XP SP 2 Websearch Toolbar

zondag 12 september 2004 00:40

al hijack-this gebruikt?

Acties:

G F0rce 1

Ook heb ik mijn hijackthis log bekeken maar ik vind deze erg schoon.

Misschien dat je het log even hier kan posten. Ik heb het probleem ook maar hij komt ook niet terug in mijn Hijackthis.
By the way, het is al laat he bigfoot

...

I feel absolutely clean inside, and there is nothing but pure euphoria. - Alexander Shulgin

zondag 12 september 2004 00:42

Acties:

zondag 12 september 2004 00:47

Ik blaf niet, bijt alleen!

Topicstarter

Ja, zoals ik al in mijn opening zei vind ik deze erg schoon, maar ik kan me natuurlijk vergissen.

code:

Logfile of HijackThis v1.98.2
Scan saved at 0:45:13, on 12-9-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\PackethSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\Dit.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\Serbia\LOCALS~1\Temp\Tijdelijke map 1 voor hijackthis_198[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.home.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.home.nl
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} - 
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - 
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} -

[ Voor 108% gewijzigd door Serbia op 12-09-2004 00:46 ]

Acties:

zondag 12 september 2004 00:50

G F0rce 1 schreef op 12 september 2004 @ 00:40:
[...]

Misschien dat je het log even hier kan posten. Ik heb het probleem ook maar hij komt ook niet terug in mijn Hijackthis.
By the way, het is al laat he bigfoot ...

jah kleine oogjes enzo... nu ik het zo teruglees herinner ik mij dat ik het wel gelezen had... bij mijn post was ik het dus al vergeten.

maareh Serbia zie jij ook daadwerkelijk ook een websearch toolbar in IE of niet?
het kan een "false positive" zijn...

Acties:

zondag 12 september 2004 00:55

Ik blaf niet, bijt alleen!

Topicstarter

Nee, ik zie verder niets, maar moest wel weer al mijn taakbalken vergrendelen terwijl ik er niets aan verandert had??

Wat vind je van mijn Hijackthis log??

[ Voor 16% gewijzigd door Serbia op 12-09-2004 00:51 ]

Acties:

Verwijderd

C:\WINDOWS\Dit.exe

wat is dit? dit heb ik niet, en ditexp.exe ook niet.
dir c:\windows\dir* levert bij mij precies nul bestanden op.
ik denk dat dit het is.

het is al laat. waardeer svp mijn woordgrapje anders heb ik niets om voor te leven.

zondag 12 september 2004 01:01

Acties:

zondag 12 september 2004 01:01

Ik blaf niet, bijt alleen!

Topicstarter

Dit.exe is een bestandje voor de geheugenkaartjes van een medion computer.
Hier zie ik niks fout in.
Zelfs op de pagina www.hijackthis.de herkent deze dit en zegt dat het veilig is.

Maar ik wil nog steeds van de websearch toolbar af !!

[ Voor 14% gewijzigd door Serbia op 12-09-2004 01:02 ]

Acties:

Verwijderd

dit.exe: "Drive Icon and Label Utility" - assigns drive icons and names to flash memory cards. Required, otherwise the drives aren't found
Lekker laten staan dus. idem voor ditexp.exe

De laatste 3 regels mag je er wel uit knikkeren, als daar inderdaad geen linkjes achterstaan. Ik zie geen rare dingen verder.

zondag 12 september 2004 01:08

Acties:

zondag 12 september 2004 01:13

Serbia schreef op 12 september 2004 @ 01:01:
Dit.exe is een bestandje voor de geheugenkaartjes van een medion computer.
Hier zie ik niks fout in.
Zelfs op de pagina www.hijackthis.de herkent deze dit en zegt dat het veilig is.

Maar ik wil nog steeds van de websearch toolbar af !!

Probeer Coolwebshredder eens: http://www.softpedia.com/public/cat/10/17/10-17-150.shtml .

Acties:

zondag 12 september 2004 01:26

Ik blaf niet, bijt alleen!

Topicstarter

De laatste 3 regels mag je er wel uit knikkeren, als daar inderdaad geen linkjes achterstaan. Ik zie geen rare dingen verder.

Weggehaald maar spyweeper vindt ze nog steeds.

Weet niemand raad ??

[ Voor 7% gewijzigd door Serbia op 12-09-2004 01:24 ]

Acties:

zondag 12 september 2004 01:30

... false positive...
???

Acties:

zondag 12 september 2004 01:33

Ik blaf niet, bijt alleen!

Topicstarter

bigfoot1942 schreef op 12 september 2004 @ 01:26:
... false positive...
???

Zelfs als het een false positive zou zijn dan ben ik toch niet zeker meer!
Wanneer wel en wanneer niet!!

Acties:

zondag 12 september 2004 10:33

je kan ieg niet blind vertrouwen op elk progje, de ontwikkelaars zijn ook maar mensen...
Als je echt zeker wilt zijn moet je sowieso geen Windows draaien

Acties:

zondag 12 september 2004 10:49

Ik blaf niet, bijt alleen!

Topicstarter

Probeer Coolwebshredder eens: http://www.softpedia.com/public/cat/10/17/10-17-150.shtml .

Die krijg ik niet gedownload vanaf deze pagina??

Acties:

Verwijderd

haal die dit.exe en ditexp.exe voor de zekerheid eens door http://virusscan.jotti.dhs.org
want volgens mij was dit.exe een malware bestandje.

zondag 12 september 2004 10:52

Acties:

zondag 12 september 2004 11:06

Dit is de derde hit by Google. Vanaf hier wordt de file direct gedownload: http://www.softpedia.com/progDownload/x-Download-8114.html

Succes

Acties:

zondag 12 september 2004 11:16

Ik blaf niet, bijt alleen!

Topicstarter

EricJH schreef op 12 september 2004 @ 10:52:
Dit is de derde hit by Google. Vanaf hier wordt de file direct gedownload:http://www.softpedia.com/progDownload/x-Download-8114.html

Succes

Daar was ik al, maar bij lukt het downloaden daar niet!

Acties:

zondag 12 september 2004 11:18

Daar was ik al, maar bij lukt het downloaden daar niet!

Da's vaag. Ik heb nog even gecheckt voor je. Bij mij wordt er direct met downloaden begonnen. Wat gebeurt er als je op één van de mirrors, die bovenaan op de pagina staan, klikt? Start de dowload dan wel?

Ik heb ook nog even mijn vorige bericht geedit zodat je er direct op kunt klikken.
http://www.softpedia.com/progDownload/x-Download-8114.html
Deze link is de download link. De eerste link die ik gaf niet. Excuses daarvoor.

[ Voor 30% gewijzigd door EricJH op 12-09-2004 11:20 ]

Acties:

zondag 12 september 2004 11:19

Ik blaf niet, bijt alleen!

Topicstarter

Verwijderd schreef op 12 september 2004 @ 10:49:
haal die dit.exe en ditexp.exe voor de zekerheid eens door http://virusscan.jotti.dhs.org
want volgens mij was dit.exe een malware bestandje.

Zijn allebei clean bij jotti

Acties:

zondag 12 september 2004 11:29

Ik blaf niet, bijt alleen!

Topicstarter

EricJH schreef op 12 september 2004 @ 11:16:
[...]

Da's vaag. Ik heb nog even gecheckt voor je. Bij mij wordt er direct met downloaden begonnen. Wat gebeurt er als je op één van de mirrors, die bovenaan op de pagina staan, klikt? Start de dowload dan wel?

Dan zegt ie:
403 Forbidden - Incorrect or missing referrer for requested file

Firewall ff uitgezet en nu lukt het wel.
FF laten draaien nu.

Done!
Your system was completely clean.

[ Voor 15% gewijzigd door Serbia op 12-09-2004 11:30 ]

Acties:

Verwijderd

[edit] TS loste zelf het probleem op door firewall uit te zetten.

[ Voor 83% gewijzigd door Verwijderd op 12-09-2004 11:29 ]

zondag 12 september 2004 12:21

Acties:

zondag 12 september 2004 14:11

Ik blaf niet, bijt alleen!

Topicstarter

Maar spysweeper blijft zeggen:

Adware found: WebSearch Toolbar !

Ik weet t nu niet meer, iemand nog een idee?

Acties:

zondag 12 september 2004 14:17

tis dus een false positive, accepteer het nu maar gewoon!

Acties:

Hmail

Doet ook maar wat.

Heb je CWShredder al gebprobeerd? Die is gespecialiseerd op die WebSearch dingen.

edit:
Ik was eerder V V

[ Voor 11% gewijzigd door Hmail op 12-09-2004 14:37 ]

It might sound as if I have no clue what I'm doing, but I actually have a vague idea.

zondag 12 september 2004 14:35

Acties:

zondag 12 september 2004 20:36

Serbia schreef op 12 september 2004 @ 12:21:
Maar spysweeper blijft zeggen:

Adware found: WebSearch Toolbar !

Ik weet t nu niet meer, iemand nog een idee?

Hier nog een andere link met CWshredder voor je: http://www.pcworld.com/do...,fid,23551,RSS,RSS,00.asp . Om voor alle zekerheid te kijken of je nu wel of niet besmet bent.

Acties:

zondag 12 september 2004 21:12

Ik blaf niet, bijt alleen!

Topicstarter

EricJH schreef op 12 september 2004 @ 14:35:
[...]

Hier nog een andere link met CWshredder voor je: http://www.pcworld.com/do...,fid,23551,RSS,RSS,00.asp . Om voor alle zekerheid te kijken of je nu wel of niet besmet bent.

CWshredder zegt:

Done!
Your system was completely clean

Acties:

maandag 13 september 2004 14:43

as i said...
gewoon ignoren dat "alarm". Niks aan de hand.

Acties:

DaMoUsYs

kijk es in je software lijst
start - instellingen - (add remove) software

Check dit en help mee!

maandag 13 september 2004 20:32

Acties: