Verschillende (terugkerende!) spyware - Privacy en beveiliging

donderdag 30 december 2004 18:16

Acties:

Topicstarter

Hallo, ik zit met het volgende probleem.

Ik heb heel erg veel spyware om de een of andere reden. Ik heb Spybot en Ad-aware er al heel vaak overheen laten gaan. Maar dan haalt hij wat spul weg maar een paar dingen blijven terug komen zoals:

- Een map met de naam ''EnterOne''. (Deze staat steeds in C:/programfiles)
- Deze (klikbaar) icoontjes op het bureaublad die ik niet kan weghalen. Maar je wordt doorgelinkt naar een site. Daar staat op dat je een universele uninstaller kan downloaden, maar als ik dit doe en uninstal staan ze nog geen 10 sec. later (letterlijk!) weer terug op mijn blad.

Wie o wie kan mij helpen?

[ Voor 8% gewijzigd door Chalk op 30-12-2004 18:17 ]

donderdag 30 december 2004 18:20

Acties:

BasieP

info please!

we kunnen niet gokken natuurlijk he

probeer deze faq eens uitvoerig te lezen
Beveiliging en Virussen - FAQ
en post dan wat meer info, denk aan hijackthis logs en systemspecs enzo (vooral software)

edit: wel faq linkje plakken bas

[ Voor 22% gewijzigd door BasieP op 30-12-2004 18:20 ]

This message was sent on 100% recyclable electrons.

donderdag 30 december 2004 18:20

Acties:

Sassie

Heb je al eens in veilige modus geprobeerd te scannen?
Probeer anders eens Hitman Pro - Ultimate Spyware Removal Tool , dat zijn een aantal anti-spyware tooltjes samengebundeld.

donderdag 30 december 2004 18:24

Acties:

dusty

Celebrate Life!

Het is trouwens een switch dialer.

Informatie hier

Hoe verwijderen:
1. Beëindig het actieve proces.
Ga naar Start - Configuratiescherm - Software - Programma's wijzigen en verwijderen.
Deïnstalleer Switch.

2. Lukt de uninstallfunctie niet, gebruik dan HijackThis.
Actieve proces beëindigen, zoek de bewuste entries op en laat ze door HijackThis repareren.

Verwijder in veilige modus de exe-file en ook de map in c:\Program Files\ waarin Portal zich bevindt.

Back In Black!
"Je moet haar alleen aan de ketting leggen" - MueR

donderdag 30 december 2004 20:12

Acties:

Chalk

Topicstarter

Ik heb Hijack This geprobeerd

dit komt er uit:

code:

Logfile of HijackThis v1.98.0
Scan saved at 18:43:25, on 30-12-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
M:\Norton\Norton AntiVirus\navapsvc.exe
M:\Norton\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
M:\Norton\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Pinnacle\Shared Files\remoterm.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\Trust\305KS\Mouse\mouse32a.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Trust\305KS\Keyboard\KbdAp32A.exe
C:\Program Files\MSN Messenger\MsgPlus1.exe
M:\Winamp\winampa.exe
C:\WINDOWS\system32\ezSP_Px.exe
M:\MusicMatch\mmtask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
M:\Psion\Psconsv.exe
m:\Psion\Elogerr.exe
C:\WINDOWS\system32\winlogon.exe
C:\Program Files\Internet Explorer\iexplore.exe
N:\Maxthon\MYIE2\MyIE.exe
C:\WINDOWS\system32\cmd.exe
N:\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {8C3BBDC1-9212-433C-94F4-B2FEDCAAF82D} - C:\DOCUME~1\Paul\APPLIC~1\FIVEMP~1\Flawrdr.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - M:\Norton\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - M:\Norton\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PinnacleRemote] c:\Program Files\Pinnacle\Shared Files\remoterm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Program Files\Trust\305KS\Keyboard\MMKEYBD.EXE
O4 - HKLM\..\Run: [FLMBROWSEMOUSE] C:\Program Files\Trust\305KS\Mouse\mouse32a.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MSN Messenger\MsgPlus1.exe"
O4 - HKLM\..\Run: [WinampAgent] M:\Winamp\winampa.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [mmtask] M:\MusicMatch\mmtask.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli Service\AdmilliServ.exe
O4 - HKLM\..\Run: [NvCplD] C:\WINDOWS\system32\ntcpl.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MSN Messenger\MsgPlus1.exe" /WinStart
O4 - HKCU\..\Run: [InstantTray] c:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = M:\Office2000\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: PsiWin 2.3 Connection Server.lnk = M:\Psion\Psconsv.exe
O8 - Extra context menu item: &Download with &DAP - N:\DOWNLO~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - N:\DOWNLO~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O18 - Filter: application/xhtml+xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll

donderdag 30 december 2004 21:42

Acties:

Sassie

Ik kom MessengerPlus tegen, heb je die met of zonder sponsor geinstalleerd? De sponsor is namelijk spyware. Als je het niet zeker weet is het misschien het beste om MessengerPlus te deinstalleren en als je het wilt blijven gebruiken opnieuw te installeren, maar dan zonder sponsor.

Ik heb je log door www.hijackthis.de gehaald en vind deze dingen vreemd:

code:

1	O2 - BHO: (no name) - {8C3BBDC1-9212-433C-94F4-B2FEDCAAF82D} - C:\DOCUME~1\Paul\APPLIC~1\FIVEMP~1\Flawrdr.exe

Ik heb geen idee wat en waarvan het is (google vindt ook niets), als jij dat ook niet weet is het misschien raadzaam om die Flawrdr.exe eens door http://www.kaspersky.com/scanforvirus of http://virusscan.jotti.dhs.org/ te 'gooien'.

Verder kunnen deze wel weg

code:

O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli Service\AdmilliServ.exe  
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) 
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

AdmilliServ is trouwens ook verdacht.