Spyware die niet weg te krijgen is - Privacy en beveiliging

vrijdag 22 september 2006 12:07

Acties:

for president

Topicstarter

Nou gister stuurde iemand me een .pif bestandje via msn en vroeg.. wat is een .pif extensie voor iets.. Ik dat dus eventjes openen en ben inmiddels al een uur of 5 bezig om alles eraf te krijgen maar ik krijg nog steeds popups etc.

Wat ik gedaan heb:
- hitman pro (met alle onderdelen)
- Edwido anti spyware
- regcleaner
- brute force uninstaller
- spybot, die de volgende melding aangeeft:

Ook bij regedit kan ik deze files gewoon niét handmatig verwijderen

- hijackthis met log:

Logfile of HijackThis v1.99.1
Scan saved at 12:04:03, on 22-9-2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\CTHELPER.EXE
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\PROGRA~1\WHATPU~1\WHATPU~1.EXE
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Dion\Bureaublad\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Program Files\DeluxeCommunications\DxcBho.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [WhatPulse] C:\PROGRA~1\WHATPU~1\WHATPU~1.EXE
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - Startup: Workrave.lnk = C:\Program Files\Workrave\lib\Workrave.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://diontjuhh.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn...rStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/...sengerSetupDownloader.cab
O20 - AppInit_DLLs: dxclib303562752.dll
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\kt6sl7j71.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

-=-=- [CM] Stainless Art -=-=-[cip] blauwe plexi cube -=-=-=

vrijdag 22 september 2006 12:15

Acties:

Ra_gdd

-= Nigga on tha Trigga =-

Dan beste harddisk uit je pc halen en hangen aan een andere pc die proper is.
En vandaar besmette harddisk schoonmaken.

Goede programma's ervoor:
- Kaspersky Antivirus
- Nod32 Antivirus
- Spysweeper
- Ewido
- Spybot
- Spyware doctor

http://www.tweakers.net/gallery/92748/sys / http://www.tweakers.net/gallery/sys/11563" / http://www.tweakers.net/gallery/sys/11561

vrijdag 22 september 2006 12:17

Acties:

EWK

Een fles dode pixels te koop!

diontjuh schreef op vrijdag 22 september 2006 @ 12:07:
Nou gister stuurde iemand me een .pif bestandje via msn en vroeg.. wat is een .pif extensie voor iets.. Ik dat dus eventjes openen en ben inmiddels al een uur of 5 bezig om alles eraf te krijgen maar ik krijg nog steeds popups etc.

Wat ik gedaan heb:
- hitman pro (met alle onderdelen)
- Edwido anti spyware
- regcleaner
- brute force uninstaller
- spybot, die de volgende melding aangeeft:

Ook bij regedit kan ik deze files gewoon niét handmatig verwijderen

**Knip**

Ik zou niet meer tijd besteden aan het helen van de wonden. Ik zou een aantal dingen doen:
1. De gast waarvan je dat bestandje hebt ontvangen een rekening sturen.
2. Alle belangrijke data opslaan op een externe hd, vd, dvd of een andere partitie.
3. Windows cd erin
4. Rebooten
5. Formatteren
5. Windows er opnieuw opzetten.

Gevolg, weer een lekker schoon systeem. Al gaat dit wel een paar uur van je zondag kosten!

Hoi!

vrijdag 22 september 2006 12:18

Acties:

diontjuh

for president

Topicstarter

Ra_gdd schreef op vrijdag 22 september 2006 @ 12:15:
Dan beste harddisk uit je pc halen en hangen aan een andere pc die proper is.
En vandaar besmette harddisk schoonmaken.

Goede programma's ervoor:
- Kaspersky Antivirus
- Nod32 Antivirus
- Spysweeper
- Ewido
- Spybot
- Spyware doctor

Dan zou het dus netzogoed via de veilige modus moeten kunnen? heb ik ook an geprobeert dus...

-=-=- [CM] Stainless Art -=-=-[cip] blauwe plexi cube -=-=-=

vrijdag 22 september 2006 12:21

Acties:

aZuL2001

Het zou kunnen dat de reg keys die je niet kan verwijderen je geen rechten hebt.

Maar als admin zou je take ownership oid op die regkey kunnen doen.
Ofwel kijk de permissions van die bewuste regkeys eens na.

Best is om dat via veilige modus te doen.

Edit : volgende keer persoon op www.filext.com wijzen en niet zelf met de shit opgescheept zitten...

[ Voor 17% gewijzigd door aZuL2001 op 22-09-2006 12:24 . Reden: aanvulling ]

Abort, Retry, Quake ???

vrijdag 22 september 2006 12:27

Acties:

Hold

diontjuh schreef op vrijdag 22 september 2006 @ 12:07:
Nou gister stuurde iemand me een .pif bestandje via msn en vroeg.. wat is een .pif extensie voor iets.. Ik dat dus eventjes openen en ben inmiddels al een uur of 5 bezig om alles eraf te krijgen maar ik krijg nog steeds popups etc.
...

Misschien een domme vraag: maar wat is een .pif nu eigenlijk???

vrijdag 22 september 2006 12:28

Acties:

Verwijderd

Stomme vraag misschien maar had je wel een virusscanner ?

Zo nee dan zou ik de 30 dagen test van Kaspersky installeren en onder veilige modes laten scannen.

[edit]
Short for Program InFormation file, a type of file that holds information about how Windows should run a non-Windows application. For example, a PIF file can contain instructions for executing a DOS application in the Windows environment. These instructions can include the amount of memory to use, the path to the executable file, and what type of window to use. PIF files have a .pif extension .

Ps. Er bestaan geen domme vragen, enkel domme antwoorden.

[ Voor 71% gewijzigd door Verwijderd op 22-09-2006 12:34 ]

vrijdag 22 september 2006 12:31

Acties:

Rone

Moderator Tweaking

Hold schreef op vrijdag 22 september 2006 @ 12:27:
[...]
Misschien een domme vraag: maar wat is een .pif nu eigenlijk???

PIF staat voor Program Information File. Hierin wordt informatie opgeslagen over hoe Windows een non-Windows programma uit moet voeren, bijvoorbeeld voor een DOS-applicatie.
Hierin wordt bijvoorbeeld aangegeven hoeveel geheugen de applicatie moet gebruiken, de locatie van de executable, het venstertype, etc.

edit:

Wat hierboven staat, maar dan in het Nederlands dus

[ Voor 6% gewijzigd door Rone op 22-09-2006 12:31 ]

PC1: 9800X3D + RX 9070 XT || PC2: 5800X3D + RTX 3080 || Laptop: 7735HS + RTX 4060

vrijdag 22 september 2006 12:34

Acties:

Zerosix21

Hold schreef op vrijdag 22 september 2006 @ 12:27:
[...]

Misschien een domme vraag: maar wat is een .pif nu eigenlijk???

pif= Persoonlijk informatie file staat het voor, volgens mijn.

vrijdag 22 september 2006 12:35

Acties:

Verwijderd

Zerosix21 schreef op vrijdag 22 september 2006 @ 12:34:
[...]

pif= Persoonlijk informatie file staat het voor, volgens mijn.

Late antwoorden bestaan ook

[edit]
Of ik moet er helemaal overheen kijken maar volgens de hijackthis log heb je geen virusscanner draaien wat natuurlijk vragen om problemen is. Vooral als je zo slim bent via msn bestandjes op te starten.

[ Voor 32% gewijzigd door Verwijderd op 22-09-2006 12:40 ]

vrijdag 22 september 2006 12:41

Acties:

pennywiser

http://safety.live.com/ Misschien vindt deze wel wat, reinigt tevens je registry. Verder kan je nog Windows Defender proberen.

vrijdag 22 september 2006 12:42

Acties:

diontjuh

for president

Topicstarter

Ik ben nu weer aan het scannen met hitman maar telkens als ik ad-aware laat lopen sluit explorer zich af, en als edwido micro scanner klaar is en begint met verwijderen krijgt die ook een error en sluit zich zelf af

Hierna maar eens even in de veilige modus kijken of ik die regkeys nu wegkrijg

-=-=- [CM] Stainless Art -=-=-[cip] blauwe plexi cube -=-=-=

vrijdag 22 september 2006 12:42

Acties:

Iblies

Soms krijg ik ook pc onder handen waarbij niks blijkt te helpen,

register controleren levert ook niks op.

Nieuw image neerzetten, en de boel opnieuw installeren gaat veel sneller (+/- 2 uur met alle basis erop (office, dvd etc)
dan allerlei programma's uitproberen en hopen dat je een programma tegenkomt dat bestand verwijdert zonder conseqeunties. Eens had ik malware dat zich had verweven met de explorer, probleem opgezocht, getracht een oplossing te vinden, malware in eerste instantie weg, na een reboot deed explorer het vervolgens niet meer.

