voor coolwebsearch is een speciaal remove progje te vinden, dat moet je ff googlen.

CWShredder - werkt perfect

dinsdag 22 februari 2005 00:49

Acties:

Bram

..........

Verwijderd schreef op maandag 21 februari 2005 @ 23:06:
Heren,

Ik heb overigens wel het idee dat mijn systeem trager is dan voorheen. Kan dat? Zou er nog ergens ellende staan?
EHE

Kijk nog effe welke processen er allemaal lopen, waarschijnlijk loopt dat programma van microsoft op de achtergrond een deel van je geheugen te gebruiken.

dinsdag 22 februari 2005 16:20

Acties:

Verwijderd

Topicstarter

CW shredder hielp bij mij niets, helaas....
EHE

dinsdag 22 februari 2005 16:25

Acties:

Verwijderd

Battle_Bunny schreef op dinsdag 15 februari 2005 @ 12:42:
@CybErvee: Zwets niet. Een beetje te grof imho.

Grof misschien, echter ontkomt (zelfs) XP niet aan regelmatig herinstalleren.
Bij mij gemiddeld 1x per jaar.

Bij dit soort dingen is het een leerproces, een installatie vol Spyware betekent schoon opnieuw beginnen en jezelf bewapenen. Bij xs4all wordt je simpelweg afgesloten totdat je maatregelen heb getroffen.

dinsdag 22 februari 2005 16:26

Acties:

d0s

sssst

Soms is een format c:/ toch noodzakelijk, bij computer van vriend van me ook echt alles geprobeerd.
Hitmanpro in veilige modus, met als resultaat dat er 1 account schoon was, en de andere nog allemaal last hadden van rotzooi. Alle mogelijke programma's geprobeerd, zonder resultaat.
Die antispywaretool van Microsoft nog niet geprobeerd, die was er toen nog niet, toch maar eens checken!

dinsdag 22 februari 2005 16:49

Acties:

Sassie

Wbt je hijackthis log, ook nog verdacht zijn:

code:

1 2	C:\WINDOWS\System32\CTFMON32.EXE O4 - HKCU\..\Run: [CTFMON32] C:\WINDOWS\System32\CTFMON32.EXE

Zie voor meer info:
http://startup.iamnotageek.com/srch-ctfmon32.exe.html

Overigens zie ook deze pagina's:
http://startup.iamnotageek.com/srch-BestPopupKiller.exe.html
http://startup.iamnotagee...ecurity%20iGuard.exe.html
http://startup.iamnotageek.com/srch-Spykiller.exe.html
Zijn allemaal programma's met een twijfelachtige reputatie.

Maar lijkt me toch beter om eerst ff hitmanpro en ms antispyware met de laatste updates in de veilige modus erdoor te gooien. Draai daarna (nog steeds in de veilige modus) nog een keer hijackthis, dan ben ik nog wel benieuwd of er nog wat in staat.
Eventueel zou je voor het scannen ook nog even al je temp files op kunnen ruimen en ook nog even je virusscanner (met wederom de laatste updates) kunnen draaien.

dinsdag 22 februari 2005 17:01

Acties:

Verwijderd

mooi progje van microsoft wert ok!
en het is zelfs nog maar een beta.
heeft al mooi wat zooi van mn sys gehaald !!

woensdag 23 februari 2005 00:14

Acties:

Verwijderd

Je kan hier zo veel anti-spyware programma's over gooien als je wil, dit zal de infectie niet wegnemen. Het probleem zit hem hier in de webcheck.dll