[XP] Windows Security Center popups - Privacy en beveiliging

vrijdag 4 augustus 2006 13:06

Acties:

Topicstarter

Oke, ik heb dus sinds gisteravond ook eens spyware. En ik wordt er nu al niet goed van. Ik ben meteen aan de slag gegaan met Hitman Pro, in de veronderstelling dat het daar wel mee zou weg gaan. Helaas, de popups blijven gewoon doorkomen terwijl Hitman pro draait. Dat was dus geen succes. Spybot vind een stuk of 13 stuks malware waaronder het (blijkbaar behoorlijk irritante) SmitFraud-C. Ik ben vervolgens aan de gang gegaan met Hijackthis en de foute hits eruit gegooid (ik weet waar ik mee bezig ben). Helaas blijven er verschillende steeds terugkomen, waarvan de meest noemenswaardige toch wel zijn:

O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\system32\runsrv32.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe

Vervolgens ben ik gaan zoeken op internet via google en kwam ik op hijackthishelper via deze link. Ik heb al deze stappen uitgevoerd maar na een reboot (terug in normale modus) bleek er weinig veranderd te zijn. Met als enige verschil dat wanneer er een popup geopend wordt (en ik negeer deze met kruisje) wordt er automatisch een pagina geladen. Normaal stond deze vol met zogenaamde adware reclame maar nu staat er de volgende (opzich wel comische

) mysql error:

Warning: mysql_connect(): Too many connections in /usr/local/psa/home/vhosts/antispynet.com/httpdocs/connect.php on line 6
Too many connections

op de link: Als we toch niet op de link klikken, dan hoeft ie hier niet te staan

Tevens wordt ook telkens m'n startpagina veranderd in About:blank (wat dan weer een lokale website is geworden), maar CWShredder vind niets (zowel niet via Hitman Pro als wanneer je het appart draait). Ik heb ook geprobeerd Ad-Aware en Spybot (buiten Hitman Pro om) in veilige modus te runnen en opvallend genoeg vind Ad-Aware er dan een stuk minder dan in normale modus, ik verwijder ze dan en als ik dan nóg eens scan vinden ze niks meer. Maar terug in normale modus is het nog steeds niet opgelost. Er is één programma in Hitman Pro dat wél extra trojans en malware vind (met de aanduiding rood - high risk) maar ik heb van dit programma enkel een trial version die inmiddels allang expired is en dit programma wil nét die bestanden niet verwijderen in de 30-day trial versie.

Weet iemand hoe je dit ongelooflijk irritante stuk spyware weghaald? Alvast bedankt! $_/-\o_$

[ Voor 3% gewijzigd door pasta op 04-08-2006 13:08 ]

vrijdag 4 augustus 2006 13:14

Acties:

Martijnc

Probeer eens met SmitRem of SmitfraudFix

Dit is Smitfraud en HMP en veel andere scanners krijgen hem niet weg.

Die regels uit HijackThis zouden daarna ook weg moeten zijn. Alle sleutels en bestanden gerelateerd een Smitfraud vind je hier:
http://siri.geekstogo.com/ChangeLog.php

[ Voor 18% gewijzigd door Martijnc op 04-08-2006 13:15 ]

vrijdag 4 augustus 2006 13:30

Acties:

Niles

Topicstarter

Martijnc schreef op vrijdag 04 augustus 2006 @ 13:14:
Probeer eens met SmitRem of SmitfraudFix
Dit is SmitFraud en HMP en veel andere scanners krijgen hem niet weg.

Die regels uit HijackThis zouden daarna ook weg moeten zijn. Alle sleutels en bestanden gerelateerd een Smitfraud vind je hier:
http://siri.geekstogo.com/ChangeLog.php

Dat SmitRem heb ik dus gebruikt zoals je had kunnen lezen als je op de link had geklikt en de 2e post had gelezen. Ik heb de het bestand uitgepakt en in de map "SmitRem" het bestand RunThis.bat uitgevoerd zoals uitgelegd op die pagina. Maar dat hielp bij mij dus niets. Ik kan het straks nog eens proberen maar als het de eerste keer geen resultaat geeft lijkt mij de 2e keer ook niets te doen?

Edit: En de link had ik toch toegevoegd mocht iemand daar informatie uit kunnen halen. Maar mss is het idd maar beter als die er niet staat (alhoewel ik denk dat het een lokale link is, aan het C:\Windows te zien).

[ Voor 10% gewijzigd door Niles op 04-08-2006 13:32 ]

vrijdag 4 augustus 2006 13:49

Acties:

Martijnc

Die link werkt bij niet....
Heb je met SmitfraudFix geprobeerd?

vrijdag 4 augustus 2006 13:53

Acties:

Niles

Topicstarter

Martijnc schreef op vrijdag 04 augustus 2006 @ 13:49:
Die link werkt bij niet....
Heb je met SmitfraudFix geprobeerd?

Sorry klopt idd, had hem toenet nog aangepast maar mss omdat die mod hem ook heeft aangepast dat daar iets mis mee is gelopen.

de link is deze.

vrijdag 4 augustus 2006 14:12

Acties:

Martijnc

Op die link staat een HJT logje van iemand anders, hij heeft dezelfde infectie maar waarschijnlijk een andere variant. Daar zijn we dus niet veel mee.

Heb je ondertussen Smitfraudfix al eens laten draaien? dit is niet hetzelfde tooltje als Smitrem!

Er zijn de laatste dagen een hoop nieuwe varianten uitgekomen, moest het met Smitfraudfix nog niet wegzijn kan je nog proberen met de combinatie roguescanfix en Smitfraudfix.

Je kan ook de log (c:\smitfiles.txt) posten dan kunnen we kijken wat er scheef loopt bij Smitrem, mischien heb je een outdated versie?

vrijdag 4 augustus 2006 16:04

Acties:

Niles

Topicstarter

Hey Martijn, ik heb er dus nog steeds last van. Dat programmatje werkte goed en leek in het begin geholpen te hebben. Ik heb 'm zowel in normal-mode als in safe-mode gedraait en toen ik terugkeerde in windows was m'n achtergrond blauw (zoals ik al had gelezen dat dat normaal zou zijn). M'n startpagina was veranderd in de standaard msn pagina en ik kreeg in eerste instantie geen pop-ups meer. Maar helaas verscheen zojuist weer de eerste popup en meteen keek ik in de IE settings en stond er bij de startpagina weer about:blank. Ook dit werkt dus niet echt. Hier de log van dat progje:

SmitFraudFix v2.79

Scan done at 15:55:08,01, vr 04-08-2006
Run from C:\Documents and Settings\Niels Ligtvoet\Bureaublad\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [versie 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrator\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

en de log van SmitRem:

smitRem © log file
version 3.1

by noahdfear

Microsoft Windows XP [versie 5.1.2600]
"IE"="6.0000"

Running from
C:\Documents and Settings\Niels Ligtvoet\Bureaublad\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Preloader van browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Cache-daemon voor onderdeelcategorieën"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key

PSGuard.com key not present!

checking for WinHound.com key

WinHound.com key not present!

checking for drsmartload2 key

drsmartload2 key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present
AlfaCleaner uninstaller NOT present
SpyFalcon uninstaller NOT present
SpywareQuake uninstaller NOT present
SpywareSheriff uninstaller NOT present
Trust Cleaner uninstaller NOT present
SpyHeal uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

amcompat.tlb
nscompat.tlb
shellgui32.dll
logfiles

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 840 'explorer.exe'
Killing PID 840 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Preloader van browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Cache-daemon voor onderdeelcategorieën"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

CLEAN!

zaterdag 5 augustus 2006 16:05

Acties:

Niles

Topicstarter

Niemand die me hiermee kan helpen?

zaterdag 5 augustus 2006 23:49

Acties:

Verwijderd

Het logje van Smitfraudfix dat je plaatst is van optie 1 en niet van optie 2.
Draai nog eens optie 2 in veilige modus.
Had je al wel optie 2 in veilige modus gedraaid, kan je dan eens het hele logje van Hijack This plaatsen?
Het lijkt erop dat je misschien een nieuwe versie te pakken hebt die nog niet helemaal door Smitfraudfix wordt aangepakt en dat is te zien in de lopende processen.

zondag 6 augustus 2006 12:18

Acties:

Niles

Topicstarter

SmitFraudFix v2.79

Scan done at 12:16:27,04, zo 06-08-2006
Run from C:\Documents and Settings\Niels Ligtvoet\Bureaublad\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [versie 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\alexaie.dll Deleted
C:\WINDOWS\alxie328.dll Deleted
C:\WINDOWS\alxtb1.dll Deleted
C:\WINDOWS\BTGrab.dll Deleted
C:\WINDOWS\dlmax.dll Deleted
C:\WINDOWS\infected.gif Deleted
C:\WINDOWS\Pynix.dll Deleted
C:\WINDOWS\susp.exe Deleted
C:\WINDOWS\win_logo.gif Deleted
C:\WINDOWS\ZServ.dll Deleted
C:\WINDOWS\system32\a.exe Deleted
C:\WINDOWS\system32\alxres.dll Deleted
C:\WINDOWS\system32\bridge.dll Deleted
C:\WINDOWS\system32\dailytoolbar.dll Deleted
C:\WINDOWS\system32\jao.dll Deleted
C:\WINDOWS\system32\questmod.dll Deleted
C:\WINDOWS\system32\runsrv32.dll Deleted
C:\WINDOWS\system32\runsrv32.exe Deleted
C:\WINDOWS\system32\tcpservice2.exe Deleted
C:\WINDOWS\system32\txfdb32.dll Deleted
C:\WINDOWS\system32\udpmod.dll Deleted
C:\WINDOWS\system32\wstart.dll Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

Deze is in normal mode gedraait, ik zal het zodadelijk nog ff in safe-mode draaien. Volgens mij heb ik dit de vorige keer ook gedaan (anders is het wel heel lomp

), maar ben niet zeker.

(Overigens moet ik zeggen dat als ik dit programma heb uitgevoerd in normal mode ik nog steeds last heb van het probleem).

[ Voor 3% gewijzigd door Niles op 06-08-2006 12:19 ]

zondag 6 augustus 2006 12:22

Acties:

Niles

Topicstarter

Ik weet trouwens niet of dit er iets mee te maken heeft. Maar wat hééééél irritant is dat ik sinds ik deze spyware heb, ook niet in staat ben om binnen Windows menu's op knoppen te drukken (behalve annuleren en toepassen). Bv; stel ik ga naar beeldscherm eigenschappen en ik wil de resolutie aanpassen, dat doet ie gewoon niet. En zo zit dat in élk windows menu. Ik kan er wel op klikken, maar hij doet gewoon niks. Alleen oke, toepassen en annuleren werkt. hierdoor kan ik dus ook niks aanpassen in windows. Kan dat ermee te maken hebben?

zondag 6 augustus 2006 13:05

Acties:

Martijnc

Kan je nog een nieuw HijackThis logje posten, anders zien we niet of je de nieuwe variant hebt waar Pavlov het over had, anders zal de infectie telkens terug komen

zondag 6 augustus 2006 16:29

Acties:

Niles

Topicstarter

Martijnc schreef op zondag 06 augustus 2006 @ 13:05:
Kan je nog een nieuw HijackThis logje posten, anders zien we niet of je de nieuwe variant hebt waar Pavlov het over had, anders zal de infectie telkens terug komen

e voila:

Logfile of HijackThis v1.99.1
Scan saved at 16:28:25, on 6-8-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\USBToolbox\Res.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\smartdrv.exe
C:\WINDOWS\system32\officescan.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\NIELSL~1\LOCALS~1\Temp\Rar$EX00.188\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)
O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)
O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)
O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
O2 - BHO: (no name) - {9c691a33-7dda-4c2f-be4c-c176083f35cf} - (no file)
O2 - BHO: office_pnl.office_panel - {B53455DB-5527-4041-AC41-F86E6947AA47} - C:\WINDOWS\system32\office_pnl.dll
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
O2 - BHO: (no name) - {ffd2825e-0785-40c5-9a41-518f53a8261f} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Program Files\USBToolbox\Res.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\system32\runsrv32.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

Die 2 hits die ik in m'n startpost had staan blijven ook steeds maar terugkomen.

zondag 6 augustus 2006 16:56

Acties:

Martijnc

Doe maar niet, zie Beveiling & Virussen - Policy

Begin eerst met HijackThis in een vaste map te zetten, geen tijdelijke map.

Je download een nieuwe versie van SmitFraudfix en slaat die ook op op je bureablad

Nu start je in veilige modus, je kan dan niet bij deze pagina dus sla je deze best ergens op! Zorg oook dat je voor je in veilige modus gaat ook alle tooltjes hebt geupdate!!.

Daarna scan je opnieuw en vind je deze regels aan:

O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)
O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)
O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)
O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)
O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
O2 - BHO: (no name) - {9c691a33-7dda-4c2f-be4c-c176083f35cf} - (no file)
O2 - BHO: office_pnl.office_panel - {B53455DB-5527-4041-AC41-F86E6947AA47} - C:\WINDOWS\system32\office_pnl.dll
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
O2 - BHO: (no name) - {ffd2825e-0785-40c5-9a41-518f53a8261f} - (no file)
O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\system32\runsrv32.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe

Klik op fix checked

Daarna verwijderd je volgende bestanden:
C:\WINDOWS\system32\runsrv32.exe
C:\WINDOWS\system32\susp.exe

Nu laat je opnieuw SmitfraudFix draaien (optie 2), als die gedaan is kan je nog scannen met Ewido of iets dergelijks, en hopen dat hij wegblijft !

[ Voor 15% gewijzigd door pasta op 07-08-2006 12:18 ]

zondag 6 augustus 2006 17:49

Acties:

Niles

Topicstarter

Oke, ik was dus al aan de gang gegaan vóór je bericht Martijn. Ik ben inmiddels van de spyware af op eigen wijze. Ik ben dus wederom in Safe-Mode gegaan en heb eerst de nodige "verdachte" bestanden in de taskmanager eruit gegooit. Vervolgens Hijackthis gedraait (laatste update), en hiermee de hits die mij niet jofel leken eruit gegooit. Vervolgens heb ik dus nogmaals dat SmidfraudFix gedraait. Ik kon zien dat hij vanalles verwijderde. Ik heb daarna nog in MSConfig (tabblad opstarten) zitten zoeken, aangezien er bij het opstarten telkens een bestand Runsrv32.exe ofzoiets opstarte. Deze heb ik daar uitgegooid. Volgens nog een keer SpyBot en Ad-Aware gedraait, en deze vonden tot mijn verbazing ineens niks meer. Ik terug naar normal-mode en daar is het tot nu toe (zo'n kwartier geleden) nog niks. Geen popups, geen startpaginaverandering etc. Ook kan ik weer in windows menus op andere knoppen drukken. Wat een smerig stuk virus/malware dus, want het lag dus echt aan dat stuk software. Ik kwam er zelfs achter dat in de taskmanager die software ervoor zorgde dat ik geen draaiende applicaties kon aanklikken en sluiten, omdat deze dit hele vlak 'grijs' maakte. Iig, ik ben er vanaf gelukkig. Ik zal zodadelijk nog ff kijken of ik dat bestandje naar je kan mailen, maar ik verwacht dat het weg zal zijn.

Iig, hartstikke bedankt!!

zondag 6 augustus 2006 17:55

Acties:

Martijnc

Graag gedaan

Als je het bestandje nog vind zou dat handig zijn om de tooltjes te updaten, is het weg is het geen ramp

Pagina: 1

Reageer