Toon posts:

[Spyware] Best Search Engine!!!

Pagina: 1
Acties:

woensdag 22 december 2004 23:35

Acties:

Verwijderd

Topicstarter
Ik heb op google gezocht op dit zeer vervelende spyware gezocht maar dan krijg ik helaas geen resultaat. Maar hier mijn verhaal.

Een paar dagen geleden heeft mijn vriendin een keer op Ja gedrukt bij een pop-up. En dat was helaas niet zo slim. Nu heeft ze een probleem dat elke keer dat ze IE opstart dat de begin pagina C:\windows\blank.htm inlaad (ook soms willekeurig als ze zit te surfen). Je krijgt eerst dus je standaard pagina en dan een seconde later gaat die naar blank.htm. In blank.htm stond eerst verwijzingen naar vreemde zoekmachines, maar ik heb blank.htm nu leeg gemaakt en op Read-Only gezet.
Ik moest dit doen omdat ik hem niet kan verwijderen en elke keer als ik de computer opstart blank.htm er weer netjes staat.
In Software staat een programma dat heet "Best Seach Engine!!!" ik denk dat dit de boosdoener is. Als ik hem verwijder dan staat die de volgende opstart weer bij Software. Ik heb de nodig programma's gebruikt om het probleem op te lossen (AdWare, Spybot en McAfee Virusscan).
Hier onder staat mijn HijackThis log. Ik hoop dat iemand mij kan helpen want ik kom er helaas niet uit

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73

Logfile of HijackThis v1.99.0
Scan saved at 23:18:46, on 22-12-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Wintab32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Sygate\SHN\Sygate.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\System32\ctfmon.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sygate\SHN\sgserv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Willem van der Veen\Desktop\hijackthis\HijackThis.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\wnim.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Acecad.Wtxpload] C:\WINDOWS\Acecad\Wtxpload.exe Acecad
O4 - HKLM\..\Run: [VTPreset] VTPreset.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SyGateManager] C:\Program Files\Sygate\SHN\Sygate.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" /disabled
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [Systems Restart] Rundll32.exe wnim.dll, DllRegisterServer
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Sothink SWF Decompiler - C:\Program Files\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: PowerWord - {9A687CA6-D585-4947-9ED9-BE96071F5CD9} - C:\PROGRA~1\Kingsoft\POWERW~1\XDictExB.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: SWFDecompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Decompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103658643180
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F0F8A5A-4ED3-454E-AFDB-74C13BA73B37}: NameServer = 195.121.1.34 195.121.1.66
O18 - Protocol: dic - {C21F5C32-F57A-4A0D-8E0A-B672691C52D0} - C:\PROGRA~1\Kingsoft\POWERW~1\XDictExB.dll
O18 - Filter: text/html - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\wnim.dll
O18 - Filter: text/plain - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\wnim.dll
O23 - Service: Adobe LM Service - Unknown - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: McAfee.com McShield - Unknown - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: SyGateService - Sygate technologies Inc. - C:\Program Files\Sygate\SHN\sgserv.exe
O23 - Service: Wintab32 - Unknown - C:\WINDOWS\System32\Wintab32.exe

woensdag 22 december 2004 23:40

Acties:
  • jelmervos
  • Registratie: Oktober 2000
  • Niet online

jelmervos

Simple user

Dingen die nogal vaag zijn:
O4 - HKLM\..\Run: [Systems Restart] Rundll32.exe wnim.dll, DllRegisterServer
en
O18 - Filter: text/html - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\wnim.dll
O18 - Filter: text/plain - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\wnim.dll

Misschien kun je eens uitzoeken waar die precies voor zijn.

"The shell stopped unexpectedly and Explorer.exe was restarted."

woensdag 22 december 2004 23:44

Acties:
  • Roamor
  • Registratie: Mei 2004
  • Niet online

Roamor

Via Software verwijderen, localiseren van de bestanden dmv een virusscanner oid, naam veranderen, zodat hij niet automatisch kan worden opgestart en dan nog een keer met de virusscanner er overheen. (als het programma dan niet is opgestart kun je hem wel verwijderen.)

Succes ;)

[ Voor 18% gewijzigd door Roamor op 22-12-2004 23:44 ]

woensdag 22 december 2004 23:45

Acties:
  • ikbenwouter
  • Registratie: Februari 2003
  • Laatst online: 30-11 08:46

ikbenwouter

! w t R

Probeer eens op blank.htm en spyware te zoeken op Google, ik kom van alles tegen maar heb niet zo'n verstand van al die logs maar misschien dat dat je ook wat kan helpen.

http://www.google.nl/sear...m+spyware&btnG=Zoeken&lr=

........................................................................................................................................................

donderdag 23 december 2004 07:26

Acties:
  • hessel
  • Registratie: Januari 2000
  • Laatst online: 05-11-2024

hessel

Lees voor je gaat wissen ook ff het onderste gedeelte

Nasty
code:
1
2
3
4
5
6

 C:\Program Files\Sygate\SHN\Sygate.exe     *** running process. (Sygate.exe)Added by the W32/RBOT-PN WORM!
O2 - BHO: (no name) - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\wnim.dll
O4 - HKLM\..\Run: [SyGateManager] C:\Program Files\Sygate\SHN\Sygate.exe
O4 - HKLM\..\Run: [Systems Restart] Rundll32.exe wnim.dll, DllRegisterServer
O18 - Filter: text/html - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\wnim.dll
O18 - Filter: text/plain - {B72F75B8-93F3-429D-B13E-660B206D897A} - C:\WINDOWS\System32\wnim.dll   ***   Only a few Hijackers are listed here. The most popular are 'cn' (CommonName) , 'ayb' (Lop.com) and 'relatedlinks' (Huntbar) . They should be fixed.


mogelijk nasty
code:
1
2
3
4
5
6
7
8

C:\Program Files\Sygate\SHN\sgserv.exe
O8 - Extra context menu item: Sothink SWF Decompiler - C:\Program Files\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra button: PowerWord - {9A687CA6-D585-4947-9ED9-BE96071F5CD9} - C:\PROGRA~1\Kingsoft\POWERW~1\XDictExB.dll
O9 - Extra button: SWFDecompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Decompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F0F8A5A-4ED3-454E-AFDB-74C13BA73B37}: NameServer = 195.121.1.34 195.121.1.66
O18 - Protocol: dic - {C21F5C32-F57A-4A0D-8E0A-B672691C52D0} - C:\PROGRA~1\Kingsoft\POWERW~1\XDictExB.dll
O23 - Service: SyGateService - Sygate technologies Inc. - C:\Program Files\Sygate\SHN\sgserv.exe


scan voor de zekerheid de boven genoemde bestanden ff hier http://virusscan.jotti.dhs.org
Dan weet je zeker of het troep is. Sygate lijkt mij nl ook een firewall alleen de melding added bij een worm baart mij zorgen. bron: http://www.hijackthis.de

Grutte Pier fansels

donderdag 23 december 2004 07:49

Acties:
  • Falcon
  • Registratie: Februari 2000
  • Laatst online: 21-11 10:36

Falcon

DevOps/Q.A. Engineer

Probeer anders deze spyware te verwijderen via Hitmanpro. Dit is een verzameling van programma's die automatisch worden gestart en die je hele pc nakijkt. Ook op virussen.

www.hitmanpro.nl

"We never grow up. We just learn how to act in public" - "Dyslexie is a bitch"

donderdag 23 december 2004 07:59

Acties:
  • Notna
  • Registratie: November 2002
  • Laatst online: 21:11

Notna

Moderator General Chat / Wonen & Mobiliteit

Where are you?®

Meegaand wat er met hierboven gemeld wordt:

• CTRL+ALT+DEL en processen die je vreemd vindt/ die van de spyware zijn eventueel afsluiten
• Verwijderen in Software
• In mapopties ook verborgen bestanden laten weergeven, vervolgens zoeken naar het desbetreffende spyware en alles verwijderen ervan
• Bij start -->run-->regedit intypen en vervolgens alle entries verwijderen die met de spyware te maken hebben
• Wederom bij start -->run-->msconfig-->startup kijken of je spyware toevallig meelaad tijdens je windows boot.
• Voor de zekerheid alle anti- spyware proggies nog een keer draaien (wel allemaal ff updaten :P )
• Rebooten

Als het dan nog niet werkt dan weet ik het ook niet meer :P

Xbox Live ID:Notna8310

donderdag 23 december 2004 08:35

Acties:

Verwijderd

Topicstarter
Ik ben nu op mijn werk, maar als ik thuis kom ga ik al jullie tips proberen. Alvast bedankt, je hoort nog van me hoe alles is gegaan :)

donderdag 23 december 2004 10:10

Acties:
  • KermieCow
  • Registratie: Februari 2002
  • Laatst online: 28-11 09:33

KermieCow

to MOoh or not to MOoh...

Wat bij mij altijd geweldig werkt is hijackthis draaien in veilige modus.. Dan worden al die extra dll en rommel niet geladen, zo starten ze ook niet automatisch opnieuw op zodra je ze verwijdert..

vrijdag 24 december 2004 08:37

Acties:

Verwijderd

Topicstarter
Het is me gelukt, ik heb alles wat met wnim.dll te maken heeft verwijderd, en nu geen last meer van. Alleen nu kom ik niet meer op internet. Ik ben altijd verbonden aan mijn vriendins computer. Maar nu lukt het dus niet meer. Ik kan wel gewoon op haar computer komen, maar internet lukt half. Ik kan op bepaalde sites komen, maar de meeste niet.
Maar even de search gebruiken :)

vrijdag 24 december 2004 13:44

Acties:
  • magnifor
  • Registratie: Februari 2004
  • Niet online

magnifor

Misschien kun je dit proberen:

http://www.tacktech.com/display.cfm?ttid=257

vrijdag 24 december 2004 20:50

Acties:
  • Grom
  • Registratie: Juli 2002
  • Laatst online: 25-11-2024

Grom

lief hè!

Haal een nieuw hijacklog eens door www.hijackthis.de en kijk wat daar uit komt.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq