Smartsearch komt hele tijd terug - Privacy en beveiliging

maandag 21 juni 2004 18:05

Acties:

Topicstarter

Ik heb last van het irritante spyware ''programma'' Smartsearch. Elke keer veranderd hij mijn startpagina in smartsearch. Heb al met de search gezocht maar niks werkte ( Adaware draaien - Search and Destroy - CWshredder ) Ik heb geen idee hoe ik hem nu weg krijg ...

Dit is de log van HijackThis ( volgens mij staat er niks bijzonders in )

code:

Logfile of HijackThis v1.97.7
Scan saved at 17:58:59, on 21-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WMPCI54G WLAN Monitor\WLService.exe
C:\Program Files\WMPCI54G WLAN Monitor\WMP54G.exe
C:\WINDOWS\system32\winlogon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Ikkuh\Local Settings\Temporary Internet Files\Content.IE5\WTYFKLUB\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {82202BE7-C56A-487E-9E55-D84BDC1A5776} (AnarkClient Class) - http://install.anark.com/client/version1/windows-ie/en/AMClient.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38152.1313541667
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}

Hoe krijg ik die @!$@%%^#@ spyware van mijn pc

Acer Aspire 8930G | Intel Core 2 Duo T4600 | 4GB DDR3 | GeForce 9600M GT |

maandag 21 juni 2004 18:06

Acties:

Rafe

Spywarezaken mogen in Beveiliging & Virussen.

[ Voor 4% gewijzigd door Rafe op 21-06-2004 18:06 ]

maandag 21 juni 2004 18:07

Acties:

GGS_206

Oranje!

Kijk hier eens: Verwijderd in "Mogelijke Spyware op mijn computer"

En hoezo 'maar niks werkte'

Wat deden ze wel of niet fout?

T.net ID. Bekijk het maar es eem..
‹(◕‿◕)›

maandag 21 juni 2004 18:09

Acties:

Ikkuh84

Topicstarter

GGS_VR6 schreef op 21 juni 2004 @ 18:07:
Kijk hier eens: Verwijderd in "Mogelijke Spyware op mijn computer"

En hoezo 'maar niks werkte'

Wat deden ze wel of niet fout?

elke keer als ik de pc weer opnieuw opstartte was mijn startpagina weer smartsearch.

_{Zag gewoon dit hele forum over het hoofd over beveiliging en virussen}

-edit- Kom er net achter dat elke keer als ik met ADAware en Spybot 2 regs verwijder ze na paar sec weer terug komen. Dus die 2 regs zjin weg en dan is mijn startpagina weer www.msn.nl maar naar 5 sec ofzo is het weer smartsearch

Wordt echt gek

[ Voor 42% gewijzigd door Ikkuh84 op 21-06-2004 18:27 ]

Acer Aspire 8930G | Intel Core 2 Duo T4600 | 4GB DDR3 | GeForce 9600M GT |

woensdag 23 juni 2004 01:09

Acties:

BoGhi

Timocos schreef op 21 juni 2004 @ 18:05:
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}
[/code]
..:(

Deze is iig een symptoom van SmartSearch. Als je met dat ID zoekt met Google vind je best veel info. Je zou in ieder geval es in je register kunnen zoeken met dat nummer, waarschijnlijk wijst ie je wel naar een dll.

Programmers don't die. They GOSUB without RETURN

woensdag 23 juni 2004 01:13

Acties:

blackd

O1 - Hosts: 213.159.117.235 auto.search.msn.com

Als je dat IP natrekt, kom je niet op iets uit wat op MSN zou moeten lijken (microsoft, akamai)
http://www.dnsstuff.com/tools/whois.ch?ip=213.159.117.235
Dit zou het IP moeten zijn:
Edit: Nietes! Alleen voor XS4ALL. Zie CyBeR.

% host auto.search.msn.com
auto.search.msn.com is an alias for auto.search.msn.com.edgesuite.net.
auto.search.msn.com.edgesuite.net is an alias for a134.g.akamai.net.
a134.g.akamai.net has address 194.109.192.15
a134.g.akamai.net has address 194.109.192.30
a134.g.akamai.net has address 194.109.192.16
a134.g.akamai.net has address 194.109.192.39

Die regel mag dus weg.

[ Voor 5% gewijzigd door blackd op 23-06-2004 01:23 ]

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

woensdag 23 juni 2004 01:16

Acties:

CyBeR

💩

blackd schreef op 23 juni 2004 @ 01:13:
[...]

Als je dat IP natrekt, kom je niet op iets uit wat op MSN zou moeten lijken (microsoft, akamai)
http://www.dnsstuff.com/tools/whois.ch?ip=213.159.117.235
Dit zou het IP moeten zijn:

[...]

Die regel mag dus weg.

Jij hebt XS4ALL, zeker?

Die regel mag overigens idd weg, maar dat is niet wat het IP 'zou moeten zijn'

(Akamai heeft namelijk bij praktisch elke grote ISP wat dozen staan zodat 't daadwerkelijk sneller wordt)

All my posts are provided as-is. They come with NO WARRANTY at all.

woensdag 23 juni 2004 01:21

Acties:

blackd

CyBeR schreef op 23 juni 2004 @ 01:16:
Jij hebt XS4ALL, zeker?

Hmm, het is al laat

Idd gerelateerd aan XS4ALL.

Ken jij die IP ranges uit je hoofd of was je zo snel met een whois

Die regel mag overigens idd weg, maar dat is niet wat het IP 'zou moeten zijn'

(Akamai heeft namelijk bij praktisch elke grote ISP wat dozen staan zodat 't daadwerkelijk sneller wordt)

Wist ik niet.
Maar als je gaat zoeken op het bewuste IP op google kom je ook veel aanwijzingen tegen dat het met Smartsearch te maken heeft.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

woensdag 23 juni 2004 01:30

Acties:

CyBeR

💩

blackd schreef op 23 juni 2004 @ 01:21:
[...]

Hmm, het is al laat
Idd gerelateerd aan XS4ALL.

Ken jij die IP ranges uit je hoofd of was je zo snel met een whois

Ik ken een aantal bekende ranges uit m'n hoofd, ja

194.109.0.0/16 == xs4all
195.121.0.0/16 == planet
145.75.0.0/16 == HSHaarlem
17.0.0.0/8 == Apple
etc.

Wist ik niet.
Maar als je gaat zoeken op het bewuste IP op google kom je ook veel aanwijzingen tegen dat het met Smartsearch te maken heeft.

Bij deze dan

Akamai is een web-accelerator service die overal dozen heeft staan zodat downloads e.d. sneller worden voor de eindgebruiker. En als leuke bijkomstigheid nog goedkoper voor de ISP ook (want het verkeer blijft binnen het eigen netwerk).

All my posts are provided as-is. They come with NO WARRANTY at all.

woensdag 23 juni 2004 10:10

Acties:

Ikkuh84

Topicstarter

BoGhi schreef op 23 juni 2004 @ 01:09:
[...]

Deze is iig een symptoom van SmartSearch. Als je met dat ID zoekt met Google vind je best veel info. Je zou in ieder geval es in je register kunnen zoeken met dat nummer, waarschijnlijk wijst ie je wel naar een dll.

Ik heb zitten zoeken op dat nummer en heb idd paar kunnen verwijderen maar ze komen net zo hard weer terug als ik pc opnieuw opstart

Iig bedankt

Acer Aspire 8930G | Intel Core 2 Duo T4600 | 4GB DDR3 | GeForce 9600M GT |

woensdag 23 juni 2004 14:10

Acties:

Verwijderd

Ik zit met hetzelfde probleem, ik heb de verwijzingen in het register al weg gehaald en idd na een 2-3x op refresh druk is ie er weer.

En heb nog niks gevonden om er vanaf te komen

woensdag 23 juni 2004 18:50

Acties:

BoGhi

Het zal ook niet voldoende zijn alleen die registry entry weg te halen. Zo'n hardnekkig stuk adware moet je aanpakken door de stappen die genoemd worden (zie de FAQ, en/of Google) allemaal te doorlopen, en daar tussendoor dus niets anders doen (zeker bijvoorbeeld je IE niet openen).
Probeer ook na het draaien ervan in veilige mode op te starten en de als verdacht aangemerkte bestanden te verwijderen die in je Hijackthis-log stonden (deze van tevoren nog even opnieuw draaien, omdat de namen mogelijk al weer veranderd zijn).
Als je daarmee klaar bent nog een keer HT draaien, en kijken of de rommel weg is. Zo niet, post ze hier dan weer even.

EDIT: waarschijnlijk heb je dllfix.exe ook nodig (misschien doet about:buster het ook: http://www.zerosrealm.com/index.php?page=dllfix)

[ Voor 11% gewijzigd door BoGhi op 23-06-2004 19:16 ]

Programmers don't die. They GOSUB without RETURN