Na hardnekkige startpagina vraag over Hijack log - Privacy en beveiliging

woensdag 25 februari 2004 23:32

Acties:

abasios

Topicstarter

Ik had een erg hardnekkige startpagina op de computer van mijn vader (WinMe) Het probleem heb ik inmiddels opgelost, maar ik ben een beetje bang dat het terug komt en daarom wil ik graag info over de onderstaande Hijacklog.

Voor de volledigheid: dit heb ik eerst gedaan:
Spywareblaster was reeds geinstalleerd
msconfig ziet er goed uit
Spybot - niets
Ad-aware - niets
Spy-sweeper - van alles gevonden en opgeruimd, maar startpagina bleef.
faq gevolgd [rml][ Howto] Spyware scannen en opruimen[/rml]
hijackthis - veel verwijdert - startpagina komt telkens weer terug (zelf zonder dat de pc opnieuwe gestart hoeft te worden).
Startpagina komt niet voor in het verhaal van ( http://www.spywareinfo.com/articles/cws/ ) en CWShredder lost dus ook niet op.
Volgende topic gaf regmon als tip ( Spam in explorer krijg ik NIET weg )

Na veel combinatie en herhaaldelijk uitvoeren van dit alles hierboven was de startpagina plotseling verdwenen - dus een echt bevredigde oplossing was het niet en daarom wil ik wat duidelijkheid over de volgende log.

code:

Logfile of HijackThis v1.97.7
Scan saved at 23:13:48, on 25-2-04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\R_SERVER.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
C:\PROGRAM FILES\SYGATE\SHN\SYGATE.EXE
D:\INSTALLATIES\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer 
= proxy.arnhem.chello.nl:8080
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
 C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAM FILES\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [SyGateManager] C:\PROGRAM FILES\SYGATE\SHN\Sygate.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [r_server] C:\WINDOWS\SYSTEM\R_SERVER.EXE /service
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - 
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - 
http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37943.3918287037
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = ns
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.1.1

Ik heb zelf mijn twijfels over de items bij regels 21/22, 36 ,37/38.

[ Voor 4% gewijzigd door Tim Schuhmacher op 25-02-2004 23:34 ]

woensdag 25 februari 2004 23:47

Acties:

Verwijderd

Regel 36 moet idd weg: TrojanDownloader.Win32.Small.aa
Volgens mij is de rest ok, tenminste, als je die remote admin tool zelf erop hebt gezet.(R_SERVER.EXE)

Als je dit wilt voorkomen, raad ik je eigenlijk een andere browser aan.
Zelfs op max security settings is het nog redelijk makkelijk om met IE weer met zulke dingen besmet te raken.

donderdag 26 februari 2004 14:29

Acties:

Tim Schuhmacher

abasios

Topicstarter

Okay bedankt.
Andere browser kan ik mn vader niet aandoen - en die remote admin is idd door mij geinstalleerd