[ad/spy/malware] about:blank en search... pagina - Privacy en beveiliging

woensdag 30 juni 2004 18:27

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ahhhh man, ik heb een vreemd en irritant probleempje de laatste paar dagen.

Elke keer als ik m'n browser opstart komt er een irri "search..." pagina, en staat m'n homeopage ineens op about:blank.

Nu weet ik wat de 1e reacties zijn: spy en adware draaien, en cwschredder.exe.
Maar nu komt het

, dat heb ik dus echt al 100x gedaan, browser vernsters netjes afgesloten zoals gevraagd word door cwschredder.
En bij elke keer: Searcx. -> REMOVED. , maar elke keer blijft het toch terug komen.

Zie ik iets over het hoofd ofzo?

Hijackthis log:

code:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Program Files\Microsoft Firewall Client 2004\FwcAgent.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\ATI Multimedia\RemCtrl\ATIRW.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Microsoft Firewall Client 2004\FwcMgmt.exe
C:\Program Files\SpeedFan\speedfan.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\System32\sdpasvc.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
M:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\NIELSK~1.HEA\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\NIELSK~1.HEA\LOCALS~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tweakers.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\NIELSK~1.HEA\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\NIELSK~1.HEA\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\NIELSK~1.HEA\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\NIELSK~1.HEA\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = DUAL-SERVER:8080
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://tweakers.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [vptray] C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [ATI DeviceDetect] C:\Program Files\ATI Multimedia\\Program Files\ATI Multimedia\main\ATIDtct.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ATI Remote Control] C:\Program Files\ATI Multimedia\RemCtrl\ATIRW.exe
O4 - Startup: SpeedFan.lnk = C:\Program Files\SpeedFan\speedfan.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Firewall Client Management.lnk = C:\Program Files\Microsoft Firewall Client 2004\FwcMgmt.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ATI TV (HKLM)
O9 - Extra button: Research (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20031216/qtinstall.info.apple.com/mickey/us/win/QuickTimeInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = heaven.local
O17 - HKLM\Software\..\Telephony: DomainName = heaven.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = heaven.local

[ Voor 81% gewijzigd door Verwijderd op 30-06-2004 18:49 ]

woensdag 30 juni 2004 19:08

Acties:

0 Henk 'm!

Pendaco

Vogon Poetry FTW!

Hier is de laatste tijd al veel om te doen geweest;

Yngwie- schreef op 24 juni 2004 @ 12:11:
Klopt, dit is een *errug* vervelende CWS variant. Adaware, Spybot en CWShredder krijgen hem (nog) niet verwijderd in ieder geval. Op deze site staan handmatige methodes om het te verwijderden:

http://www.spywareinfo.com/~merijn/

Dit is een linkje van een progje waarmee het mij gelukt is om het van een PC te verwijderen:

http://www.trojaner-info....download.cgi?file=sphjfix
Voor meer info over dat progje klik hier Wel in het Duits.

Ik zie wel net dat dat programmaatje er niet meer opstaat, miss is dat via google nog te vinden.

Zie ook;
http://gathering.tweakers.net/forum/list_messages/928515
http://gathering.tweakers.net/forum/list_messages/927772
http://gathering.tweakers.net/forum/list_messages/917222
[/url][/url][rml][ IEXPLORER] Last van adware - sp.html[/rml]

en hier ook nog een andere oplossing met wel werkende programma;

Mike Jarod schreef op 25 juni 2004 @ 19:43:
Dit is hetzelfde als de post van BoGhi, maar ik kwam daar dankzij dit draadje.

Samengevat:
Download dit progsel: klik (voor meer info klik).
Draai na herstarten de nieuwste versie van CWShredder.

edit:
en ook even de bijbehorende info lezen, dat kan wel handig zijn, en hier staan nog enkele andere stappen in beschreven. Voortaan de search gebruiken is inderdaad ook wel handig

En tijdens het verwijderen hiervan, GEEN explorer vensters openen!!

[ Voor 50% gewijzigd door Pendaco op 30-06-2004 19:16 ]

woensdag 30 juni 2004 19:11

Acties:

0 Henk 'm!

BoGhi

Zoeken in dit forum is ook een optie..

Sterker nog, 't staat hier al weer boven.

[ Voor 40% gewijzigd door BoGhi op 30-06-2004 19:29 . Reden: reactie op hierboven ]

Programmers don't die. They GOSUB without RETURN

woensdag 30 juni 2004 19:15

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

BoGhi schreef op 30 juni 2004 @ 19:11:
Zoeken in dit forum is ook een optie..

Ik heb wel gezocht, maar bleef bij topics steken waarin het met ad-aware en cwschredder opgelost was, wat bij mij dus niet het geval is.
Maar waarschijnlijk heb ik niet goed genoeg gezocht... my bad

zaterdag 3 juli 2004 00:47

Acties:

0 Henk 'm!

Pearl

Volgens mij zijn er teveel topics over ditzelfde onderwerp gestart

, allemaal op slot en een doeltreffend proggy opnoemen zoals Adware Away.

En/of beter zoeken geeft ook goede resutaten.

Googliedoe Googlieda.

Een specialist weet alles van niks en een generalist weet niks van alles.