[malware] Peak Copy Data* - Privacy en beveiliging

donderdag 24 juni 2004 22:13

Acties:

Verwijderd

Topicstarter

Ik weet niet of ik hier bij het goeie forum ben (kon zo gauw geen betere vinden) maar sinds kort heb ik ongevraagd een of andere search bar in mijn Internet Explorer staan, genaamd Peak Copy Data. Ik ben in het register op zoek geweest naar deze kreet en heb deze overal weggehaald, o.a. in balm.bookexit. Dit heeft tot gevolg gehad dat de bar er nog wel staat maar in Beeld>werkbalken staat nu een naamloze bar... Kan iemand mij helpen hoe ik dit kan verwijderen? Als ik IE opstart kom ik gewoon in mijn startpagina (www.rabobank.nl) maar in mijn lijst met geopende Internet Explorer venster staat: http://mysearchnow.com/passthrough/popupbaropener.html
Wie helpt?

donderdag 24 juni 2004 22:49

Acties:

eghie

Spoken words!

Zoek eens op naar Spybot en Adaware, hiermee kun je zulk soort ongein (spyware) verwijderen. Er is ook een FAQ gemaakt daarvoor en die staat in Beveiliging & Virussen, waar dit topic in hoort te staan.

Dit topic heeft trouwens verder niet veel te maken met Netwerken. En ik denk dat dit topic word gesloten ivm de vraag die je stelt al erg vaak is gesteld (alleen voor andere software) en dat je verder nog niet erg hebt gezocht op dit probleem (altans zo komt het over).

[ Voor 9% gewijzigd door eghie op 24-06-2004 22:51 ]

vrijdag 25 juni 2004 08:41

Acties:

Koffie

Koffiebierbrouwer

Braaimeneer

Move NT > BV

Tijd voor een nieuwe sig..

vrijdag 25 juni 2004 14:01

Acties:

Verwijderd

Topicstarter

Hartelijk dank voor uw reacties. Mijn excuses voor het posten in het verkeerde forum. Ik heb zowel ad-aware als spybot gedraaid en nu is het goed, alleen de werkbalk staat nog wel bij beeld>werkbalken.
Euh, Eghie, ik had inderdaad wat verder moeten zoeken...

vrijdag 25 juni 2004 14:17

Acties:

it0

Mijn mening is een feit.

In de faq die erg goed is voor dit soort zaken, staat o.a. een verwijzing naar hijackthis daarmee zie je snel wat er aan rotzooi is geinstaleerd en makkelijk om te verwijderen.

vrijdag 25 juni 2004 17:03

Acties:

Verwijderd

Topicstarter

it0 schreef op 25 juni 2004 @ 14:17:
In de faq die erg goed is voor dit soort zaken, staat o.a. een verwijzing naar hijackthis daarmee zie je snel wat er aan rotzooi is geinstaleerd en makkelijk om te verwijderen.

Doe ik ook nog, bedankt!

zaterdag 26 juni 2004 10:43

Acties:

Verwijderd

Topicstarter

Toch lukt het me niet... De werkbalk heb ik wel weggekregen, maar Hijackthis geeft het volgende:
RO - HCKU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearchnow.com/pa...ank.nl/info/execute/start?
Ik verwijder dit met Hijackthis of handmatig in het register, maar iedere keer als ik de PC opnieuw opstart, komt het terug, om wanhopig van te worden.....

zaterdag 26 juni 2004 11:58

Acties:

elevator

Officieel moto fan :)

Post eventjes je HiJackThis logfile en markeer zelf even wat jij verdacht vindt met een sterretje

zaterdag 26 juni 2004 16:31

Acties:

Verwijderd

Topicstarter

Zoals gevraagd is hier de logfile van HijackThis, waarvan de verdachte regels zijn gemarkeerd met een *

Logfile of HijackThis v1.97.7
Scan saved at 16:18:38, on 26-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Common Files\Acronis\Schedule\schedule.exe
C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\sistray.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\SMSC\Seticon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\PROGRA~1\stupidacid\HelpStop.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
D:\frank\Downloads\HijackThis.exe

*R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearchnow.com/pa...x.html?http://about:blank
*O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
*O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Acronis Schedule] "C:\Program Files\Common Files\Acronis\Schedule\schedule.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SetIcon] C:\Program Files\SMSC\Seticon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
*O4 - HKLM\..\Run: [Mix Fast] C:\PROGRA~1\stupidacid\HelpStop.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Free WebSite Tools.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macrome...wave/cabs/director/sw.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.napster.com/client/setup.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.c...1a120/netzip/RdxIE601.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab

Ik hoop dat je mij helpen kunt

zaterdag 26 juni 2004 16:38

Acties:

wildhagen

Blablabla

Die twee O2's die jij als verdacht gemarkeerd hebt zijn OK. De ene is van Adobe Acrobat Reader, de andere van Spybot.

Die O4 die jij gemarkeerd hebt (HelpStop.exe) is idd vaag, Google levert niet één hit op. Als je de applicatie niet kent zou ik hem verwijderen.

Verder kan deze entry nog weg:

code:

1	O4 - Global Startup: Free WebSite Tools.lnk = ?

Ik zie verder geen verdachte zaken...

Virussen? Scan ze hier!

zondag 27 juni 2004 12:44

Acties:

Verwijderd

Topicstarter

wildhagen schreef op 26 juni 2004 @ 16:38:
Die O4 die jij gemarkeerd hebt (HelpStop.exe) is idd vaag, Google levert niet één hit op. Als je de applicatie niet kent zou ik hem verwijderen.

Die HelpStop.exe heb ik verwijderd, het lijkt nu goed te zijn. Misschien dat anderen hun voordeel hiermee kunnen doen.

Hartelijk dank voor de hulp en de moeite die jullie hebben gedaan!

zondag 27 juni 2004 13:27

Acties:

eghie

Spoken words!

Hier staan trouwens 2 regels die jij niet vertrouwd (vanwege dat sterretje ervoor), maar die zou ik maar niet verwijderen.

code:

1
2

*O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
*O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

Namelijk de 1e regel is de IE plugin van Acrobat Reader. Hiermee kun je PDF bestanden lezen rechtstreeks in IE. En de 2e regel is de dll van SpyBot, die juist Spyware verwijderd. Als je die verwijderd dan werkt SpyBot niet meer, dus ik zou ze beide niet verwijderen.

zondag 27 juni 2004 22:26

Acties:

Verwijderd

Topicstarter

eghie schreef op 27 juni 2004 @ 13:27:
Hier staan trouwens 2 regels die jij niet vertrouwd (vanwege dat sterretje ervoor), maar die zou ik maar niet verwijderen.

Leek mij achteraf ook verstandiger.... Trouwens wildhagen wees mij daar ook al op, maar toch bedankt voor de waarschuwing.

dinsdag 29 juni 2004 07:52

Acties:

Verwijderd

Topicstarter

Achteraf denk ik dat er al eerder veel meer aan de hand is geweest. Bij het opstarten van Windows XP kreeg ik vaak een mededeling over ICQ en MSN, dat deze al op een andere computer waren gestart of iets dergelijks. Ik dacht in eerste instantie dat dit een foutje was in XP, maar ik krijg die boodschappen nu ook niet meer.