[Adware] ongewenste ie startpagina - Privacy en beveiliging

maandag 13 september 2004 20:32

Acties:

Topicstarter

ik heb sinds een aantal weken een ongewenste startpagina

nl http://www.ledlgvkrquhyyr...nIUy4GF/H3vt7Bw7wQk_U.jsp

ik heb alle programma's die ik ken al geprobeerd(o.a. adaware spybot hitman pro). maar krijg hem niet terug naar een standart.

ook heb ik het in het register proberen aan te passen

iemand nog suggesties voor mij

specs : http://specs.tweak.to/7435

maandag 13 september 2004 20:33

Acties:

P_de_B

Heb je [rml][ Howto] Spyware scannen en opruimen[/rml] gelezen? Daar staan veel tips in

Oops! Google Chrome could not find www.rijks%20museum.nl

maandag 13 september 2004 21:11

Acties:

DaFearLess

Topicstarter

dat heb ik allemaal geprobeerd maar het blijft er staan,

code:

Logfile of HijackThis v1.97.7
Scan saved at 9:14:21 PM, on 9/13/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Apache Group\Apache2\bin\Apache.exe
C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
C:\Program Files\mysql\bin\mysqld-nt.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Apache Group\Apache2\bin\Apache.exe
C:\Program Files\Reflection\rtsserv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
C:\WINDOWS\MXOaldr.exe
C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\System32\hphmon03.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\HFXP\hfxp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\PJW\SPGuard\spguard.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\peter\Desktop\hijackthis1977\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ledlgvkrquhyyrhxijcgirxi.net/ndX1CMvis4gAiV7vWrXiG1nIUy4GF/H3vt7Bw7wQk_U.jsp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.hbsqwyfbnetxmclcxjrfyeww.uk/ndX1CMvis4j3KdeaqR/2KCVNbZMiAp7Eo/GAw0rg8pnhbVXVFl_QIUPaD6l7ipSc.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
O2 - BHO: (no name) - {04C346E0-657A-49A7-99D0-F8C176909FDB} - C:\WINDOWS\system32\0nad1.dll (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOaldr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [VC6Player] C:\Program Files\HHVcdV6Sys\VC6Play.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [wdskctl] C:\WINDOWS\wdskctl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\STOMPS~1\SPYWAR~1\PPMemCheck.exe
O4 - HKLM\..\Run: [Spyware X-terminator Control Center] C:\PROGRA~1\STOMPS~1\SPYWAR~1\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\STOMPS~1\SPYWAR~1\CookiePatrol.exe
O4 - HKLM\..\Run: [gmxqvnbr] C:\WINDOWS\System32\uoouqwzw.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [thatlong] C:\PROGRA~1\inside plus dart\VgaItch.exe
O4 - HKLM\..\Run: [Debug bend ace spam] C:\Documents and Settings\All Users\Application Data\Messgramdebugbend\frag comp.exe
O4 - HKCU\..\Run: [hfxp] C:\Program Files\HFXP\hfxp.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKLM\..\RunOnce: [axyzn.exe] C:\WINDOWS\System32\axyzn.exe /k
O4 - HKCU\..\RunOnce: [axyzn.exe] C:\WINDOWS\System32\axyzn.exe /k
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/default/popcaploader_v5.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp02.photoprintit.de/microsite/8/defaults/activex/XUpload.ocx

[ Voor 99% gewijzigd door DaFearLess op 13-09-2004 21:14 ]

specs : http://specs.tweak.to/7435

maandag 13 september 2004 22:20

Acties:

Wilke

En als je de BV FAQ even goed leest, kun je daarin zien staan dat het de bedoeling is dat je zelf in dat lijstje gaat zoeken en een sterretje zet bij de regels die jij er misschien van verdenkt dat ze het probleem kunnen veroorzaken.

Het is natuurlijk wel makkelijk om anderen al het werk te laten doen, maar dat is dan weer niet helemaal de bedoeling op GoT

De Browser Helper Objects (BHO's) zijn een veelvoorkomende bron van dit soort ellende, bij jou zou de eerste uit het lijstje spyware kunnen zijn geweest, maar zo te zien heeft een van de anti-spyware progs die al gewist (er staat nu 'file missing' achter).

Die search assistent kan misschien het probleem veroorzaken.

Verder moet je eens goed kijken bij alle 'HKLM\..\Run' entries, daar zit vast ook nog het nodige tussen.

Wat is bijvoorbeeld:
[MXO Auto Loader] C:\WINDOWS\MXOaldr.exe
[gmxqvnbr] C:\WINDOWS\System32\uoouqwzw.exe
[WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"

en er draait nog een hoop zooi die ik zo niet kan thuisbrengen. Daarom is het idee ook dat je zelf eens naar dat lijstje kijkt, want jij weet welke programma's je doelbewust zelf hebt geinstalleerd en welke niet...

maandag 13 september 2004 22:21

Acties:

Verwijderd

tip: mozilla firefox

ook al bij je software gekeken, daar willen ze zich ook nog wel eens in verstoppen, en dan natuurlijk de adware scanners.

[ Voor 55% gewijzigd door Verwijderd op 13-09-2004 22:22 ]

maandag 13 september 2004 22:23

Acties:

Verwijderd

Zoeken op google naar CWShredder, dit is een proggie die het wel op moet kunnen lossen.

maandag 13 september 2004 23:39

Acties:

alt-92

ye olde farte

Verwijderd schreef op 13 september 2004 @ 22:21:
tip: mozilla firefox

Dat is geen oplossing, maar een workaround. Ook voor FF/Mozilla zijn de eerste XPI installers met meuk al opgedoken.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 14 september 2004 01:01

Acties:

Verwijderd

Heb je Adaware e.d. ook geupdate?
Die webrebates is volgens mij namelijk niet echt nieuw.

Titel ietsje aangepast.

dinsdag 14 september 2004 04:58

Acties:

Hmail

Doet ook maar wat.

Wilke schreef op 13 september 2004 @ 22:20:
Wat is bijvoorbeeld:
[MXO Auto Loader] C:\WINDOWS\MXOaldr.exe
[gmxqvnbr] C:\WINDOWS\System32\uoouqwzw.exe
[WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"

MXOaldr.exe kan geen kwaad, het is een tooltje voor Maxtor harde schijven die zonder probleem kan worden uitgeschakeld, wel vreemd dat ik die informatie van verschillende anti-spywaresites haal

http://www.windowsstartup.com/wso/detail.php?id=1797

[gmxqvnbr] C:\WINDOWS\System32\uoouqwzw.exe zou ik er maar uitgooien, lijkt mij een virus oid.. Al gescand op virussen?

WebRebates0.exe Die mag eruit, spyware

C:\Program Files\PJW\SPGuard\spguard.exe staat voor Start Page Guard, ik denk dat die iedere keer als jij je spyware hebt verwijderd, de meut weer terug zet

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [vage website] mag er natuurlijk uit.
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = [hoop tekens] kan er ook uit
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = [yahoo] kan er denk ik ook uit, ik kom namelijk op een vage Yahoo pagina.
O4 - HKLM\..\Run: [wdskctl] C:\WINDOWS\wdskctl.exe is volgens deze site iets van Windows NT, maar vind ik er wel vreemd uit zien. Nog niet verwijderen dus

Ik zie overigens ook dat je MSN-Plus draait. Heb je die geinstalleerd zonder sponsor?

[ Voor 39% gewijzigd door Hmail op 14-09-2004 05:17 ]

It might sound as if I have no clue what I'm doing, but I actually have a vague idea.

dinsdag 14 september 2004 22:44

Acties:

DaFearLess

Topicstarter

het raare is als ik al die dingen verwijder en ik reboot staat het er weer fijn tussen.
wat ik ook probeer ik kom er niet vanaf

specs : http://specs.tweak.to/7435

dinsdag 14 september 2004 22:59

Acties:

Hmail

Doet ook maar wat.

Uninstall in ieder geval even Start Page Guard. Ik heb hem net geinstalleerd, en ik krijg Webrates0 erbij. Dus beiden even van je pc halen

Heb je trouwens zeker weten MSN-Plus zonder sponsor geinstalleerd?

[ Voor 22% gewijzigd door Hmail op 14-09-2004 22:59 ]

It might sound as if I have no clue what I'm doing, but I actually have a vague idea.

woensdag 15 september 2004 14:36

Acties:

DaFearLess

Topicstarter

ik heb geen idee, mijn zusje heeft dat ooit een keer op mijn pc gezet, en ik had het de zelfde dag nog verwijderd. maar ik denk dat ik maar eens een clean install moet gaan doen.

specs : http://specs.tweak.to/7435

zaterdag 18 september 2004 13:44

Acties:

razoon

"Keep on keeping on"

Je hebt het programma 'Adware Away' nodig.

Kijk hier: http://www.adwareaway.com/google/aboutblank.htm

Zo ben ik van About:blank afgekomen.