Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Probleem met verwijderen spyware

Pagina: 1
Acties:

maandag 14 november 2005 22:05

Acties:
  • MrAngry
  • Registratie: December 2001
  • Laatst online: 13:25

MrAngry

Topicstarter
Ik ben geheel tegen mijn gewoonte in tegen een vervelend stuk spyware/virus aangelopen. M'n virusscanner(symantec corporate AV) werd uitgeschakeld, m'n achtergrond veranderd, m'n startpagina veranderd en er bleven random popups komen. Erg vervelend allemaal (en volledig m'n eigen domme schuld, iets te enthousiaste klikvinger)

Ik heb Hitmanpro 2.2.1 (dit is een bundeling van antivirus en spyware tools) gerunt(en die vond nogal wat nasty nasty shit) en daarbij apart nog CCleaner gebruikt om wat troep uit m'n opstartlijst te wissen. Alles is nu weer normaal, maar de popups blijven komen.

Ik krijg nu ook bij het opstarten de melding dat er een uitzondering is opgetreden bij het laden van bxotvid.dll

HijackThis:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115

Logfile of HijackThis v1.99.1
Scan saved at 21:39:09, on 14-11-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
D:\Program Files\Motherboard Monitor 5\MBM5.EXE
D:\Program Files\Logitech\MouseWare\system\em_exec.exe
D:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Rage3DTweak\RegTwk.exe
C:\WINDOWS\system32\rundll32.exe
D:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
D:\Program Files\Google\Gmail Notifier\G001-1.0.25.0\gnotify.exe
D:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
D:\Program Files\iTunes\iTunesHelper.exe
D:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXE
D:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\Globe Software\StatBar\StatBar.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\COMMON~1\qmii\qmiim.exe
D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Program Files\Bluetooth Software\BTTray.exe
C:\program files\rage3dtweak\gameutil.exe
D:\Program Files\Eset\nod32krn.exe
D:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\WINDOWS\system32\devldr32.exe
D:\Program Files\Bluetooth Software\BTStackServer.exe
D:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
D:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
D:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
D:\Program Files\iPod\bin\iPodService.exe
D:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MBM 5] "D:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "D:\Program Files\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [vptray] D:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RegTweak] C:\Program Files\Rage3DTweak\RegTwk.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] D:\Program Files\Google\Gmail Notifier\G001-1.0.25.0\gnotify.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [StatBar] D:\Program Files\Globe Software\StatBar\StatBar.exe
O4 - HKCU\..\Run: [STYLEXP] D:\Program Files\tgtsoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [qmii] C:\PROGRA~1\COMMON~1\qmii\qmiim.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Snelle start.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: gameutil.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: Download with GetRight - D:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Linked Ima&ges - D:\Program Files\IEimage\IEimage.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Program Files\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: Linked Images - {D8980DE8-9D4C-4fb0-8FB4-95B1FA4125AD} - D:\Program Files\IEimage\IEimage.htm
O9 - Extra 'Tools' menuitem: Linked Ima&ges - {D8980DE8-9D4C-4fb0-8FB4-95B1FA4125AD} - D:\Program Files\IEimage\IEimage.htm
O9 - Extra button: AbsolutePoker.com - {EFFF8D47-D060-4108-B761-E8EC86622E56} - C:\Documents and Settings\All Users\Menu Start\Programma's\Absolute Poker\Absolute Poker.lnk
O9 - Extra 'Tools' menuitem: AbsolutePoker.com - {EFFF8D47-D060-4108-B761-E8EC86622E56} - C:\Documents and Settings\All Users\Menu Start\Programma's\Absolute Poker\Absolute Poker.lnk
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {55F2FE00-C6E1-11D4-84BC-009027889212} - http://www.seagate.com/support/disc/asp/dw/English/bin/npdscwiz.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/048e07f4ed0b3793cb05/netzip/RdxIE2.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20031216/qtinstall.info.apple.com/mickey/us/win/QuickTimeInstaller.exe
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.7) - http://gameadvisor.futuremark.com/global/msc37.cab
O20 - Winlogon Notify: Explorer - C:\WINDOWS\system32\j04o0ah3ed4.dll
O21 - SSODL: SysTray.Exys - {7368D5FC-6F5C-4f5b-B964-E67214F67852} - C:\WINDOWS\system32\gfcecddd.dll (file missing)
O21 - SSODL: SysTray.Excn2 - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - (no file)
O21 - SSODL: SysTray.Exmr - {73F8D5FF-6F5C-4f5b-B964-E6F214F6F852} - C:\WINDOWS\system32\eipqocgm.dll (file missing)
O21 - SSODL: C0BGHDFF - {0E87068B-01B7-5DFE-3978-090B1B812B00} - C:\WINDOWS\system32\Bnimfh32.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - D:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe (file missing)
O23 - Service: DefWatch - Symantec Corporation - D:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: GhostStartService - Symantec Corporation - D:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - D:\Program Files\Eset\nod32krn.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - D:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Speed Disk service - Symantec Corporation - D:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: StyleXPService - Unknown owner - D:\Program Files\TGTSoft\StyleXP\StyleXPService.exe


Ik wil graag van die popups af zonder opnieuw windows te hoeven installeren, bvd

Er is maar één goed systeem en dat is een geluidsysteem - Sef

maandag 14 november 2005 22:27

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

code:
1

C:\PROGRA~1\COMMON~1\qmii\qmiim.exe

Google biedt niets op dat bestand, scan het eens op Jotti's online malware scan. :)
Mocht het malware blijken, dan kan
code:
1

O4 - HKCU\..\Run: [qmii] C:\PROGRA~1\COMMON~1\qmii\qmiim.exe
ook verwijderd worden. ;)
code:
1
2

O9 - Extra button: AbsolutePoker.com - {EFFF8D47-D060-4108-B761-E8EC86622E56} - C:\Documents and Settings\All Users\Menu Start\Programma's\Absolute Poker\Absolute Poker.lnk
O9 - Extra 'Tools' menuitem: AbsolutePoker.com - {EFFF8D47-D060-4108-B761-E8EC86622E56} - C:\Documents and Settings\All Users\Menu Start\Programma's\Absolute Poker\Absolute Poker.lnk
Deze 2 lijken me overbodig, tenzij je poker speelt. ;)
code:
1

O20 - Winlogon Notify: Explorer - C:\WINDOWS\system32\j04o0ah3ed4.dll
Hierover staat er zelfs een sticky, [rml][ malware] Look2Me infectie, oplossing inside[/rml] :)
code:
1
2
3
4

O21 - SSODL: SysTray.Exys - {7368D5FC-6F5C-4f5b-B964-E67214F67852} - C:\WINDOWS\system32\gfcecddd.dll (file missing)
O21 - SSODL: SysTray.Excn2 - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - (no file)
O21 - SSODL: SysTray.Exmr - {73F8D5FF-6F5C-4f5b-B964-E6F214F6F852} - C:\WINDOWS\system32\eipqocgm.dll (file missing)
O21 - SSODL: C0BGHDFF - {0E87068B-01B7-5DFE-3978-090B1B812B00} - C:\WINDOWS\system32\Bnimfh32.dll (file missing)
Deze lijken me ook niet echt kosjer, het kan gerelateerd zijn aan Look2Me, scan de files even voor de zekerheid op Jotti's online malware scan :)
code:
1
2

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - D:\Program Files\Eset\nod32krn.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - D:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
Als ik het zo goed zie, draai je 2 virusscanners. Dat valt niet aan te raden, het kan je systeem nogal door de war halen. Houd het op 1 van de 2 en uninstall de andere. :)

Dat is zo gauw het enige wat ik tegenkom als ik je lijstje doorloop. :)

Signature

maandag 14 november 2005 23:14

Acties:
  • MrAngry
  • Registratie: December 2001
  • Laatst online: 13:25

MrAngry

Topicstarter
pasta schreef op maandag 14 november 2005 @ 22:27:
code:
1

C:\PROGRA~1\COMMON~1\qmii\qmiim.exe

Google biedt niets op dat bestand, scan het eens op Jotti's online malware scan. :)
Mocht het malware blijken, dan kan
code:
1

O4 - HKCU\..\Run: [qmii] C:\PROGRA~1\COMMON~1\qmii\qmiim.exe
ook verwijderd worden. ;)
Ik heb die Look2me post gevonden en heb het stappenplan langs gelopen, het eerste wat kaspersky deed toen ik hem had geinstalleerd wat dit bestandje aanmerken als een download trojan. Weg ermee dus. Ik ben nu ook verlost van de popups, maar Kaspersky blijft nog regelmatig blaten over vage dll's die die vindt.
[
code:
1