3-4 progamma's alah spybot, adware, hijack en nog enkele virusscanners, en je kunt je beter gaan richten om na te gaan welke bestanden belangrijk zijn en of die nog te redden zijn.

vrijdag 22 september 2006 12:45

Acties:

Verwijderd

Persoonlijk heb ik helemaal niets met programma's als hitman. Ik zou zelf altijd een pakket gebruiken wat iig van 1 maker is en geen verzameling half werkende programma's waarvan je geen idee hebt wat ze doen.

Je hebt dikke kans dat het programma zich zelf weer hersteld zodra je internet explorer opstart of alleen al de computer reboot.

[ Voor 24% gewijzigd door Verwijderd op 22-09-2006 12:47 ]

vrijdag 22 september 2006 12:47

Acties:

Verwijderd

ik mis trendmicro en microsoft nog in je lijstje..
http://housecall.trendmicro.com
http://www.microsoft.com/...f14e605a0d&DisplayLang=en

probeer die ff..

vrijdag 22 september 2006 13:03

Acties:

diontjuh

for president

Topicstarter

Verwijderd schreef op vrijdag 22 september 2006 @ 12:47:
ik mis trendmicro en microsoft nog in je lijstje..
http://housecall.trendmicro.com
http://www.microsoft.com/...f14e605a0d&DisplayLang=en

probeer die ff..

Trendmicro scant goed en zodra hij wil gaan verwijderen sluit FF zich automatisch

Dat andere krijg ik niet zogoed geinstalleerd (

)

-=-=- [CM] Stainless Art -=-=-[cip] blauwe plexi cube -=-=-=

vrijdag 22 september 2006 13:03

Acties:

pasta

Ondertitel

Wellicht een beetje rare vraag, maar waarom installeer je zoiets als je blijkbaar geen benul hebt van de gevolgen of hoe ze op te lopen.

Signature

vrijdag 22 september 2006 13:11

Acties:

diontjuh

for president

Topicstarter

pasta schreef op vrijdag 22 september 2006 @ 13:03:
Wellicht een beetje rare vraag, maar waarom installeer je zoiets als je blijkbaar geen benul hebt van de gevolgen of hoe ze op te lopen.

Nou omdat ik dacht dat een .pif file-tje een foto bestandje was.. en hij met een erg leuke meid op het moment bezig is

ik denk ja dat wil ik wel ff zien en er stond ook geen icoontje oid bij dus ik dat gewoon voor hem geopend om te kijken of ik er iets aan kon doen (normaal gesproken ben ik de spyware fixer bij tig gezinnen in de buurt en lukt het me dus ook wel om wat spyware eraf te krijgen zou ik het op mijn eigen pc krijgen)

-=-=- [CM] Stainless Art -=-=-[cip] blauwe plexi cube -=-=-=

vrijdag 22 september 2006 13:17

Acties:

Verwijderd

diontjuh schreef op vrijdag 22 september 2006 @ 13:03:
[...]

Trendmicro scant goed en zodra hij wil gaan verwijderen sluit FF zich automatisch
Dat andere krijg ik niet zogoed geinstalleerd ( )

je kunt die laatste ook vinden op p2p oa emule zonder WGA troep

en juist die wist mij te redden van een hardnekkige spyware besmetting.

vrijdag 22 september 2006 13:35

Acties:

aZuL2001

Als ik zoek op DeluxeCommunications kom ik als mogelijke oplossingen o.a. http://www.ccleaner.com/ tegen.

zoeken op wintfj32.dll levert ook het nodige op.

Evt kun je kijken of je de sysclean van TrendMicro kunt runnen, of Stinger van McAfee

Abort, Retry, Quake ???

vrijdag 22 september 2006 16:09

Acties:

maratropa

Ik heb net wat nieuw spyware kunnen verwijderen met PREVX1, ze waren die enigen die hem kenden. Spyware wilde verdomme naar thailand bellen....

http://www.prevx.com/

[ Voor 9% gewijzigd door maratropa op 22-09-2006 16:10 ]

specs

maandag 25 september 2006 01:20

Acties:

tweakerbee

dus..?

Opstarten met een BartPE CD, en dan bestandjes weggooien. Snel, simpel, niet safe (opletten wat je weggooit).
Alternatief: Formatteer + reinstall.

Online verwijderen zal lastig worden, aangezien het ding ook in veilige modus handles naar zichzelf open weet te houden zodat verwijderen onmogelijk wordt.

You can't have everything. Where would you put it?