startpagina verandert steeds - Privacy en beveiliging

maandag 8 maart 2004 14:49

Acties:

Verwijderd

Topicstarter

Ik weet dat hier al meedere topics over gaan.
Ik heb alle oplossingen die daar genoemd zijn geprobeerd, maar niks werkt om te zorgen dat m'n IE startpagina niet telkens verandert in:
http://hot-searches.com/index.php?v=6&aff=2473898

Er zit ook niet echt een regelmaat in, ik las bij mensen dat het elke keer gebeurt met opnieuw opstarten, bij mij is dat niet zo, soms ben ik aan 't internetten en start ik een nieuw window en ineens is m'n startpagina weer hot-search.

Ik heb het al in m'n register verwijderd, ik heb al 2 virusscanners (met laatste updates) , ad-aware en spybot (met laatste updates) laten scannen.
M'n msconfig opstartmenu is helemaal leeg.
En ik heb ook nog verschillende kleine programma's die special bedoeld zijn voor dit probleem geprobeerd.

Iemand nog enig idee?

maandag 8 maart 2004 14:50

Acties:

Verwijderd

CWSchredder al geprobeerd?
Als dat niet werkt, post dan je HijackThis log eens hier. Tussen [code] tags aub.

maandag 8 maart 2004 14:51

Acties:

Swindle

Heb je hijackthis geprobeerd?

maandag 8 maart 2004 14:54

Acties:

momania

iPhone 30! Bam!

Move!!11

Windows Operated Systems >> Beveiliging & Virussen

Neem je whisky mee, is het te weinig... *zucht*

maandag 8 maart 2004 14:55

Acties:

The_Haunted

Kijk hier voor een handleiding:

http://www.pchell.com/support/lookfor.shtml

maandag 8 maart 2004 15:30

Acties:

Verwijderd

Topicstarter

Bedankt voor de reacties.

Ik heb Hijackthis geprobeerd en die vond inderdaad wat, ik heb 't verwijderd en nu moet nog ff blijken of het werkt.

maandag 8 maart 2004 17:00

Acties:

WimB

Hier stond onzin

[ Voor 91% gewijzigd door WimB op 08-03-2004 17:00 ]

dinsdag 9 maart 2004 15:24

Acties:

Verwijderd

Topicstarter

Ik dacht dat het was opgelost, maar dat is helaas toch niet zo.

Dit is m'n hijackthis log:

code:

Logfile of HijackThis v1.97.7
Scan saved at 15:20:23, on 9-3-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\avaprxyj.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\Norman\Nvc\BIN\Zanda.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\Documents and Settings\Cliffred van Velzen\Bureaublad\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://hot-searches.com/search.php?v=6&aff=2473898
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://hot-searches.com/index.php?v=6&aff=2473898
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://hot-searches.com/index.php?v=6&aff=2473898
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Program Files\Panicware\Pop-Up Stopper Pro\CCHelper.dll
O3 - Toolbar: Pa&nicware Pop-Up Stopper Pro - {B1E741E7-1E77-40D4-9FD8-51949B9CCBD0} - C:\Program Files\Panicware\Pop-Up Stopper Pro\popuppro.dll
O4 - HKLM\..\Run: [avaprxyj] C:\WINDOWS\System32\avaprxyj.exe
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab

dinsdag 9 maart 2004 15:27

Acties:

Verwijderd

O4 - HKLM\..\Run: [avaprxyj] C:\WINDOWS\System32\avaprxyj.exe

0 hits @ google.
Enig idee wat het is? Zo nee, sturen aub.

Zie sig voor mail.

dinsdag 9 maart 2004 15:38

Acties:

Verwijderd

Topicstarter

Ik heb hier een link gezet naar dat bestandje (avaprxyj.exe) :

http://members.chello.nl/~cvelzen1/avaprxyj.zip

dinsdag 9 maart 2004 15:44

Acties:

chromeeh

the Gnome

Heb je standaard spyware removal tools als Ad-Ware, Spybot Search&Destroy en PestPatrol en geprobeerd? (Uiteraard wel ff updaten

).

"Some day, I hope to find the nuggets on a chicken."

dinsdag 9 maart 2004 15:53

Acties:

Verwijderd

code:

1 2	avaprxyj.zip Archive ZIP <ce0000.0.11> avaprxyj.zip/avaprxyj.exe Infected Trojan.Win32.Revop.c <cd0000.0.e>

Dit zal hem wel zijn.

woensdag 10 maart 2004 13:38

Acties:

Verwijderd

Topicstarter

Ik heb avaprxyj.exe verwijderd, maar m'n startpagina is toch weer veranderd.

woensdag 10 maart 2004 14:00

Acties:

Verwijderd

Post eventueel nogmaals een HT log om te zien of daar weer wat instaat.
Maar waarschijnlijk is scannen met een AV die wel goed is tegen backdoors/trojans nuttiger.

woensdag 10 maart 2004 17:03

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 10 maart 2004 @ 14:00:
Post eventueel nogmaals een HT log om te zien of daar weer wat instaat.
Maar waarschijnlijk is scannen met een AV die wel goed is tegen backdoors/trojans nuttiger.

Welk programma is aan te raden?
nieuwe HT log:

code:

Logfile of HijackThis v1.97.7
Scan saved at 16:59:01, on 10-3-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\Norman\Nvc\BIN\Zanda.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\Documents and Settings\Cliffred van Velzen\Bureaublad\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://hot-searches.com/search.php?v=6&aff=2473898
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://hot-searches.com/index.php?v=6&aff=2473898
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.feyenoordnet.nl/
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Program Files\Panicware\Pop-Up Stopper Pro\CCHelper.dll
O3 - Toolbar: Pa&nicware Pop-Up Stopper Pro - {B1E741E7-1E77-40D4-9FD8-51949B9CCBD0} - C:\Program Files\Panicware\Pop-Up Stopper Pro\popuppro.dll
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab

woensdag 10 maart 2004 17:16

Acties:

Verwijderd

code:

1	O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll

Die zóú het ook kunnen zijn..(hoewel ik hem wel eens legit ben tegengekomen iirc)
Stuur/upload die eens.

donderdag 11 maart 2004 15:17

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 10 maart 2004 @ 17:16:
code:
1
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
Die zóú het ook kunnen zijn..(hoewel ik hem wel eens legit ben tegengekomen iirc)
Stuur/upload die eens.

Hier is de link:

http://members.chello.nl/~cvelzen1/twaintec.dll

donderdag 11 maart 2004 19:11

Acties:

Verwijderd

Verwijderd schreef op 11 maart 2004 @ 15:17:
[...]

Hier is de link:

members.chello.nl/~cvelzen1/twaintec.dll

quote: EK
new "Spy.BiSpy".
I'd like to have a look at EXE which drops this DLL...

Maw: nog andere verdachte files tegengekomen?

dinsdag 6 april 2004 13:36

Acties:

Verwijderd

Beste Cliffred,

Heb je het probleem kunnen oplossen?? Mijn brwoser vliegt namelijk ook na het rebooten terug naar http://hot-searches.com/index.php?v=6&aff=2473898...

groetend,
Paul

dinsdag 6 april 2004 13:41

Acties:

OgWok

U.N.C.L.E.

Verwijderd schreef op 06 april 2004 @ 13:36:
Beste Cliffred,

Heb je het probleem kunnen oplossen?? Mijn brwoser vliegt namelijk ook na het rebooten terug naar http://hot-searches.com/index.php?v=6&aff=2473898...

groetend,
Paul

Ga eens naar de site van hot-searches daar kan je een reg bestand neertrekken die hot-searches "deinstalled".

MacPro Core i5 750, Mac Mini, hier en daar een verdwaalde pc.....