Toon posts:

[spyware] krijg spyware niet weg

Pagina: 1
Acties:

zaterdag 16 oktober 2004 15:23

Acties:
  • unex154
  • Registratie: Augustus 2004
  • Laatst online: 01-12 16:46

unex154

Topicstarter
hallo, op de andere pc hier krijg ik spyware er niet af. Ik heb al enkele malen adware SE geupdate en gedraaid, deze vind veel zooi (vooral veel register dingen) en verwijderd deze ook maar de spyware blijft erop staan. Spybot vond daarna ook nog veel rotzooi en heeft deze ook verwijderd maar nog is de computer nog niet helemaal spyware vrij :(

Nu heb ik hijackthis gedraait en de log nagekeken maar gek genoeg vind ik niks raars of verdachts dus post ik hem maar hier om te kijken of een van jullie toevallig nog wat raars ziet of wat anders wat ik over het hoofd zie.

(sorry voor layout verneuk)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73

Logfile of HijackThis v1.97.7
Scan saved at 15:08:18, on 16-10-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\mstar2.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Knud\LOCALS~1\Temp\Rar$EX00.367\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bonairewebcams.com/TheWorks.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bonairewebcams.com/TheWorks.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/MStartEnter/Portal/portal.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Classes] C:\WINDOWS\System32\mstar2.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097157071952
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37948.4151851852
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp02.photoprintit.de/microsite/5/defaults/activex/XUpload.ocx
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/en/check/qdiagh.cab?319
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5828F68F-F0FA-4BD3-B535-A92C44196911}: NameServer = 194.134.5.5,194.134.0.97

zaterdag 16 oktober 2004 15:43

Acties:
  • Pendaco
  • Registratie: Augustus 2003
  • Laatst online: 23:33

Pendaco

Vogon Poetry FTW!

ik zou zeggen,
- gebruik voortaan de nieuwste versie van hijack this, 1.98.2 Hier te vinden
- zet service pack2 op die pc (via windows update natuurlijk)

en loop onderstaande files nog even na;
code:
1
2
3
4
5
6
7
8
9
10

C:\WINDOWS\System32\mstar2.exe 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.bonairewebcams.com/TheWorks.php 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.bonairewebcams.com/TheWorks.php 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina =
file:///C:/Program%20Files/MStartEnter/Portal/portal.html 
O4 - HKLM\..\Run: [Classes] C:\WINDOWS\System32\mstar2.exe 
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) -
http://www2.incredimail.com/contents/setup/downloader/imloader.cab


lees ook op Deze pagina meer over die mstar.exe
Startportal of MS-Connect of…. is een dialer die inbelt naar meestal een 0900 nummer, en tevens de startpagina overneemt (oa 24start.com).
Eigenaar van deze dialer is ConnectSwitch.
Het is een zeer lastige dialer aangezien deze regelmatig van naam verandert.

[ Voor 20% gewijzigd door Pendaco op 16-10-2004 15:47 ]

zaterdag 16 oktober 2004 15:48

Acties:
  • Henk007
  • Registratie: December 2003
  • Laatst online: 06-04 00:29

Henk007

MsgPlus zou ik er ook vanaf gooien.

zaterdag 16 oktober 2004 15:49

Acties:
  • Br@m
  • Registratie: Juli 2001
  • Niet online

Br@m

Henk007 schreef op 16 oktober 2004 @ 15:48:
MsgPlus zou ik er ook vanaf gooien.
Msgplus is niks mis mee, mits "Juist" geinstalleerd. Dan bedoel ik zonder sponsor zooi.

Garmin NUVI 300 - ACER Aspire 5102WLMi

zaterdag 16 oktober 2004 19:43

Acties:
  • unex154
  • Registratie: Augustus 2004
  • Laatst online: 01-12 16:46

unex154

Topicstarter
Pendaco schreef op 16 oktober 2004 @ 15:43:
ik zou zeggen,
- gebruik voortaan de nieuwste versie van hijack this, 1.98.2 Hier te vinden
- zet service pack2 op die pc (via windows update natuurlijk)

en loop onderstaande files nog even na;
code:
1
2
3
4
5
6
7
8
9
10

C:\WINDOWS\System32\mstar2.exe 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.bonairewebcams.com/TheWorks.php 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.bonairewebcams.com/TheWorks.php 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina =
file:///C:/Program%20Files/MStartEnter/Portal/portal.html 
O4 - HKLM\..\Run: [Classes] C:\WINDOWS\System32\mstar2.exe 
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) -
http://www2.incredimail.com/contents/setup/downloader/imloader.cab


lees ook op Deze pagina meer over die mstar.exe


[...]
die R0's heb ik zelf zo gezet omdat de spyware steeds de homepage probeert te veranderen, die R1 is dus de pagina waarin die het wil veranderen.

naar die andere 2 zal ik even kijken die had ik dus idd over het hoofd gezien, bedankt.
Br@m schreef op 16 oktober 2004 @ 15:49:
[...]


Msgplus is niks mis mee, mits "Juist" geinstalleerd. Dan bedoel ik zonder sponsor zooi.
msgplus is zonder sponsor geinstalleerd omdat ik deze namelijk zelf geinstalleerd heb.
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq