[spyware] kan niet internetten met IE - Privacy en beveiliging

vrijdag 2 juli 2004 19:59

Acties:

0 Henk 'm!

Topicstarter

Mensen,

Ik ben hier bezig met een computer welke niet kan internetten dmv internet explorer

email/msn/ping etc. gaat wel allemaal goed, alleen internetten niet.

In veilige modus werkt internet wel.

Ik heb ad aware / spy bot search & destroy en hijackthis.exe gedraait.

dit is het resultaat van hijackthis.exe

Logfile of HijackThis v1.98.0
Scan saved at 19:53:13, on 2-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\atlif32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\sysmt.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrator\Bureaublad\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\uqlyu.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://uqlyu.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://uqlyu.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\uqlyu.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\uqlyu.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://uqlyu.dll/index.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {AB9DB4E2-75EB-16A7-E1F0-71015153AF1C} - C:\WINDOWS\appdf.dll

O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [sysmt.exe] C:\WINDOWS\system32\sysmt.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray

als ik verwijder wat bovenstaand bold is werkt het internet weer perfect.

Totdat ik reboot, dan staat alles weer zoals het niet hoort.

Wie weet de oplossing

alvast bedankt

PVOUPUT - 13.400WP - Twente

vrijdag 2 juli 2004 20:03

Acties:

0 Henk 'm!

Pendaco

Vogon Poetry FTW!

Dat is een bekende die hier de afgelopen weken al vaak is langsgekomen,
lees onderstaand topic even door;

http://gathering.tweakers.net/forum/list_messages/926605

vrijdag 2 juli 2004 20:09

Acties:

0 Henk 'm!

Grolsch

Topicstarter

Pendaco schreef op 02 juli 2004 @ 20:03:
Dat is een bekende die hier de afgelopen weken al vaak is langsgekomen,
lees onderstaand topic even door;

http://gathering.tweakers.net/forum/list_messages/926605

dus adwareaway.exe is de oplossing?

er staan gigantisch veel mogelijkheden!

PVOUPUT - 13.400WP - Twente

vrijdag 2 juli 2004 20:12

Acties:

0 Henk 'm!

wildhagen

Blablabla

Ik weet niet of je hem al gezien had, maar zegt deze file je iets? : C:\WINDOWS\atlif32.exe

Google levert namelijk slechts één hit op, dus misschien moet je naar die file ook even kijken...

Virussen? Scan ze hier!

vrijdag 2 juli 2004 20:17

Acties:

0 Henk 'm!

Grolsch

Topicstarter

wildhagen schreef op 02 juli 2004 @ 20:12:
Ik weet niet of je hem al gezien had, maar zegt deze file je iets? : C:\WINDOWS\atlif32.exe

Google levert namelijk slechts één hit op, dus misschien moet je naar die file ook even kijken...

het gehele bestand atlif32.exe is op de hele harde schijf niet te bekennen.

toch bedankt voor je hulp

PVOUPUT - 13.400WP - Twente

vrijdag 2 juli 2004 20:51

Acties:

0 Henk 'm!

Verwijderd

Grolsch schreef op 02 juli 2004 @ 20:09:
[...]

dus adwareaway.exe is de oplossing?

er staan gigantisch veel mogelijkheden!

Als je nou eens het hele topic doorleest..

Daarnaast betwijfel ik of dat wel je _hele_ HijackThis log is, het ziet er niet af uit.

Titel beetje aangepast.

vrijdag 2 juli 2004 20:59

Acties:

0 Henk 'm!

Grolsch

Topicstarter

Verwijderd schreef op 02 juli 2004 @ 20:51:
[...]

Als je nou eens het hele topic doorleest..
Daarnaast betwijfel ik of dat wel je _hele_ HijackThis log is, het ziet er niet af uit.

Titel beetje aangepast.

ik heb het hele topic doorgelezen maar niks werkt.

tenminste, half laat ik het zo zeggen.

Nu kan ik wel weer internetten, maar verandert m'n startpagina naar :

res://wfybr.dll/index.html#96676

dit is nogmaals m'n gehele hijack logfile:

Logfile of HijackThis v1.98.0
Scan saved at 20:57:56, on 2-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\netla32.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\WINDOWS\system32\ntca.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrator\Bureaublad\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wfybr.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://wfybr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://wfybr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wfybr.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wfybr.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://wfybr.dll/index.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {AB9DB4E2-75EB-16A7-E1F0-71015153AF1C} - C:\WINDOWS\appdf.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [netla32.exe] C:\WINDOWS\system32\netla32.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray

het zit hem in deze 2 zinnen:

O2 - BHO: (no name) - {AB9DB4E2-75EB-16A7-E1F0-71015153AF1C} - C:\WINDOWS\appdf.dll
en
O4 - HKLM\..\Run: [netla32.exe] C:\WINDOWS\system32\netla32.exe

deze komen constant weer ondanks dat ik ze verwijderen, ik heb nu alles tooltjes gehad volgens mij:

hijackthis
adaware
spybot search en destroy
en alle tooltjes welke in het topic van hierboven vermeld staan.

PVOUPUT - 13.400WP - Twente

zaterdag 3 juli 2004 00:33

Acties:

0 Henk 'm!

BoGhi

Ik ben met je eens dat die thread, en anderen, zeer onoverzichtelijk zijn geworden. Sommige mensen hebben hun roeping als proza-schrijver gemist denk ik. Deze moet het doen:
Mike Jarod in "[ IEXPLORER] Last van adware - sp.html"

Ik zie trouwens dat er ook een nieuwe versie van HT uit is, welke gezien de featurebeschrijving, deze dll's ook kan vinden

Tweakers. Misschien leuk om eerst even te proberen..

[ Voor 118% gewijzigd door BoGhi op 03-07-2004 00:47 ]

Programmers don't die. They GOSUB without RETURN

zaterdag 3 juli 2004 11:59

Acties:

0 Henk 'm!

lordgandalf

kijk eens in msconfig wat er mee wordt opgestart wat je niet vertouwd en gooi die entrys eens uit kijk dan of het inet dan wel werkt

[ Voor 85% gewijzigd door lordgandalf op 03-07-2004 12:01 ]

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

zaterdag 3 juli 2004 13:59

Acties:

0 Henk 'm!

Grolsch

Topicstarter

ik heb op een gegeven moment geboot in safe mode
die ene service uitgezet
met hijackthis die verwijzingen verwijdert
vervolgens gezocht op alle *.exe *.dat en *.dll gezocht in de windows map

en al die bestanden verwijdert welke van na 15-06-2004 waren.

daarna gereboot, en het probleem was op gelost

ik moest wel eerst alle NTFS permissions van die files goed zetten

heel vreemd stukje spyware

PVOUPUT - 13.400WP - Twente