Adware na scannen met Hitman Pro nog steeds niet weg - Privacy en beveiliging

dinsdag 16 mei 2006 11:00

Acties:

Schreeuwen en Nibbits eten!

Topicstarter

Onlangs is er iets gebeurd door iemand anders op mijn computer. En waar ik normaliter altijd spyware er goed uit weet te vissen ben ik nu echt even hopeloos.
Ik heb verschillende spyware/adware scanners geprobeerd, tot overmaat van ramp Hitman Pro geinstalleerd. Maar niks mag baten.

Symptomen zijn als volgt: als ik google krijg ik een balk aan de zijkant waar aparte searchresults verschijnen. Een hoop woorden in m'n webpagina worden ge-highlight met links naar advertenties. Alles lijkt terug te lussen naar http://www.453searches.com/
Echter, google EN altavista geven geen results op 453searches, niet op de normale search, en niet op groups.

Dus ik ben echt eventjes hopeloos, in de hoop dat iemand mij hieruit kan redden.
Alvast onwijs bedankt...

dinsdag 16 mei 2006 11:02

Acties:

My-life

Staat er niets gewoon in de software lijst?
Heel veel spyware is gewoon op een "normale" manier te verwijderen als je gaat zoeken op de site waar het vandaan komt/naar toe verwijst.

Alleen het is het vaak zo dat Anti Ad/Spyware tools het dan al deels hebben verwijderd zodat een unïnstaller niet meer werkt.

dinsdag 16 mei 2006 12:09

Acties:

pasta

Ondertitel

Beveiliging en Virussen - Nieuw topic starten biedt ook nog wat tips, waaronder HijackThis. Maak eens een log en loop deze eens zelf door met Google en evt. Jotti's online malware scan.

Mocht je er zelf niet uitkomen, post dan je log hier tussen [code][/code]-tags.

Signature

dinsdag 16 mei 2006 12:29

Acties:

chromeeh

the Gnome

pasta schreef op dinsdag 16 mei 2006 @ 12:09:
Beveiliging en Virussen - Nieuw topic starten biedt ook nog wat tips, waaronder HijackThis. Maak eens een log en loop deze eens zelf door met Google en evt. Jotti's online malware scan.

Mocht je er zelf niet uitkomen, post dan je log hier tussen [code][/code]-tags.

En misschien is het handig om de url tags in de TS ff weg te halen...
Niemand zit op auto-installers te wachten....

"Some day, I hope to find the nuggets on a chicken."

dinsdag 16 mei 2006 12:32

Acties:

Hann1BaL

Do you stay for dinner?Clarice

wat zegt windows defender ervan?

dinsdag 16 mei 2006 12:38

Acties:

apNia

Schreeuwen en Nibbits eten!

Topicstarter

Ik kan echt niks bijzonders vinden in de log. De enige verdachte vind ik de dikgedrukte. Maar daar is vervolgens niks op google over te vinden, dus vond ik te risicovol om zomaar te deleten. (en ja mijn C:\ is H:\

)

Edit: shit dikgedrukt in code werkt niet

Ik heb er ff *** voorgezet

code:

Logfile of HijackThis v1.99.1
Scan saved at 12:33:43, on 16-5-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\VTTimer.exe
H:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
H:\WINDOWS\SOUNDMAN.EXE
H:\Program Files\Microsoft IntelliType Pro\type32.exe
H:\Program Files\D-Tools\daemon.exe
H:\Program Files\QuickTime\qttask.exe
H:\Program Files\MSN Messenger\MsnMsgr.Exe
H:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
H:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
H:\Program Files\Samsung\Digimax Viewer 2.1\STImgBrowser.exe
H:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
H:\WINDOWS\system32\svchost.exe
H:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\wdfmgr.exe
H:\WINDOWS\System32\alg.exe
H:\totalcmd\TOTALCMD.EXE
H:\Program Files\Internet Explorer\iexplore.exe
H:\Program Files\Windows Media Player\wmplayer.exe
H:\Documents and Settings\Arianne\Bureaublad\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
*** O2 - BHO: ohb - {5ED7D3DE-6DBE-4516-8712-01B1B64B7057} - H:\WINDOWS\system32\SearchTool\.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - h:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [type32] "H:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "H:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [KAVPersonal50] "H:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "H:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MsnMsgr] "H:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "H:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] H:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader Snelle start.lnk = H:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digimax Viewer 2.1.lnk = ?
O8 - Extra context menu item: &Google Search - res://h:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://h:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://h:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://h:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://h:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://h:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - H:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - H:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125083957468
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://player.virtools.com/downloads/player/Install3.0/Installer.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E04E2549-4947-45AB-B103-F24EEAD47796}: NameServer = 62.108.1.65,62.108.1.66
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "H:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - H:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Autodesk Licensing Service - Autodesk - H:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - H:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - H:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - H:\Program Files\Spyware Doctor\sdhelp.exe

dinsdag 16 mei 2006 17:14

Acties:

Martijnc

Best eerst Spybot uitschakelen en daarna deze regel mag je fixen:
O2 - BHO: ohb - {5ED7D3DE-6DBE-4516-8712-01B1B64B7057} - H:\WINDOWS\system32\SearchTool\.dll

Daarna herstarten en het bijhorende bestand wissen.

[ Voor 12% gewijzigd door Martijnc op 16-05-2006 17:19 ]

donderdag 18 mei 2006 01:36

Acties:

Verwijderd

heb je al geprobeert om in veilige modus te scannen?

donderdag 18 mei 2006 02:16

Acties:

EricJH

Laat de log hier eens bekijken: www.hijackthis.de . Dat kan behulpzaam zijn bij eerste schifting van de resultaten....

donderdag 18 mei 2006 12:39

Acties:

Vae Victus

Awesome God

Ik gebruik Windows Defender misschien als je die erover heen gooit dat het dan wel werkt. Je kan daarbij ook programma's bekijken die je normaal niet zo snel zou zien. En op de achtergrond draaiende processen.
Windows Defender

I believe in Christianity as I believe that the sun has risen: not only because I see it, but because by it I see everything else. C.S. Lewis

vrijdag 19 mei 2006 18:33

Acties:

apNia

Schreeuwen en Nibbits eten!

Topicstarter

Om even te update voor searchers. Ik keek in de /SearchTool map en daar stond netjes een uninstaller bij. 2 bestanden bleven staan na de uninstall, maar de implementatie in IE lijkt verdwenen! Dus ik rename ff die 2 files (just in case) en denk dat dit wel goed heeft geholpen. Bedankt allemaal voor de hulp! Martijnc in het bijzonder (vond die record al verdacht

)