Hallo medetweakers,
Ik heb het volgende probleem:
De PC van een kennis van mij heeft een stukje spyware erin zitten dat ik maar niet wegkrijg, maar het zorgt ervoor dat continu de startpagina van de Internet Explorer wordt gewijzigd naar een zoekpagina.
Ik heb natuurlijk geprobeerd om dit met Spybot S&D te verwijderen. dit gaat op zich goed, maar na de eerste reboot van de pc komt het er met dezelfde vaart weer in te staan.
Vervolgens heb ik Hijack This gebruikt om het te verhelpen, ook hier kan ik netjes wat zaken weghalen en werkt het weer normaal, maar weer na de reboot komt die zoekpagina weer terug als startpagina. Het logfile ziet er als volgt uit:
Ik heb van bovenstaande de regels 32 t/m 40 en ook regel 42 verwijderd. Deze horen er sowieso niet thuis lijken me.
Het ip-adres in regel 42 is degene van de zoekpagina die steeds verschijnt.
Ook heb ik nog gekeken of er een "fout" svchost bestand aanwezig was. Er bleek een svchost te staan in de map I386 en volgens de KB van Windows hoort er slechts één te staan in de map System32. Dus ik heb die in de map I386 verwijderd.
Wat vergeet ik nog om dit probleem te kunnen verhelpen?
Verder info:
- Pentium IV 2,4 GHz
- Windows XP Home Edition
- SP1
- Updates zijn allemaal gedaan
Alvast hartelijk bedankt.
Jeroen
Ik heb het volgende probleem:
De PC van een kennis van mij heeft een stukje spyware erin zitten dat ik maar niet wegkrijg, maar het zorgt ervoor dat continu de startpagina van de Internet Explorer wordt gewijzigd naar een zoekpagina.
Ik heb natuurlijk geprobeerd om dit met Spybot S&D te verwijderen. dit gaat op zich goed, maar na de eerste reboot van de pc komt het er met dezelfde vaart weer in te staan.
Vervolgens heb ik Hijack This gebruikt om het te verhelpen, ook hier kan ik netjes wat zaken weghalen en werkt het weer normaal, maar weer na de reboot komt die zoekpagina weer terug als startpagina. Het logfile ziet er als volgt uit:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
| Logfile of HijackThis v1.97.7
Scan saved at 15:56:45, on 27-1-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
E:\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ieeijw.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ieeijw.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ieeijw.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ieeijw.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ieeijw.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ieeijw.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ieeijw.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ieeijw.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://ieeijw.t.muxa.cc/h.php?aid=420 (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O1 - Hosts: 205.177.124.66 auto.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MyCom (HKCU)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/sikes/nl/win/QuickTimeInstaller.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM) |
Ik heb van bovenstaande de regels 32 t/m 40 en ook regel 42 verwijderd. Deze horen er sowieso niet thuis lijken me.
Het ip-adres in regel 42 is degene van de zoekpagina die steeds verschijnt.
Ook heb ik nog gekeken of er een "fout" svchost bestand aanwezig was. Er bleek een svchost te staan in de map I386 en volgens de KB van Windows hoort er slechts één te staan in de map System32. Dus ik heb die in de map I386 verwijderd.
Wat vergeet ik nog om dit probleem te kunnen verhelpen?
Verder info:
- Pentium IV 2,4 GHz
- Windows XP Home Edition
- SP1
- Updates zijn allemaal gedaan
Alvast hartelijk bedankt.
Jeroen
/u/21638/crop626ad1243c0f9_cropped.png?f=community)
:strip_exif()/u/91459/ailove.gif?f=community)
) klooien in je registry is inderdaad niet geheel zonder risico. Dus TS, probeer eerst de bovenstaande tips.