[spyware] Krijg balk "MySearchNow" niet weg* - Privacy en beveiliging

woensdag 3 maart 2004 11:57

Acties:

Topicstarter

Een goede dag medetweakertjes!

Ik zit vandaag weer met zo een stomme toolbar (inmiddels weg) en Mysearchnow die elke keer mn starpage veranderd en me gek spammed met pop-up e.d.

Naar mijn idee heb ik alles al geprobeerd.. Add-Aware -> Spy-Bot

Dit is mijn hijacthis log:

code:

Logfile of HijackThis v1.97.7
Scan saved at 11:53:13, on 3-3-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\EPOAgent\naimas32.exe
C:\WINDOWS\Explorer.EXE
C:\EPOAgent\naimag32.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\PROGRA~1\WINROA~1\fast book.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\Downloaded Program Files\in_wrapper.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Documents and Settings\dennis.van.de.logt\My Documents\HijacThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NaimAgent_UI] C:\EPOAgent\naimag32.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [live dale] C:\PROGRA~1\WINROA~1\fast book.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Research (HKLM)
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {58304D2C-DB55-4463-97CC-AFD9DE752205} (IN_DB Control) - http://infra.interaccess.nl/esm/INFRA_CONTROLS.CAB
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38034.1039930556
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EBF0E6DC-7CDA-4FE4-A10E-2EDB53BEAC97} (wrapperClass Object) - http://infra.interaccess.nl/esm/in_wrapper.CAB

Daar is naar mijn idee ook niets geks in te vinden.. ik heb in de registry bij run alle rare startups weggehaald en in software gekeken want vroeger kon je mysearchnow nog via uninstall weggooien.

http://lop.com/new_uninstall.exe deze "officiele"uninstall werkt ook niet.

En elke keer komt die #$%@#$%#% startpage maar weer terug op my searchnow.

Iemand van jullie nog suggesties?

woensdag 3 maart 2004 11:59

Acties:

Han

Spyware: -> Beveiliging & Virussen

Doubt thou the stars are fire; Doubt that the sun doth move; Doubt truth to be a liar; But never doubt I love.

woensdag 3 maart 2004 11:59

Acties:

job

R1 lijkt me niet zoals het hoort.
Kan je die niet verwijderen??

wat betreft dat search ding dan.

proxy instellig mag wel blijven staan.

[ Voor 39% gewijzigd door job op 03-03-2004 12:00 ]

woensdag 3 maart 2004 12:09

Acties:

D3NN1S

Topicstarter

Merely schreef op 03 maart 2004 @ 11:59:
Spyware: -> Beveiliging & Virussen

Je hebt helemaal gelijk sorry

[ Voor 3% gewijzigd door D3NN1S op 03-03-2004 12:09 ]

woensdag 3 maart 2004 12:18

Acties:

D3NN1S

Topicstarter

damster schreef op 03 maart 2004 @ 11:59:
R1 lijkt me niet zoals het hoort.
Kan je die niet verwijderen??

wat betreft dat search ding dan.
proxy instellig mag wel blijven staan.

Tsjaa.. dat verwijst naar M$ MS

komt omdat het een standaard installed pc is.. dat verander ik nog wel es naar google

maar dat heeft hier even niets mee te maken.. nog meer suggesties?

Microsoft korten we af als MS

[ Voor 9% gewijzigd door elevator op 03-03-2004 12:54 ]

woensdag 3 maart 2004 12:56

Acties:

elevator

Officieel moto fan :)

Topic even iets onstschreeuwd (was: Mysearchnow

GRMMBLL)

woensdag 3 maart 2004 13:10

Acties:

D3NN1S

Topicstarter

het lijkt wel of ik niets goed doe vandaag

mon excusee...

woensdag 3 maart 2004 20:05

Acties:

pretorian_nl

zelfde irritante ding hier, ben nu op zoek naar oplossing. Post em zodra ik em heb.

Digital Media Junkie

woensdag 3 maart 2004 20:09

Acties:

Mike Jarod

Troep:

code:

1	O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"

= Trojan, bron

code:

1	O4 - HKLM\..\Run: [NaimAgent_UI] C:\EPOAgent\naimag32.exe

[google=NaimAgent_UI] geeft W32.Titog.L.Worm, maar met andere register entries. Kortom deze vertrouw ik niet.

code:

1	O4 - HKLM\..\Run: [live dale] C:\PROGRA~1\WINROA~1\fast book.exe

Hierover vind ik niks bij google, vertrouw ik dus ook niet.

Volgens mij was dat het

[ Voor 124% gewijzigd door Mike Jarod op 03-03-2004 20:18 ]

vrijdag 5 maart 2004 17:26

Acties:

Verwijderd

Iemand al een oplossing gevonden? Kheb dat ding ook sinds gister (zussies...) en spybot en ad-aware helpen niet

zondag 7 maart 2004 15:22

Acties:

Verwijderd

Ik had hem een tijdje geleden ook gehad, maar weet niet precies meer hoe ik hem eraf heb gekregen, was wel veel werk iig

Ik dacht in het register zoeken op naam, en dan alles weggooien wat er mee te maken had.

zondag 7 maart 2004 15:29

Acties:

Verwijderd

Verwijderd schreef op 05 maart 2004 @ 17:26:
Iemand al een oplossing gevonden? Kheb dat ding ook sinds gister (zussies...) en spybot en ad-aware helpen niet

Lees de draad eens door, kijk waarmee de TS het(indirect)heeft opgelost.
Trek je conclusies.
Post je log.

maandag 8 maart 2004 08:05

Acties:

D3NN1S

Topicstarter

Mike Jarod schreef op 03 maart 2004 @ 20:09:
Troep:
code:
1
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
= Trojan, bron
code:
1
O4 - HKLM\..\Run: [NaimAgent_UI] C:\EPOAgent\naimag32.exe
[google=NaimAgent_UI] geeft W32.Titog.L.Worm, maar met andere register entries. Kortom deze vertrouw ik niet.
code:
1
O4 - HKLM\..\Run: [live dale] C:\PROGRA~1\WINROA~1\fast book.exe
Hierover vind ik niks bij google, vertrouw ik dus ook niet.

Volgens mij was dat het

Nou dat auto update verhaal is waarschijnlijk al verwijderd door mn virusscanner
want dat .exe bestandje staat niet eens op mn schijf..
Dat naimag32.exe heeft iets te maken met de virusscanner en moet dus blijve nstaan.
en die laatste? tsjaa weet ook niet waar het mee te maken heeft maar het is in elk geval virus/trojan vrij.

Uiteindelijk heb ik even gekeken hoe die toolbar heette in ie. daar heb ik alle registry keys van verwijderd.

Toen met Hijack This alle vage keys en settings nogmaals verwijderd.
Toen mn startpage veranderd in IE
Daarna msn-plus verwijderd waardoor die mysearch bende er waarschijnlijk op is gekomen (ja ik weet het je kan hem ook zonder al die sjit installeren

maar heb gewoon te snel op next-next->finish gedrukt

)
Daarna gereboot en alles was weer goed.
Ik heb gemerkt dat zodra je tussentijds je browser opstart dat alles net zo hard weer terugkomt.
Dus ga niet tussentijds browsen want dan kan je weer van voor af aan beginnen.

In elk geval thnx voor alle tips en suc6 allemaal

maandag 8 maart 2004 14:53

Acties:

Row

Het kan makkelijker

stap1. sluit alle webpagina's
stap2. run ad aware
stap3. verwijder msn plus
stap4. verander startpagina
stap5. je bent klaar

maandag 8 maart 2004 15:19

Acties:

Verwijderd

Die balk MySearch komt inderdaad uit MSN Plus.

Gooi onder Configuratiescherm --> Software alles eruit wat er niet inhoort, draai Ad-Aware, gooi je MSN Plus eraf, met de nieuwe versies kan je geloof ik kiezen of je de extra zooi (spyware) wilt installeren, niet doen dus

woensdag 10 maart 2004 11:03

Acties:

chromeeh

the Gnome

Ff msn plus de-installen, spyware weg gooien, msn plus installeren zonder de 'sponsor'

"Some day, I hope to find the nuggets on a chicken."

donderdag 11 maart 2004 09:31

Acties:

Verwijderd

chromeeh schreef op 10 maart 2004 @ 11:03:
Ff msn plus de-installen, spyware weg gooien, msn plus installeren zonder de 'sponsor'

Jaja zonder sponsor, ik heb hiero msn plus 254 en daar krijg je die rommel ook mee. Zou niet weten waar je die rommel kan afvinken?

Het enigste wat je kan afvinken is of je msn als homepage ingesteld wil hebben. (wat ik dan uiteraard nie doe)

Kan iemand ff vertellen hoe je msn plus installed (bovengenoemde versie) zonder mysearchbar + een hele zooi vervelende casino icoontjes op je desktop?

Thnx

donderdag 11 maart 2004 10:13

Acties:

chromeeh

the Gnome

Verwijderd schreef op 11 maart 2004 @ 09:31:
[...]

Jaja zonder sponsor, ik heb hiero msn plus 254 en daar krijg je die rommel ook mee. Zou niet weten waar je die rommel kan afvinken? Het enigste wat je kan afvinken is of je msn als homepage ingesteld wil hebben. (wat ik dan uiteraard nie doe)

Kan iemand ff vertellen hoe je msn plus installed (bovengenoemde versie) zonder mysearchbar + een hele zooi vervelende casino icoontjes op je desktop?

Thnx

Je kunt dat kiezen tijdens de license agreement

Er staat:
"Ja, ik ga akoord installeer de sponsor" of
"Nee, ik ga NIET akoord, installeer GEEN sponsor"

"Some day, I hope to find the nuggets on a chicken."

donderdag 11 maart 2004 10:59

Acties:

Verwijderd

Ow daar haha Thnx!

Maja je denkt altijd dat als je niet op akoord klikt de installatie word afgebroken. Dus dat is hier niet het geval. iig bedankt! Eindelijk zonder die zooi installen

donderdag 11 maart 2004 15:34

Acties:

chromeeh

the Gnome

De meeste mensen denken dat, vandaar dat dit een erg smerig truukje is om zodoende reclame troep op je pc te gooien.....

"Some day, I hope to find the nuggets on a chicken."

maandag 15 maart 2004 12:11

Acties:

Verwijderd

is het een startup file ?

Anders ff jvl powertools registrycleaner kijken bij de startupfiles en daar wegflikkeren en ff je registry cleanen meteen. Kan je ook installed software bekijken enzo.....is ooit een leuke uitbreiding op je standaard windows instellingen.

maandag 15 maart 2004 16:58

Acties:

Verwijderd

@Row

Het kan NOG makkelijker

stap1. sluit alle webpagina's
stap2. verwijder msn plus ( dan ben je al een groot deel spyware kwijt )
stap3. run ad aware
stap4. verander startpagina
stap5. je bent klaar

donderdag 18 maart 2004 21:12

Acties:

BonzO

Bij mij werkte de officiële uninstaller wel, je moet alleen eerst alle processen afsluiten die je kunt afsluiten (of in veilige modus opstarten), en dan de uninstaller starten, en dan is ie weg

maandag 17 mei 2004 17:56

Acties:

Verwijderd

Verwijderd schreef op 15 maart 2004 @ 16:58:
@Row

Het kan NOG makkelijker

stap1. sluit alle webpagina's
stap2. verwijder msn plus ( dan ben je al een groot deel spyware kwijt )
stap3. run ad aware
stap4. verander startpagina
stap5. je bent klaar

Sorry voor de gigantische schop, maar sinds ik terug ben van vakantie heb ik hier ook last van (zusjes...). De oplossing in de quote werkt echter niet, en de oplossing van Row ook niet!
Kan iemand mij misschien een andere manier uitleggen? Ik heb geen verstand van registers etc.

maandag 17 mei 2004 19:24

Acties:

BonzO

Damn, hoezo weet niemand nog de oplossing voor dit:

Stap 1:
Download de uninstaller downloaden van www.lop.com ---> http://lop.com/new_uninstall.exe.

Stap 2:
Als je dit gedaan hebt moet je de computer in de veilige modus opstarten OF met Alt + Ctrl + Del alles afsluiten wat je kan afsluiten.

Stap 3:
En dan moet je de uninstaller draaien en weg is die rotzooi.

Deze mysearchbar komt met MSN Plus! mee je moet dus opletten tijdens het installeren van MSN Plus! en de voorwaarden niet accepteren.

Pagina: 1

Reageer