O20 - Winlogon Notify: Explorer - C:\WINDOWS\system32\j04o0ah3ed4.dll
Hierover staat er zelfs een sticky, [rml][ malware] Look2Me infectie, oplossing inside[/rml] :)
code:
1
2
3
4

O21 - SSODL: SysTray.Exys - {7368D5FC-6F5C-4f5b-B964-E67214F67852} - C:\WINDOWS\system32\gfcecddd.dll (file missing)
O21 - SSODL: SysTray.Excn2 - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - (no file)
O21 - SSODL: SysTray.Exmr - {73F8D5FF-6F5C-4f5b-B964-E6F214F6F852} - C:\WINDOWS\system32\eipqocgm.dll (file missing)
O21 - SSODL: C0BGHDFF - {0E87068B-01B7-5DFE-3978-090B1B812B00} - C:\WINDOWS\system32\Bnimfh32.dll (file missing)
Deze lijken me ook niet echt kosjer, het kan gerelateerd zijn aan Look2Me, scan de files even voor de zekerheid op Jotti's online malware scan :)
Deze geven nu allemaal (no file) aan het eind van de key en lijken dus wel degelijk iets met Look2me te maken te hebben. Ben een beetje aan het twijfelen wat nu ermee te doen eigenlijk..
code:
1
2

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - D:\Program Files\Eset\nod32krn.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - D:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
Als ik het zo goed zie, draai je 2 virusscanners. Dat valt niet aan te raden, het kan je systeem nogal door de war halen. Houd het op 1 van de 2 en uninstall de andere. :)
Ik heb er nu zelfs 3. Symantec heeft niet geholpen deze onzin te voorkomen, NOD32 zat in Hitman Pro en Kaspersky op aanraden van de Look2me sticky. Ik weet eigenlijk niet precies welke ik nou wil houden. Ik heb sowieso geen geld om ervoor te betalen, is AVAST wat?

Er is maar één goed systeem en dat is een geluidsysteem - Sef

dinsdag 15 november 2005 00:48

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

offtopic:
Da's meer een vraag voor [rml][ Virusscanners] discussietopic deel 2[/rml]
;)

Signature

dinsdag 15 november 2005 09:09

Acties:
  • Sassie
  • Registratie: November 1999
  • Laatst online: 13:07

Sassie

JdeBruijn schreef op maandag 14 november 2005 @ 23:14:

[...]

Deze geven nu allemaal (no file) aan het eind van de key en lijken dus wel degelijk iets met Look2me te maken te hebben. Ben een beetje aan het twijfelen wat nu ermee te doen eigenlijk..
Volgens http://castlecops.com/o21et-s.html is het ook niet prettig spul.
Aangezien de dll's al verwijderd zijn (ik neem aan door Kaspersky?) kun je die entries wel fixen lijkt me. En voor de zekerheid kun je hijackthis natuurlijk een backup laten maken. ;)

Zie ook:
O21 - ShellServiceObjectDelayLoad

This is an undocumented autorun method, executed by "Explorer.exe" as soon as it has loaded. Each value under the following registry key contains information to the DLL name and location. The system will load the referred DLLs and link them to "Explorer.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current
Version\ShellServiceObjectDelayLoad

Example of 021 entries from HijackThis logs


O21 - SSODL: DDE Control Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)
O21 - SSODL: Trayz - {F5B7D0BE-5f02-4211-96DB-386DFA244900} - C:\WINDOWS\lghngdne.dll
O21 - SSODL: 0aMCPClient - {F5DF91F9-15E9-416B-A7C3-7519B11ECBFC} - (no file)
O21 - SSODL: XmLdrLocation - {0C887F38-5178-43DA-B9F0-B856141FCDA4} - C:\WINDOWS\System32\msuueng.dll
O21 - SSODL: WebExtLocation - {FE2DB5FF-5ECF-11D2-B28F-0080C8383C7B} - C:\WINNT\system32\lrluser.dll


Recommendation: HijackThis tags only those entries that are not in its internal whitelist, but not all entries tagged by HijackThis are bad. The 021 items can be researched at CastleCops - O21 ShellServiceObjectDelayLoad list. Please obtain expert/helper help before fixing (deleting) these entries.
Bron: http://www.malwarehelp.or...nd-interpreting-hjt3.html

En zie ook: http://www.spywareinfo.com/~merijn/htlogtutorial.html#o21
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq