Toon posts:

[Spyware] Balken, en popups.

Pagina: 1
Acties:

dinsdag 31 augustus 2004 18:27

Acties:

Verwijderd

Topicstarter
Hallo beste mensen,

Ik heb nu al enige tyd laast van irritanten problemen met myn computer.
Ik heb allemaal balken in internet explorer en die kan ik niet weg krijgen.
Ik krijg om de zoveel minuten de hele tyd popups van alles en nog wat,
die klik ik weer weg en de volgende komt er te staan of ik dit en dat wil
downloaden. Heel irritant allemaal, ik moet dit natuurlijk weg hebben.

Ik heb natuurlijk ook niet stil gezeten.
Ik heb mijn computer afgescand met verschillende programma's
zoals Norton Antivrius, die geen virussen vond, ad-aware, spybot, en spyblaster
zij vonden wel verschillende spyware. Ik heb de programma's het laten verwijderen
maar zonder succes. Even later kreeg ik alle prblemen weer. Ook heb ik nog met
Hijackthis gescand en sommige dingen verwijderd maar ook zonder succes.

Wie kan mij uit de brand helpen..
Ik heb voor de duidelijkheid even wat screenshots toegevoegd


Dit zijn o.a. wat problemen, die balken dus.

Afbeeldingslocatie: http://members.lycos.nl/sk00i3r/spyware4.JPG

En dit zijn popups

Afbeeldingslocatie: http://members.lycos.nl/sk00i3r/spyware3.JPG

Dit was een scan.

Afbeeldingslocatie: http://members.lycos.nl/sk00i3r/spyware1.JPG


Wie kan my verder helpen.
Ik kan ook nog wel een log van Hijackthis sturen als da moet

Alvast heel er bedankt

Groeten Jaap.

dinsdag 31 augustus 2004 18:32

Acties:

Verwijderd

Topicstarter
Oeps sorry voor grote screens...


Ik post nog maar even direct de hijackthis logfile.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116

Logfile of HijackThis v1.97.5
Scan saved at 18:30:06, on 31-8-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\smax4.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\Seticon.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\program files\quicktime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\ftfcwggz.exe
C:\WINDOWS\System32\int1.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
F:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
F:\Program Files\FlashFXPv2.0\FlashFXP.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\system32\mspaint.exe
F:\Program Files\Hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://zwhytkbbwvmppelyenepjdqf.com/pVYoG1uRUYucKLg5CPfxYIGjotXIhuP6hpcv69Qatd9TSInLFgDyBgyqdLBJOEZT.jpg
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Plus18Point/Portal/portal.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:\WINDOWS\multimpp.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6E884601-EE6B-25C6-8054-61550BA07B1A} - (no file)
O2 - BHO: (no name) - {aba78e17-2c34-4f5c-b73b-7b63ab3d722b} - C:\WINDOWS\System32\Q24318203.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C77E900A-FF55-400E-9BAA-E042C8212898} - (no file)
O2 - BHO: (no name) - {F28AB442-BFFB-814F-BDB3-C980F08E9E5C} - C:\PROGRA~1\KINDDE~1\infodog.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -off
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SetIcon] Seticon.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\program files\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Documents and Settings\Joris\Mijn documenten\Mijn ontvangen bestanden\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [fsvtaahd] C:\WINDOWS\System32\ftfcwggz.exe
O4 - HKLM\..\Run: [okay debug wait 32] C:\Documents and Settings\All Users\Application Data\VgaCurbOkayDebug\2global.exe
O4 - HKLM\..\Run: [greyfree] C:\PROGRA~1\GRIMME~1\ROAM WAY.exe
O4 - HKLM\..\Run: [Classes] C:\WINDOWS\System32\int1.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Documents and Settings\Joris\Mijn documenten\Mijn ontvangen bestanden\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [SpySweeper] F:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://x-movies.ath.cx/exe/emsat.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab28578.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://i.a.cnn.net/cnn/resources/cult3d/cult.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/220b5838a0c60cffe605/netzip/RdxIE601.cab
O16 - DPF: {6211AC26-A1B4-422A-AC52-1E70B7D24465} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/nl/filesharingctrl.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://activex.webcam.nl/AxisCamControl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37908.1890625
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4358/mcfscan.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab30149.cab

dinsdag 31 augustus 2004 18:38

Acties:
  • Mike Jarod
  • Registratie: Januari 2002
  • Niet online

Mike Jarod

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://zwhytkbbwvmppelyenepjdqf.com/pVYoG1uRUYucKLg5CPfxYIGjotXIhuP6hpcv69Qatd9TSInLFgDyBgyqdLBJOEZT.jpg
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:3128
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Plus18Point/Portal/portal.html
O2 - BHO: (no name) - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:\WINDOWS\multimpp.dll
O2 - BHO: (no name) - {6E884601-EE6B-25C6-8054-61550BA07B1A} - (no file)
O2 - BHO: (no name) - {aba78e17-2c34-4f5c-b73b-7b63ab3d722b} - C:\WINDOWS\System32\Q24318203.dll
O2 - BHO: (no name) - {C77E900A-FF55-400E-9BAA-E042C8212898} - (no file)
O2 - BHO: (no name) - {F28AB442-BFFB-814F-BDB3-C980F08E9E5C} - C:\PROGRA~1\KINDDE~1\infodog.exe
O4 - HKLM\..\Run: [SetIcon] Seticon.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Documents and Settings\Joris\Mijn documenten\Mijn ontvangen bestanden\MsgPlus.exe"
O4 - HKLM\..\Run: [fsvtaahd] C:\WINDOWS\System32\ftfcwggz.exe
O4 - HKLM\..\Run: [okay debug wait 32] C:\Documents and Settings\All Users\Application Data\VgaCurbOkayDebug\2global.exe
O4 - HKLM\..\Run: [greyfree] C:\PROGRA~1\GRIMME~1\ROAM WAY.exe
O4 - HKLM\..\Run: [Classes] C:\WINDOWS\System32\int1.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Documents and Settings\Joris\Mijn documenten\Mijn ontvangen bestanden\MsgPlus.exe" /WinStart
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://x-movies.ath.cx/exe/emsat.exe


Deze entries zou ik eens wat verder bekijken. Een aantal zijn troep, een aantal verdacht, misschien zit ik er bij een aantal ook wel compleet naast :)

Je kan files online scannen bij http://virusscan.jotti.dhs.org

dinsdag 31 augustus 2004 19:24

Acties:

Verwijderd

Topicstarter
Ja dat heb ik ook al eens gedaan maar wat ik al zei zonder succes helaas.

dinsdag 31 augustus 2004 22:35

Acties:
  • BoGhi
  • Registratie: Juli 2002
  • Laatst online: 21-09 10:42

BoGhi

Je zegt dat je de problemen 'even later' weer hebt. Het kan heel goed zijn dat je even later alweer besmet bent, als je op een of andere manier in een netwerk hangt (zoals het internet). Draai je wel een firewall (zie ik niet bij je processen staan..)?

Verder zie ik Switch staan, met Plus18Point. Dus misschien is dit nog iets:

- Probeer als eerste het programma SWITCH in “Software” (start, instellingen, configuratiescherm, software toevoegen/verwijderen) te verwijderen
- Als dat lukt wordt men terug verwezen naar een Internet site waar men Uninstall button drukt.

Als dat niet werkt, in HT:
Als men de onderstaande items tegenkomt,”aanvinken” en dan “Fix checked”
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/Plus18Point/Portal/portal.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Plus18Point/Portal/portal.html
O4 - HKLM\..\Run: [Classes] C:\WINDOWS\System32\srv.exe (in jouw geval is dit dus int1.exe, zoals al is aangegeven door Mike Jarod)

Verwijder bij voorkeur in de veilige modus:
Het bestand: C:\WINDOWS\System32\srv.exe
Deze map : C:\Program Files\Plus18Point

[ Voor 76% gewijzigd door BoGhi op 31-08-2004 23:19 ]

Programmers don't die. They GOSUB without RETURN

dinsdag 31 augustus 2004 22:38

Acties:
  • Possible
  • Registratie: Mei 2002
  • Laatst online: 01-12 13:22

Possible

Bij mijn zus was precies dezelfde spyware aanwezig als op jou pc. Ik zelf kreeg het ook niet weg wat ik ook gebruikte, dus er was maar 1 oplossing voor mij toen : Format c: :)

Gasloos sinds 2020 - 3240wp-Z Live 5100wp-W Live 8340wp-Merged Live Altantic Explorer 200 Live

dinsdag 31 augustus 2004 22:47

Acties:

Verwijderd

Lijkt een beetje op Cool Web Search....

Erg lastig, ik heb hem ook erop gehad en ben 2 weken bezig geweest om hem eraf te krijgen, tevergeefs :(

Tot ik op een 1 of ander forum iets had gevonden wat wel hielp. Ik zal eens kijken of ik die site nog kan vinden. Je moest het e.e.a. veranderen en verwijderen in je register.

edit:


Manual removal
Please follow the instructions below if you would like to remove CoolWebSearch.iefeatsl manually. Please notice that you must follow the instructions very carefully and delete everything that is mentioned. In most cases the removal will fail if one single item is not deleted. If CoolWebSearch.iefeatsl remains on your system after stepping through the removal instructions, please double-check by stepping through them again.
Start the registry editor. This is done by clicking Start then Run. (The Run dialog will appear.) Type regedit and click OK. (The registry editor will open.)
Delete 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {587DBF2D-9145-4c9e-92C2-1F953DA73773}', if it exists.
Delete 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {FD9BC004-8331-4457-B830-4759FF704C22}', if it exists.
Delete 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {587DBF2D-9145-4c9e-92C2-1F953DA73773}', if it exists.
Delete 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {FD9BC004-8331-4457-B830-4759FF704C22}', if it exists.
Exit the registry editor.
Restart your computer.
Delete the directories listed below. It is likely that only one of them will be present:
%AppData%\IEFEATSL\
%AppData%\syskd\
%AppData%\winug\
%AppData%\iefn\
%AppData%\ield\
%AppData%\winkq\
%AppData%\IEAL\
%AppData%\wincq\
%AppData%\SYSUT\
%AppData%\msea\
%AppData%\IEMB\
%AppData%\SYSBS\
%AppData%\sysca\
%AppData%\msqx\
%AppData%\winmd\
%AppData%\winph\
%AppData%\winxw\
%AppData%\winxw\
%AppData%\mshy\
%AppData%\iewr\
%AppData%\syssz\
%AppData%\IEAL\
%AppData%\winue\
%AppData%\mspo\
%AppData%\sysqr\
%AppData%\mskz\
Note: %AppData% is a variable (?). By default, this is 'C:\WINDOWS\Profiles\%UserName%\Application Data\' or 'C:\WINDOWS\Application Data\' (Windows 95/98/Me) or 'C:\Documents and Settings\%UserName%\Application Data\' (Windows NT/2000/XP).
Note: %UserName% is a variable (?). This is set to your username.
Start Microsoft Internet Explorer.
In Internet Explorer, click Tools -> Internet Options.
Click the Programs tab -> Reset Web Settings.

Ik weet niet of deze werkt, ik kijk nog even verder :)

[ Voor 78% gewijzigd door Verwijderd op 31-08-2004 22:50 ]

dinsdag 31 augustus 2004 22:58

Acties:

Verwijderd

Hehe eindelijk gevonden:

The following posted information worked for removing CWS.SearchX on some infected computers, but I needed to also do the step in the final paragraph:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
You have to remove this key. The value of this key may look blank for you, but it is not. They hide the value so you can't see it. This registry key tells Windows to load the Trojan DLL every time ANY application is run giving it complete control to do whatever it wants. So you need to remove it so that the Trojan DLL cannot load and keep re-infecting your PC.
The way to remove the registry key is not obvious. If you just delete it from RegEdit, since the Trojan DLL is loaded, it will re-add it right back. (Try it. Delete the AppInit_DLLs registry key and hit F5. Notice that it's added right back by the Trojan). So what you have to do is the following which worked for me.
1. Rename the HLM\Software\Microsoft\Windows NT\CurrentVersion\Windows folder to Windows2.
2. Now delete the AppInit_DLLs key under the Windows2 folder.
3. Hit F5 and notice that AppInit_DLLs doesn't come back.
4. Rename the Windows2 folder back to Windows.
Now that AppInit_DLLs is gone, run the latest AdAware 6 to remove the Trojan for good. Reboot your machine. Check the registry and make sure AppInit_DLLs is still gone. Your computer should be free of this for good now."

On this computer, there was in infected .dll file in the Windows\System32 directory called wdmdpi.dll which was detected by Grisoft AVG (Installed) and not Norton or McAfee. AVG reported the infection as BackDoor.Agent.BA. A review of this directory in Windows showed no such file exists. Numerous posts in various online message boards criticized Grisoft AVG for reporting false information. The complete opposite is true. The file did exist and was the Trojan itself. It was discovered by using the Microsoft Windows Recovery Console, and manually deleted. The operating system was secured and the Trojan was eradicated.

Dit was voor mij DE oplossing, hoop dat het voor andere ook werkt. :)

dinsdag 31 augustus 2004 22:59

Acties:
  • The_Scarabial
  • Registratie: Maart 2003
  • Laatst online: 22:24

The_Scarabial

MTB for life!

eerst die balken maar is uninstalleren dan alles uit het register verwijderen met Regsupreme, en adware daarna draaien, en alle vage processen killen

dinsdag 31 augustus 2004 23:28

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 31 augustus 2004 @ 22:58:
Hehe eindelijk gevonden:

The following posted information worked for removing CWS.SearchX on some infected computers, but I needed to also do the step in the final paragraph:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
You have to remove this key. The value of this key may look blank for you, but it is not. They hide the value so you can't see it. This registry key tells Windows to load the Trojan DLL every time ANY application is run giving it complete control to do whatever it wants. So you need to remove it so that the Trojan DLL cannot load and keep re-infecting your PC.
The way to remove the registry key is not obvious. If you just delete it from RegEdit, since the Trojan DLL is loaded, it will re-add it right back. (Try it. Delete the AppInit_DLLs registry key and hit F5. Notice that it's added right back by the Trojan). So what you have to do is the following which worked for me.
1. Rename the HLM\Software\Microsoft\Windows NT\CurrentVersion\Windows folder to Windows2.
2. Now delete the AppInit_DLLs key under the Windows2 folder.
3. Hit F5 and notice that AppInit_DLLs doesn't come back.
4. Rename the Windows2 folder back to Windows.
Now that AppInit_DLLs is gone, run the latest AdAware 6 to remove the Trojan for good. Reboot your machine. Check the registry and make sure AppInit_DLLs is still gone. Your computer should be free of this for good now."

On this computer, there was in infected .dll file in the Windows\System32 directory called wdmdpi.dll which was detected by Grisoft AVG (Installed) and not Norton or McAfee. AVG reported the infection as BackDoor.Agent.BA. A review of this directory in Windows showed no such file exists. Numerous posts in various online message boards criticized Grisoft AVG for reporting false information. The complete opposite is true. The file did exist and was the Trojan itself. It was discovered by using the Microsoft Windows Recovery Console, and manually deleted. The operating system was secured and the Trojan was eradicated.

Dit was voor mij DE oplossing, hoop dat het voor andere ook werkt. :)
Hmm ik heb hier naar gekeken maar ik kan het niet vinden in myn register.
Nog iets anders bijvoorbeeld een programma waarmee ik kan zoeken naar
slechte keys en waarden in myn register?

donderdag 2 september 2004 21:17

Acties:

Verwijderd

Topicstarter
ja ik heb alles nog geprobeerd wat hier boven staat maar het wil maar niet lukken

alles komt steeds terug, heweft iemand echt niets?

ik word helemaaal gek

donderdag 2 september 2004 21:19

Acties:

Verwijderd

Toevallig msn+ met sponsor geinstalleerd?

donderdag 2 september 2004 21:27

Acties:
  • vingerfrits
  • Registratie: Juli 2004
  • Laatst online: 06-01-2022

vingerfrits

A.K.A. Badmuts

Als het goed is moet het bij software staan. Gooi alle onbekende dingen eruit. En schakel systeemherstel even uit. even norton draaien en ad aware (of vergelijkbaar) en dan rebooten. Met een beetje geluk ben je er nu van af :+

Asus P5PL2, Intel Pentium D 945, 2GB DDR2, GeForce 7900 GT

maandag 4 oktober 2004 16:33

Acties:

Verwijderd

En nu de echte oplossing:

1. Kil het proces intl.exe en verwijder dit bestand : C:\WINDOWS\System32\int1.exe

2. deinstalleer switch uit configurateischerm software. En alles waar 'toolbar' bij staat (tenzij je zeker weet dat het een stukje software is dat je nodig hebt)

3. gebruik spybot S&D en gebruik daarvan de tools en dan BHO's of gebruik Hijackthis en verwijder alle vage BHO's als je het niet zeker weet verwijder ze gewoon allemaal. (Behalve misschien die van je vriusscanner en Acrobat reader)

4. Verwijder je ActiveX componenten %systemroot%\downloaded program files\ ([ctrl]+[A] , [shift] + [delete]) Dit kan geen kwaad de sites waarbij je ze echt nodig hebt geven vanzelf weer aan dat je ze moet installeren!!

5. Start / configuratiescherm/ internet opties ga naar het tablad probgramma's en druk op de knop : webinstellingen herstellen bevestig de eventuelen vraag om ook je starpagina in te stellen

6. Kijk in Spybot S&D tools System StartRun of HijackThis en verwijder de verwijzing naar INT1.exe als die er nog staat. En alle entries waarvan je voor de rest niet weet wat het is

7. verwijder de map C:\Program Files\Plus18Point

8. Draai daarna nog een keer om eventuele restanten en ander spyware nog te verwijderen: adaware en Spybot S&D en verwijder alles wat ze tegenkomen.

9. Draai een recent geupdate virusscanner, of doe dit online: housecall.antivirus.com , dit is een betrouwbare site (hiervan mag je dus wel ;-) de veiligheidswaarschuwing accepteren en zo dus het activeX component installeren)

Als je nu reboot ben je er zeker vanaf!!

Greezt
Jack

dinsdag 5 oktober 2004 01:58

Acties:

Verwijderd

De bovenste is LOP.COM , heb ik vanavond ook verwijderd bij me buurman, te verwijderen met deze tool van LOP zelf : http://lop.com/new_uninstall.exe

dinsdag 5 oktober 2004 09:02

Acties:
  • Opperhoof
  • Registratie: Mei 2003
  • Laatst online: 22:27

Opperhoof

daar heb ik net een topic over geopent + antwoord

ff kijken, staat nu boven de jouwe,...

*zoek link*

*edit*

*link gevonden*

[rml][ spyware] krijg het er niet vanaf[/rml]

verder zeer irritante balken ja,.. :(

[ Voor 39% gewijzigd door Opperhoof op 05-10-2004 09:03 ]

woensdag 6 oktober 2004 14:37

Acties:
  • lSltAlKeR
  • Registratie: Februari 2002
  • Laatst online: 19-11 00:30

lSltAlKeR

Time destroys everything!

Op een rotzooi computer in mijn netwerk heb ik ook ineens last van int1.exe!
Ik bezoek nooit en te nimmer malifde sexsites of iets dergelijks op die pc.
En merk dat er ineens vanacht rond een uur of twee die int1.exe er zomaar op is gekomen :S
Me virusscanner heeft dat gelogt. Deze is Kaspersky 4.5.104 (uit mehoofd) Professional. Nu vraag ik me af hoe kan die int1.exe ernu opkomen.
Rond vanacht zonder dat er ook maar iemand achter zat :?

Deze pc draait trouwens wel Windows XP Pro is langs windowsupdate voor het laaste geweest ergens in juli |:( Hij draait ook nog niet SP2

Zou dat het misschien kunnen zijn dat er gewoon door een lek in windows xp
het er op een of andere manier op is gekomen.

Ook zag ik dat er in me router die Upnp heeft vanacht 4 porten zijn geopend :/
Voor die pc wat dus eigenlijk helemaal niet kan en die int1.exe gedaan moet hebben!
Het is een trojan. Is die pc nu gehacked? Zou lekker zijn.... want via die pc kan je in al mijn pc's in me netwerk komen :(

Ben al bezig al me wachtwoorden te veranderen.

Just because I'm paranoid! I know I'm now being followed :Y)

Had ik maar een IP logger geinstalleerd. KKK zooi .....

edit:

Ik scan net me PC met norton Antivirus ook is! En die vind nix!
Ja he he. Tuurlijk up to date.
Is kaspersky dan zo'n paranoide scanner of is dit echt een trojan.
Of gewoon een porn dailer? Hoe kan die zomaar in me pc komen?
En wel vanacht om 2 uur. Is ommogelijk dat een ander gezins lid dit heeft gedaan!
Want er is verder nix met Internet Explorer gebeurt vanacht. Er is niet gesurfed.
Kan ik opmaken uit me logs
Hoe kan het in eens dat die file die ik niet ken op me pc staat.
Norton is gewoon bagger bewijst hier maar weer is dus!

[EDIT [/EDIT]

Vanacht gelijk aan het tijdstip op harddrive met tijdsstempel en die UPNP opening in me router. Zijn er in me favorieten ook allemaal sex links aangemaakt.
Er is dus van buitenaf in mijn pc geklooit al dan niet handmatig of automatisch.
Wel strange want er zit 2 uur tijdverschil tussen binnenkomst van int1.exe en dingen die onder favorieten zijn aangemaakt.
Daarnaast zijn er in me temp map ook allemaal tijdelijk files aangemaakt. Waaronder cleaner.exe die al weer gewist zijn :o

God mag weten wat ze allemaal voor gegevens van me pc geplukt hebben.
En misschien wel aan het aankoppelende netwerk. ;(

[ Voor 37% gewijzigd door lSltAlKeR op 06-10-2004 15:08 ]

Speedtouch freak

woensdag 6 oktober 2004 16:18

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Is kaspersky dan zo'n paranoide scanner of is dit echt een trojan.
Of gewoon een porn dailer? Hoe kan die zomaar in me pc komen?
Dit is een dialer, ik heb al verschillende telefoontjes gehad van mensen van wie ik de PC beheer/onderhoud die opeens een viruswaarschuwing kregen van een "Dialer-215". Dat is dus de naam die McAfee eraan geeft. Overigens heb ik zowel de naam int.exe als int1.exe gezien (beide wel identiek overigens). Altijd hidden, altijd in de Windows-directory en nooit een icoontje aanwezig.

Ik zou ook graag willen weten hoe ze binnenkomen, want ALLE patches zijn geinstalleerd, SP2 geinstalleerd, allerlei security-maatregelen getroffen (en ik weet waar ik mee bezig ben op dat gebied!) en toch staat hij erop. En ja, ik heb zelf gezien dat alles goed uptodate en beveiligd was, met eigen ogen.

edit: en de oplossing van JackOTH gaat hier ook niet op, omdat die Plus180-directory helemaal niet bestaat in deze gevallen...

[ Voor 24% gewijzigd door wildhagen op 06-10-2004 16:23 ]

Virussen? Scan ze hier!

woensdag 6 oktober 2004 16:24

Acties:
  • lSltAlKeR
  • Registratie: Februari 2002
  • Laatst online: 19-11 00:30

lSltAlKeR

Time destroys everything!

Kaspersky geeft de melding trojan eraan. En het vreemde is... dat er porten zijn geopend in me router om verbinding te krijgen naar een of ander iets..... Dus nu vraag ik me af wat is er geupload vanuit mijn pc???

Speedtouch freak

woensdag 6 oktober 2004 16:27

Acties:
  • lSltAlKeR
  • Registratie: Februari 2002
  • Laatst online: 19-11 00:30

lSltAlKeR

Time destroys everything!

Dit bedrijf schuild er achter of al dan niet een klant van hun....

person: Terry Bosch
address: Netservices BV
address: Saffierborch 12
address: NL-5241 LN, Rosmalen
address: The Netherlands
phone: +31 73 5230470
e-mail: hostmaster@netservicesbv.nl
nic-hdl: TBNS1-RIPE
mnt-by: NETS-MNT
changed: hostmaster@netservicesbv.nl 20041005
source: RIPE

person: Jesse Heitlager
address: Netservices BV
address: Saffierborch 12
address: NL-5241 LN, Rosmalen
address: The Netherlands
phone: +31 73 5230470
e-mail: hostmaster@netservicesbv.nl
nic-hdl: JHNS1-RIPE
changed: hostmaster@netservicesbv.nl 20041005
source: RIPE

Ik vind het maar vreemd!

WTF....

edit:


Ik bezoek net die site netservicesbv.nl
Op een gepatchte systeem nix aan de hand!
Ga ik er heen op m'n rootzooi pc die dus nog niet helemaal uptodate beveiligd is.
Heb ik int1.exe in eens lopen tussen me processen....
Ik kijken naar C:\Program Files\Plus18Point staat er ook weer.
En in Configuratiescherm software die Switch ook weer.

Dus het komt binnen via ActiveX lijkt me.

Maar hoe is het dan de eerste keer binnengekomen :?
Vanacht om 2 uur toen er niemand achter zat?
En om 4 uur is die troep geinstalleerd :?
En weet ik veel allemaal wat voor acties dat programma of dat werkelijk iemand in mijn pc heeft rond gesnuffeld
wildhagen schreef op 06 oktober 2004 @ 16:18:
[...]


Ik zou ook graag willen weten hoe ze binnenkomen, want ALLE patches zijn geinstalleerd, SP2 geinstalleerd, allerlei security-maatregelen getroffen (en ik weet waar ik mee bezig ben op dat gebied!) en toch staat hij erop. En ja, ik heb zelf gezien dat alles goed uptodate en beveiligd was, met eigen ogen.
Waarschijnlijk dan toch niet helemaal want hoe verklaar je dan. Dat als ik er naar een ongepatched systeem heen gaat het onopgemerkt geinstalleerd word. En me volledige gepatchte workstation er nix aan het handje is?

[ Voor 55% gewijzigd door lSltAlKeR op 06-10-2004 16:51 ]

Speedtouch freak

woensdag 6 oktober 2004 18:30

Acties:
  • Sassie
  • Registratie: November 1999
  • Laatst online: 21:39

Sassie

Ja 'leuke' site idd. Je krijgt een redirect naar een sexsite met een 'foute' active x plugin (ws een dialer die je moet activeren voordat je toegang krijgt).
Hier screenshot: http://sassiessite.endoria.net/temp/Clipboard01.jpg

Ff wat googlen levert trouwens ook veel op:
http://www.google.nl/sear...&q=netservices+bv&spell=1


Zal zo Ad-Aware maar ff voor de zekerheid aanzetten...
Met Hijackthis kon ik niks schadelijks ondekken na het bezoek.

Misschien nuttige info: heb wel Win XP met SP1 en laatste update maximaal 2 weken geleden, echter nog geen SP2. Wel heb ik ZoneAlarm, Spybot S&D (TeaTimer) en AntiVir draaien.

[ Voor 26% gewijzigd door Sassie op 06-10-2004 18:41 ]

woensdag 6 oktober 2004 18:43

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

lSltAlKeR schreef op 06 oktober 2004 @ 16:27:

Waarschijnlijk dan toch niet helemaal want hoe verklaar je dan. Dat als ik er naar een ongepatched systeem heen gaat het onopgemerkt geinstalleerd word. En me volledige gepatchte workstation er nix aan het handje is?
Dat kan ik dus niet.

Ik heb zelfs de MBSA-tool gebruikt, en die meld dat ALLES dicht zit, ALLE patches geinstalleerd zijn, en er géén High/Medium-risk zaken meer over zijn (wel twee Low Risks, maar die zitten in een ander deel wat hier niets mee te maken heeft).

Staat een firewall op, actuele virusscanner, de hele reutemeteut.

Surfen gebeurt daar niet met IE, maar met Firefox, dus ook via die weg kan het bijna niet binnenkomen.

En zoals gezegd: die directory in \Program Files is niet aanwezig. Het enige wat ik kan bedenken is dat ik met een andere variant te maken heb dan die van jullie. Anders weet ik het ook niet meer...

Virussen? Scan ze hier!

woensdag 6 oktober 2004 19:19

Acties:
  • lSltAlKeR
  • Registratie: Februari 2002
  • Laatst online: 19-11 00:30

lSltAlKeR

Time destroys everything!

wildhagen schreef op 06 oktober 2004 @ 18:43:
[...]


Dat kan ik dus niet.

...
Ik zit ook nog steeds met de vraag. Hoe kan het dat het de eerste keer in me systeem kwam. Er draaide totaal nix. Ja de standaard windows dingen als svchost.exe explorer.exe system winlogon.exe etc.... maar verder nix "verdachts"

..... Na ondertussen wat uit te zoeken tijdens het schrijven van deze thread kom ik op het volgende

Ik heb nog is op me harddrive zitten spitten. En kom op een uninstall string in me register die verwijst naar E:\windows\system32\cp.exe uninstall

Ook cp.exe heeft er mee temaken maar dat bestand dateert van 20-03-2004
en is van switch en word niet gekenmerkt als malafide zooi. Door welke security software dan ook.
Dat bestand stond al op me hd. Waarschijnlijk toch ooit van die switch point dail dingen bezocht door iemand hier.

Volgens mij is dat bestand op en of andere manier uitgevoert vraag me niet hoe het kan maar het kan net zo zeer als dat jan sloot 16 films op 64kb chip kan krijgen :D
En heeft geroepen om int1.exe op me pc te gooien en uit te voeren. En zo een gaat in mijn verbinding naar de wijde wereld te maken, die ik pertinent niet wilde :/

Ik begrijp er geen snars meer van.

Het enige wat mij nu zorgen baard is of dat MIJN versie van int1.exe een ordinaire porn dailer is. Of echt een achter-deur openener die waarschijnlijk actief is geweest vanacht!

Speedtouch freak

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq