[XP] Kan bridge.dll en belt.exe niet verwijderen - Privacy en beveiliging

woensdag 5 mei 2004 13:14

Acties:

Topicstarter

Ik kan bridge.dll en belt.exe niet verwijderen uit mijn register. Volgens mij zijn alle spyware-adaware elementen verwijderd (spybot en adaware). Alleen blijven de registerverwijzingen in het opstartgedeelte terugkeren. Telkens als ik de compu opstart krijg ik de melding dat bridge.dll niet kan worden gevonden. Dit klopt want dit bestand bestaat niet meer. Ik heb geprobeerd in de veilige modus te scannen en te verwijderen, heb geprobeerd de verwijzing via msconfig uit te schakelen, telkens worden de regels weer toegevoegd.

Tips? Graag...

Logfile of HijackThis v1.97.7
Scan saved at 13:13:27, on 5-5-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norman\Nvc\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Program Files\Raxco\PerfectDisk\PDSched.exe
C:\PROGRAM FILES\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\PROGRAM FILES\NORMAN\Nvc\BIN\nvcoas.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRAM FILES\NORMAN\Nvc\BIN\ZLH.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\PROGRAM FILES\NORMAN\Nvc\BIN\nipsvc.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\PROGRAM FILES\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\PROGRAM FILES\NORMAN\Nvc\BIN\NYMSE.EXE
C:\PROGRAM FILES\NORMAN\Nvc\BIN\NIP.EXE
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\PROGRAM FILES\NORMAN\Nvc\BIN\cclaw.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Programma\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.home.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O1 - Hosts: 207.68.172.246 msn.com
O1 - Hosts: 207.68.172.246 msn.com
O1 - Hosts: 207.68.172.246 msn.com
O1 - Hosts: 207.68.172.246 msn.com
O2 - BHO: (no name) - -{53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Norman ZANDA] C:\PROGRAM FILES\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ad-watch] "C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: Microsoft Outlook.lnk = C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Toevoegen aan Mobiele favorieten (HKLM)
O9 - Extra 'Tools' menuitem: Toevoegen aan Mobiele favorieten... (HKLM)
O9 - Extra button: Onderzoek (HKLM)
O9 - Extra button: Real.com (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedi...wave/cabs/director/sw.cab
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/...com/housecall/xscan53.cab
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www.ibm.com/pc/su...mon/download/IbmEgath.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m...uctl.CAB?38021.4260763889
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab

woensdag 5 mei 2004 13:17

Acties:

KillerAce_NL

If it ain't broke...

start->uitvoeren->regedit->zoeken kijk eens of je bridge.dll kunt vinden in register.

O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load

[ Voor 41% gewijzigd door KillerAce_NL op 05-05-2004 13:18 ]

woensdag 5 mei 2004 13:21

Acties:

Dyco

Topicstarter

Ja, staat er in. Als ik deze verwijder, dan staat de regel er binnen de kortste keren weer in.

woensdag 5 mei 2004 13:24

Acties:

bibroni

Kijk ook eens bij de mogelijkheid om software te de-installeren daar wil het ook nog wel eens blijven hangen. Verder gebruik ik ook altijd CwShredder om dit soort troep definitief de das om te doen

There's no point in being grown up if you can't be childish sometimes.

woensdag 5 mei 2004 13:26

Acties:

PipoDeClown

Izze Zimpell

explorer afsluiten
regsvr32 /u bridge.dll
del bridge.dll

God weet alles, want hij is lid van de Mosad. To protect your freedom i will take that away from you. Mijn drankgebruik heeft ernstig te lijden onder mijn gezondheid.

woensdag 5 mei 2004 13:28

Acties:

KillerAce_NL

If it ain't broke...

Belt.exe is een trojan downloader, je bent dus nog niet clean.
En natuurlijk de sytemrestore uitschakelen, anders krijg je em steeds terg.

[ Voor 39% gewijzigd door KillerAce_NL op 05-05-2004 13:29 ]

woensdag 5 mei 2004 13:28

Acties:

elevator

Officieel moto fan :)

Vragen over spyware e.d. horen ook thuis in Beveiliging & Virussen - ik ga je topic dan ook verplaatsen.

Overigens is deze vraag al een aantal keer voorbijgekomen - heb je al eens in de search gekeken?

Windows Operating Systems >> Beveiliging & Virussen

woensdag 5 mei 2004 13:28

Acties:

Kang

Holy Fleurking schnit!

Check anders even op .js en .vb bestanden, die zorgen vaak weer voor een terugkerend registersleuteltje...

woensdag 5 mei 2004 13:30

Acties:

wildhagen

Blablabla

Deze kunnen weg:

code:

O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load
O2 - BHO: (no name) - -{53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - (no file)

Belt.exe = adware.

Als je ze in Safe Mode weggooit, helpt dat ook niet?

[ Voor 10% gewijzigd door wildhagen op 05-05-2004 13:35 ]

Virussen? Scan ze hier!

woensdag 5 mei 2004 14:05

Acties:

Dyco

Topicstarter

OK, dank voor alle reactie! Maar niets heeft echter geholpen tot nu toe.

Ik zal even toelichten: regsvr32 /u bridge.dll geeft aan dat de opgegeven module niet kan worden gevonden, systeemherstel staat uit.

Ik heb een heleboel .js bestanden, geen .vb bestanden, maar weet niet welke ik zou moeten wegdoen. Is het veilig ze alemaal weg te gooien?

Met Hijack heb ik de bovengenoemde sleutels verwijderd. De noname-nofile sleutels blijven weg, belt en bridge komen terug. Ook als ik de sleutels verwijder via de registereditor zijn ze terug als ik de editor opnieuw opstart. In de veilige modus blijven de registervermeldingen weg is mij gebleken. In de normale modus zijn ze echter weer terug. Wat zorgt er voor dat deze registervermeldingen telkens terug komt?

woensdag 5 mei 2004 14:08

Acties:

DeMoN

Pastafari

Spit ook ff je win.ini en je system.ini door op load, run keys en op de shell regel.
Kijk of je wat verdachts ziet.

Heb je ook in je register gezocht op bridge.dll?

EDIT:

Die .js files NIET weggooien.
Er kan natuurlijk een filetje tussenzitten wat je wel zou moeten trashen maar de meeste zijn van Windows /andere progs zelf! Pas dus op

[ Voor 36% gewijzigd door DeMoN op 05-05-2004 14:10 ]

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

woensdag 5 mei 2004 14:24

Acties:

DeMoN

Pastafari

Dyco schreef op 05 mei 2004 @ 14:21:
Win.ini en system.ini levert geen verdachte zaken op. Als ik het hele register nazoek op bridge.dll dan vind ik natuurlijk een vermelding in de map HKLM\..\Run maar ook in een map Run- (samen zitten ze in Current version). Lijkt me verdacht niet? De waarde is hetzelfde als in Run

Gewoon allebei lozen.

Had je de vorige keer alleen die ene in de "run" map getrashed? Waarna ze weer terug kwamen...

Gooi ze iig allebei weg

Dyco schreef op 05 mei 2004 @ 14:24:
Nu ja,

ook het verwijderen van deze map maakt niet dat ik de vermeldingen definitief kan verwijderen... Zucht.

Laat die run mappen maar staan

Gooi alleen de regkeys zelf weg.

[ Voor 23% gewijzigd door DeMoN op 05-05-2004 14:24 ]

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

woensdag 5 mei 2004 14:26

Acties:

Dyco

Topicstarter

De berichten hebben elkaar gekruist. Ik heb de hele map Run- verwijderd. Er stond maar één vermelding in. De vermeldingen in Run blijven terugkomen.

woensdag 5 mei 2004 14:36

Acties:

DeMoN

Pastafari

Dyco schreef op 05 mei 2004 @ 14:26:
De berichten hebben elkaar gekruist. Ik heb de hele map Run- verwijderd. Er stond maar één vermelding in. De vermeldingen in Run blijven terugkomen.

Check ook ff HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

Voor runkeys. Misschien dat daar nog wat staat.

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

woensdag 5 mei 2004 14:53

Acties:

Dyco

Topicstarter

Hallo,

ik weet niet wat runkeys zijn, maar zoeken op 'runkey' leverde niets op. Nog meer suggesties?

woensdag 5 mei 2004 15:03

Acties:

DeMoN

Pastafari

Dyco schreef op 05 mei 2004 @ 14:53:
Hallo,

ik weet niet wat runkeys zijn, maar zoeken op 'runkey' leverde niets op. Nog meer suggesties?

Dat woord gebruikte ik gewoon om het duidelijk te maken

Runkeys bedoel ik dus de waardes die in de run mappen van je register staan en de run mappen zelf enzo...

Maar je moet opletten dat je Run mappen in je
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
hebt en in je
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

donderdag 6 mei 2004 20:43

Acties:

Dyco

Topicstarter

OK, niets wat een oplossing dichterbij brengt. Is er geen monitor-programma of log waarin ik kan bekijken welk proces verantwoordelijk is voor de verandering in mijn register?

vrijdag 7 mei 2004 07:56

Acties:

Dyco

Topicstarter

Het schaamrood staat op mijn kaken. Ik heb de schuldige gevonden. Het programma Ad-watch (onderdeel van Adaware) wat draait op de achtergrond zorgt voor blokkering van wijzigingen van het opstartmenu in het register. Wel veilig maar in dit geval errug lastig.

Dank voor alle inzet van jullie in deze topic.

vrijdag 7 mei 2004 10:52

Acties:

DeMoN

Pastafari

Haha grappig

Ik ben gister zelf trouwens een PC tegengekomen met die bridge.dll ... echt HEEL toevallig

Volgens mij is het best nieuwe spyware. Het is er iig af

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein