[Spyware] Warning, Achtergrond

Mijn mening is dat Adaware wel eens iets mist...
Installeer Spy Doctor is... die zal wellicht veel meer vinden...
(incl. hijacks...)

Ik kan niet mailen ... maar geen reactie vindt ik ook niets...
Hopelijk heb ik je wel 'wat' kunnen helpen...

Lullig maar als het via MSNM gaat leert niemand er wat van.

Files: iedereen heeft wel een buurman (m/v) met PC, internet en CD schrijver en/of USB stick. Op school zal er ook wel een CDR zijn. Brand alles (inclusief de updates van alle programma's) en klaar. Ook kan je een commandline download programma gebruiken zoals wget, of installeer firefox even, misschien doet die het wel. Check de sticky topics () hier in BV voor al veel info, probeer dat eerst even. Check ook of je DNS gegevens overeen komen met de info die je van je ISP hebt gekregen en of je hosts file niet rare zaken bevat.

Meer mensen: velen, zie de GoTsearch in specifiek B&V (en voor oudere topics SA) voor meer tips
Edit: Idem de SA FAQ, daar staat ook nog een relevante tip.

[ Voor 11% gewijzigd door F_J_K op 07-12-2004 12:40 ]

Heb je al in veilige modus geprobeerd te scannen?
Het zou namelijk best kunnen dat er op de achtergrond malware actief is om de boel te verkloten en zich in de normele modus niet (gemakkelijk) laten verwijderen.

[ Voor 23% gewijzigd door Sassie op 08-12-2004 18:11 ]

Drazzic schreef op woensdag 08 december 2004 @ 23:14:
[...]


Helaas hij vind geen spyware of een virus. Als windows is opgestart en ik druk op windows verkenner bij quicklaunch krijg ik een rare error, namelijk:

Windows Explorer

Windows Explorer has encoutered a problem and needs to close. We are....

.... je kent het wel.

Daarna werkt het wel gewoon als ik er nog een keer op druk en krijg ik die error ook niet. Ik weet niet of het met elkaar te maken heeft maar vind het wel erg raar. Ik heb ondertussen ook Internet Explorer opnieuw geinstalleerd maar zonder succes. Ik weet niet of iemand nog iets weet want ik heb alles geprobeerd wat ik weet wat ik kan doen.

Post je Hijack This log eens

HijackThis: oude versie gebruikt
Advies: haal de nieuste versie opnew v1.98.2
XP: Ontbreken van securitie fixes (geen sp2) Mogelijk oorzaak besmeting
Advies: gebruike windows update

nasty


mogelijk Nasty

ik heb die smerige troep nu ook,

dit is mijn hijack this log:

Logfile of HijackThis v1.98.2
Scan saved at 21:53:49, on 9-12-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\D-Tools\daemon.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Canon\MultiPASS4\MPTBox.exe
C:\WINDOWS\System32\twink64.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\lbzobjr.exe
C:\WINDOWS\System32\??plorer.exe
C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\windos.exe
C:\Documents and Settings\Kevin Kurvers\Application Data\pepr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Canon\MultiPASS4\MPDBMgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Kevin Kurvers\Bureaublad\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\KEVINK~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\KEVINK~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\KEVINK~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\KEVINK~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\KEVINK~1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\KEVINK~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {8BAECBDB-5C3D-5CEF-4A54-56F00DBB3B96} - C:\WINDOWS\System32\jnvabzoe.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O2 - BHO: (no name) - {D7F9391B-C774-4877-B8C4-5172484F51A8} - C:\WINDOWS\System32\cnfla.dll (file missing)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MPTBox] C:\Program Files\Canon\MultiPASS4\MPTBox.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\lbzobjr.exe
O4 - HKCU\..\Run: [Steam] C:\Program Files\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [Cfdxfa] C:\WINDOWS\System32\??plorer.exe
O4 - HKCU\..\Run: [Registry Cleaner] "C:\Program Files\Registry Cleaner\RegClean.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Ohsc] C:\Documents and Settings\Kevin Kurvers\Application Data\pepr.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.m...eb_site.cab?1100292485483
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.co...sInstaller.cab?refid=3548
O18 - Filter: text/html - {53EB9992-9DED-4809-97D4-DE0EFE703D3B} - C:\WINDOWS\System32\cnfla.dll
O18 - Filter: text/plain - {53EB9992-9DED-4809-97D4-DE0EFE703D3B} - C:\WINDOWS\System32\cnfla.dll

[ Voor 12% gewijzigd door Exterminator op 09-12-2004 21:54 ]

Ik ben geen Hijack-expert, maar alles wat hieronder staat vind ik nogal verdacht, ik zou zeggen zoek eens na op internet, dan kun je echt uitvinden of het rotzooi is.

C:\WINDOWS\System32\twink64.exe
C:\WINDOWS\System32\lbzobjr.exe
C:\WINDOWS\System32\??plorer.exe
C:\WINDOWS\System32\windos.exe
C:\Documents and Settings\Kevin Kurvers\Application Data\pepr.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\KEVINK~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\KEVINK~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\KEVINK~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\KEVINK~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\KEVINK~1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\KEVINK~1\LOCALS~1\Temp\sp.html

O2 - BHO: (no name) - {8BAECBDB-5C3D-5CEF-4A54-56F00DBB3B96} - C:\WINDOWS\System32\jnvabzoe.dll
O2 - BHO: (no name) - {D7F9391B-C774-4877-B8C4-5172484F51A8} - C:\WINDOWS\System32\cnfla.dll (file missing)
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\lbzobjr.exe
O4 - HKCU\..\Run: [Cfdxfa] C:\WINDOWS\System32\??plorer.exe
O4 - HKCU\..\Run: [Ohsc] C:\Documents and Settings\Kevin Kurvers\Application Data\pepr.exe
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.co...sInstaller.cab?refid=3548
O18 - Filter: text/html - {53EB9992-9DED-4809-97D4-DE0EFE703D3B} - C:\WINDOWS\System32\cnfla.dll
O18 - Filter: text/plain - {53EB9992-9DED-4809-97D4-DE0EFE703D3B} - C:\WINDOWS\System32\cnfla.dll

Sassie schreef op donderdag 09 december 2004 @ 22:19:
Ik ben geen Hijack-expert, maar alles wat hieronder staat vind ik nogal verdacht, ik zou zeggen zoek eens na op internet, dan kun je echt uitvinden of het rotzooi is.


[...]

ja dat d8 ik ook, maar ik wacht liever even op een hijackthis expert

Kurvers schreef op donderdag 09 december 2004 @ 22:24:
[...]


ja dat d8 ik ook, maar ik wacht liever even op een hijackthis expert

En ik wacht tot je minimaal SP1 geinstalleerd hebt + alle hotfixes

XP RTM wordt niet meer ondersteund zometeen namelijk.

BackSlash32 schreef op donderdag 09 december 2004 @ 22:27:
[...]

En ik wacht tot je minimaal SP1 geinstalleerd hebt + alle hotfixes

XP RTM wordt niet meer ondersteund zometeen namelijk.

is dat wel verstandig om dat nu te doen met die troep op m'n pc

Verstandig is om eerst ff "Beveiliging en Virussen - Nieuw topic starten" te lezen. Want me liften op een ander zijn topic is niet gewenst. Tevens missen wij wat Kurvers zelf al heeft geprobeert om het weg te krijgen.

( kijk ff in het configuratie scherm; software. volgens mij staat daar iets van switch tussen en andere mogelijk vreemde aplicaties die je niet kent. Verwijder die maar eens. Mogelijk raak je nu al wat kwijt)

hessel schreef op vrijdag 10 december 2004 @ 07:05:
Verstandig is om eerst ff "Beveiliging en Virussen - Nieuw topic starten" te lezen. Want me liften op een ander zijn topic is niet gewenst. Tevens missen wij wat Kurvers zelf al heeft geprobeert om het weg te krijgen.

( kijk ff in het configuratie scherm; software. volgens mij staat daar iets van switch tussen en andere mogelijk vreemde aplicaties die je niet kent. Verwijder die maar eens. Mogelijk raak je nu al wat kwijt)

ben ik met je eens, maar als 10 mensen hetzelfde probleem hebben moeten dus 10 topics gemaakt worden, zie ik niet echt zitten maar goed.

Heb idd al tussen de software gekeken alles verwijdert maar niks heeft geholpen.
Heb zelf ook al ad-aware laten scannen in veilige modus en normaal, heeft veel weg gehaald. maar krijg nog steeds die irritante pop-ups en die vervelende achtergrond. kan tevens ook nergens klikken op m'n bureaublad of er word al 'n site geopent.

Kurvers schreef op donderdag 09 december 2004 @ 22:24:
[...]


ja dat d8 ik ook, maar ik wacht liever even op een hijackthis expert

Lees dit eens door, en dan vooral naar variant 38 CWS.Searchx kijken..
Eerst dus al eens beginnen met CWShredder.

Wat iig weg kan:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\KEVINK~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\KEVINK~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\KEVINK~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\KEVINK~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\KEVINK~1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\KEVINK~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {8BAECBDB-5C3D-5CEF-4A54-56F00DBB3B96} - C:\WINDOWS\System32\jnvabzoe.dll
O2 - BHO: (no name) - {D7F9391B-C774-4877-B8C4-5172484F51A8} - C:\WINDOWS\System32\cnfla.dll (file missing)
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\lbzobjr.exe
O4 - HKCU\..\Run: [Cfdxfa] C:\WINDOWS\System32\??plorer.exe
O4 - HKCU\..\Run: [Ohsc] C:\Documents and Settings\Kevin Kurvers\Application Data\pepr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.co...sInstaller.cab?refid=3548
O18 - Filter: text/html - {53EB9992-9DED-4809-97D4-DE0EFE703D3B} - C:\WINDOWS\System32\cnfla.dll
O18 - Filter: text/plain - {53EB9992-9DED-4809-97D4-DE0EFE703D3B} - C:\WINDOWS\System32\cnfla.dll

[ Voor 91% gewijzigd door FlipFluitketel op 10-12-2004 09:31 ]

Had CWshredder al gebruikt, had niks gevonden,
zal straks als ik thuis ben die bestanden fixen met hijackthis en dan zal ik een nieuwe log posten

alvast bedankt

Draai dit soort programma's bij voorkeur in veilige modes. De kans dat je nu meer verwijdert, is vele malen groter. Dan als in normale modes, dit omdat dan de meeste adwaretroep niet in het geheugen aanwezig is. En hier mee niet de kans krijg om het een en ander te herstellen voor dat de pc is gereboot na de schoon maak actie.

senario
Troep is in geheugen aanwezig
adaware vind verwijdert regel (Run applicatie X)
adaware kan applicatie niet uit geheugen verwijderen en stelt voor deze bij de volgende boot te verwijderen
Bij afsluiten Pc doet applicatie X het volgende. (maak een nieuwe run regel aan met applicatie Y en copyeer applicatie X naar Y)
Bij opstarten pc zal adaware nu proberen applicatie X te verwijderen (zal luken, aleen X heet nu Y maar dat weet Adaware niet)
Gevolg Troep is nog steeds aanwezig.

En bij scannen in veilige modes (modes waar bij alleen het minimale word opgestart) (dus veel achtergrond programma's niet)"
Nu kan adaware wel alles verwijderen om dat applicatie X niet in het geheugen aanwezig is.
Gevolg pc schoon

Kurvers schreef op vrijdag 10 december 2004 @ 11:43:
Had CWshredder al gebruikt, had niks gevonden,
zal straks als ik thuis ben die bestanden fixen met hijackthis en dan zal ik een nieuwe log posten

alvast bedankt

Maar had je ook de nieuwste versie van CWShredder gebruikt? De versie waar ik naartoe linkte is nl. versie 2.1 en is sinds enkele dagen pas beschikbaar.
Alleen maar die bestanden fixen met hijackthis gaat denk ik niet je probleem oplossen. Tijdelijk wel, maar als je je pc opnieuw opstart zal het weer terugzijn.

FlipFluitketel schreef op vrijdag 10 december 2004 @ 13:21:
[...]


Maar had je ook de nieuwste versie van CWShredder gebruikt? De versie waar ik naartoe linkte is nl. versie 2.1 en is sinds enkele dagen pas beschikbaar.
Alleen maar die bestanden fixen met hijackthis gaat denk ik niet je probleem oplossen. Tijdelijk wel, maar als je je pc opnieuw opstart zal het weer terugzijn.

is 2.11 ja

Heb t weg gekregen,

vraag me niet hoe ik t gedaan heb....
maar alles is weg.

Toch bedankt