spyware niet weg te krijgen - Privacy en beveiliging

vrijdag 3 maart 2006 11:21

Acties:

ad maiora natus sumus

Topicstarter

help ik heb last van spyware, ik heb allles zoals in de FAQ al gedaan en met diverse progs gezocht
maar het blijft er maar op zitten.

ik heb win xp sp 2
amd 2700+
512 mb

adaware
spysweeper
spy bot
norton internet security
hijack this

ze willen soms niet updaten

alleen spy bot en ad aware is up to date (de rest van een maand geleden)

NIS wil niet op active protect wordt geblokkeerd door Iets.
Internet explorer kan niks want je ziet een spyware startpagina die verwijst naar een spyware site.
(secure32 heet het bestand)

log van hijack this:

[log]
ogfile of HijackThis v1.99.1
Scan saved at 11:17:56 AM, on 3/3/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\Program Files\Common Files\Symantec Shared\ccProxy.exe
E:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
E:\Program Files\Norton Internet Security\ISSVC.exe
E:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
E:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
E:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\system32\svchost.exe
E:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
E:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
E:\WINDOWS\Explorer.EXE
E:\Program Files\Common Files\Symantec Shared\ccApp.exe
E:\Program Files\QuickTime\qttask.exe
E:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
E:\Program Files\HP\HP Software Update\HPWuSchd2.exe
E:\WINDOWS\system32\wscntfy.exe
E:\Program Files\iTunes\iTunesHelper.exe
E:\PROGRA~1\ADSLUS~1\BIN\WIN2K\tidslmon.exe
E:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
E:\Program Files\Messenger\msmsgs.exe
E:\Program Files\MSN Messenger\MsnMsgr.Exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
E:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
E:\Program Files\Google\Web Accelerator\GoogleWebAccWarden.exe
E:\Program Files\iPod\bin\iPodService.exe
E:\WINDOWS\system32\devldr32.exe
E:\Program Files\Google\Web Accelerator\googlewebaccclient.exe
E:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
E:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
E:\PROGRA~1\MOZILL~1\FIREFOX.EXE
E:\WINDOWS\system32\wuauclt.exe
E:\Documents and Settings\vernes\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://localhost:9100/proxy.pac
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Web Accelerator Helper - {69A87B7D-DE56-4136-9655-716BA50C19C7} - E:\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - E:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - E:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Google Web Accelerator - {DB87BFA2-A2E3-451E-8E5A-C89982D87CBF} - E:\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll
O4 - HKLM\..\Run: [ccApp] "E:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] E:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] E:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "E:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TIxDSL] E:\PROGRA~1\ADSLUS~1\BIN\WIN2K\tidslmon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SpySweeper] "E:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "E:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "E:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Snelle start.lnk = E:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = E:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Post-it® Software Notes.lnk = E:\Program Files\3M\PSNotes\psn.exe
O4 - Global Startup: Run Google Web Accelerator.lnk = E:\Program Files\Google\Web Accelerator\GoogleWebAccWarden.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - https://download.macromed...wave/cabs/director/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec....ontent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.c...eb_site.cab?1127111193828
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec....tent/common/bin/cabsa.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.hyves.net/cab/ImageUploader3.cab
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.7) - http://gameadvisor.futuremark.com/global/msc37.cab
O20 - Winlogon Notify: directpt - E:\WINDOWS\SYSTEM32\directpt.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - E:\Program Files\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - E:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - E:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - E:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - E:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Symantec Core LC - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
[/log]

verder is mijn internet connectie weg na een half uurtje ik weet niet hoe dat verholpen kan worden.

ik heb ook in safe mode gezocht naar troep en proberen up daten maar het resultaat bleef uit.

dank u allen voor de aandacht en de hulp.

[ Voor 3% gewijzigd door voidmage op 03-03-2006 11:22 ]

vrijdag 3 maart 2006 11:41

Acties:

Sassie

Evne een snelle blik over je log doet me dit er al vast uitpikken:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

Lijkt me logisch dat deze weg kunnen.

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://localhost:9100/proxy.pac

Heb je die proxy zelf ingesteld?

O20 - Winlogon Notify: directpt - E:\WINDOWS\SYSTEM32\directpt.dll

Ik vermoed dat dit de boosdoener is, laat die .dll eens analyseren op http://virusscan.jotti.org (en meld de resultaten hier even)

Kijk verder je hosts-file (ws C:\WINDOWS\system32\drivers\etc\hosts) eens na of daar bepaalde anti-virus/anti-spyware sites geblocked zijn.
En als je alles verder gefixed hebt, doe dan nog even een scan met een virusscanner en een spywarescanner.

zaterdag 4 maart 2006 19:31

Acties:

voidmage

ad maiora natus sumus

Topicstarter

na een tijd van drukte en afwezigheid had ik weer wat tijd gevonden om naar mijn pc te kijken en daarbij kon ik de volgende conclusies trekken:

quote:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
Lijkt me logisch dat deze weg kunnen.

deze haal ik weg maar krijg ik telkens terug (ook in safe mode.)

quote:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL =

http://localhost:9100/proxy.pac

Heb je die proxy zelf ingesteld?

nee, die haal ik ook weg maar komt ook telkens terug.

quote:
O20 - Winlogon Notify: directpt - E:\WINDOWS\SYSTEM32\directpt.dll

Ik vermoed dat dit de boosdoener is, laat die .dll eens analyseren op http://virusscan.jotti.org (en meld de resultaten hier even)

directpt.dll is niet te vinden in normale modus en in safe modus wel maar kan niet verwijderd worden.

in safe modus kan ik ook niet online ook al is het met networking!!

verder geven nieuwe scans voorlopig geen nieuw resultaat.

en is er ook niks gevonden in de hosts files wat sommige sites blokkeert.

weet iemand misschien hoe ik directpt.dll kan verwijderen?
en/ of verdere hulp of tips.

ik heb secure32.html gescand en die gaf het volgende op http://virusscan.jotti.org/

AntiVir Found SecurityPrivacyRisk/Hoax.Renos.Y riskware
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found Trojan.SpySheriff.C
ClamAV Found Adware.Atris-1
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found W32/Harnig.A-tr
Kaspersky Anti-Virus Found Trojan.Win32.Harnig.a
NOD32 Found Win32/Hoax.Renos application
Norman Virus Control Found HTML/Renos
UNA Found nothing
VirusBuster Found nothing
VBA32 Found nothing

[ Voor 18% gewijzigd door voidmage op 04-03-2006 19:37 ]

zaterdag 4 maart 2006 19:37

Acties:

arvidbeheerder

in uiterste noodzaak een live cdtje booten...
wat je kan proberen (het is geen gruwelijk goed id maar goed) is de schijf in een andere pc te scannen die GOED BEVEILIGD is.

maar waarom maak je geen backup en knal je een image terug (of een nieuwe installatie)

zaterdag 4 maart 2006 19:39

Acties:

voidmage

ad maiora natus sumus

Topicstarter

arvidbeheerder schreef op zaterdag 04 maart 2006 @ 19:37:
in uiterste noodzaak een live cdtje booten...
wat je kan proberen (het is geen gruwelijk goed id maar goed) is de schijf in een andere pc te scannen die GOED BEVEILIGD is.

maar waarom maak je geen backup en knal je een image terug (of een nieuwe installatie)

het makkelijkst is om een nieuw ding eroverheen te gooien maar dan ben ik alles kwijt.
en met een image komt de spyware er gewoon mee terug, of zie ik iets over het hoofd.

zaterdag 4 maart 2006 19:40

Acties:

MPAnnihilator

Je kan eens proberen booten met een cd als :

-ERD commander
-Knoppix Linux

Nadat je met deze boot cd's opstart kan je alle files eruit gooien die je zelf wilt verwijderen, zonder beperking van het Windows operating systeem...

Nog een tip : zoek nooit met de zoekfunctie van Windows naar files. Gebruik bijvoorbeeld de zoekfunctie van "Total Commander"

Mijn Specs

zaterdag 4 maart 2006 19:42

Acties:

arvidbeheerder

voidmage schreef op zaterdag 04 maart 2006 @ 19:39:
[...]

het makkelijkst is om een nieuw ding eroverheen te gooien maar dan ben ik alles kwijt.
en met een image komt de spyware er gewoon mee terug, of zie ik iets over het hoofd.

npe, je ziet niets over het hoofd, maar ik maak altijd na een nieuwe install een image zodat ik gewoon een schone geinstalleerde windows terug kan knallen, scheelt tijd

zaterdag 4 maart 2006 19:44

Acties:

Verwijderd

Heeft de spyware geen naam? balk? reclame wat zie je precies?

zaterdag 4 maart 2006 19:49

Acties:

5mebibyte

Soms vraag ik het me ook af, maar heb je de mircosoft anti spyware algeprobeerd. Soms wilt deze wel eens wat voor me kaar krijgen en dan sta ik verstelt

. Dat de consumentenbond deze het beste vindt ga ik niet zeggen maar soms. idd als je iets van banners krijg dan kun je herleiden wat de naam/bedoeling is

verdwaalde ict'er op elektro!

zondag 5 maart 2006 12:08

Acties:

smvs

Hiren's BootCD i.c.m. up to date Mcafee vdefs is ook nog steeds een prachtig schoonmaakmiddel. Inclusief NTFS write support.

Hardnekkige files kun je ook gewoon via de recovery console van WinXP verwijderen, hier kun je toegang toe krijgen via je installatie CD.

[ Voor 46% gewijzigd door smvs op 05-03-2006 12:11 ]

zondag 5 maart 2006 17:23

Acties:

Klaus_1250

5mebibyte schreef op zaterdag 04 maart 2006 @ 19:49:
Soms vraag ik het me ook af, maar heb je de mircosoft anti spyware algeprobeerd. Soms wilt deze wel eens wat voor me kaar krijgen en dan sta ik verstelt . Dat de consumentenbond deze het beste vindt ga ik niet zeggen maar soms. idd als je iets van banners krijg dan kun je herleiden wat de naam/bedoeling is

Over Windows Defender zijn ze al minder te spreken. Ik ook trouwens, MS AntiSpyware was in het begin echt prettig, vond enorm veel, maar nu laat Windows Defender gewoon het meeste door

zondag 5 maart 2006 17:31

Acties:

doctormetal

voidmage schreef op zaterdag 04 maart 2006 @ 19:31:
directpt.dll is niet te vinden in normale modus en in safe modus wel maar kan niet verwijderd worden.

in safe modus kan ik ook niet online ook al is het met networking!!

verder geven nieuwe scans voorlopig geen nieuw resultaat.

en is er ook niks gevonden in de hosts files wat sommige sites blokkeert.

weet iemand misschien hoe ik directpt.dll kan verwijderen?
en/ of verdere hulp of tips.

Kan je hem niet verwijderen omdat hij in gebruik is of heb je daar geen rechten toe?

Als je geen rechten heb om te verwijderen (kan ook gebeuren als je admin user bent), moet je de rechten aapassen (recht kilkken op bestand in explorer, eigenschappen, beveiliging)

Als het bestand in gebruik is, wil het soms wel eens lukken om deze te renamen. Als je dan opnieuw start, kan je hem verwijderen.

zondag 5 maart 2006 17:39

Acties:

Verwijderd

Het terugkomen na het verwijderen kan komen doordat je system restore niet hebt uitgezet voordat je het weghaalt. Doe dat eerst en daarna restarten (evt. bovenstaande nog es uitvoeren in safemode)

zondag 5 maart 2006 17:53

Acties:

Klaus_1250

Terugkomen kan ook komen doordat er een dropper of downloader op is blijven staan, die zodra je online gaat, weer fijn alles terugzet

Die tooltjes in je startpost gaan never-nooit niet alles fixen, daar heb je zwaarder geschut voor nodig. Probeer eens HitmanPro. Je kan ook een trial van Kaspersky erop zetten oid. Ewido wil ook redelijk wat malware vinden. Windows Defender / Ms AntiSpyware is ook een aanrader, alhoewel die lang niet meer zoveel vinden als eerst.

Wel 1 ding: Je moet alles wel 1 keer verwijderen dwz. Niet met 1 dingen scannen en dan opstarten om te kijken of alles weg is! x-aantal tools in 1 sessie alles laten cleanen. Gebruik Autoruns van Sysinternals om te zorgen dat niks ongevraagd opstart.

[ Voor 69% gewijzigd door Klaus_1250 op 05-03-2006 17:59 ]