[spyware] Icon's niet te verwijderen* - Privacy en beveiliging

zaterdag 1 januari 2005 20:37

Acties:

Melpomene

Topicstarter

Afbeeldingslocatie: http://picserver.org/view_image.php/DF01MM8RC7PR

+
een ie startpagina hacker

icons zijn niet weg te krijgen, rechtermuisknop werkt niet en je kunt ze niet wegkrijgen.

Als pc afsluit geeft hij soms een fout met aim01.exe (die na onderzoek in de windows/prefetch folder staat)

Verder heb ik zo'n beetje alle ad-ware removers erop gezet maar die kunnen niets vinden: Ad-Aware, search and destroy, spy-sweeper enz...

Hijack This spuugt dit uit:
Logfile of HijackThis v1.99.0
Scan saved at 20:36:23, on 1-1-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsgSys.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\NavNT\vptray.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Guus\Local Settings\Temp\Tijdelijke map 1 voor hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ukisrvgebenlww...ORM4nj9P9TbrlPHv5Q8l.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ovzybcswstfhcl...uHs90zijryuB/YMuQHyY.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.mlakckfnng.net...eZJ938mVc8LXyFTJQVwZ.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/EnterOne/Portal/portal.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4DD8C832-5E50-7B54-50C5-75ADC4D9646D} - C:\DOCUME~1\Lilian\APPLIC~1\WIPEFI~1\live bolt.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [drawextrathekeep] C:\Documents and Settings\All Users\Application Data\flagdaledrawextra\Plus Ace.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Heck Grid] C:\DOCUME~1\Guus\APPLIC~1\Gpltime\Close proxy.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.../MineSweeper.cab30149.cab
O16 - DPF: {6211AC26-A1B4-422A-AC52-1E70B7D24465} (FileSharingCtrl Class) - http://appdirectory.messe...ng/nl/filesharingctrl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn...rStatsClient.cab30149.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.biblioservice.net/msrdp.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn...aireShowdown.cab31267.cab
O23 - Service: Adobe LM Service - Unknown - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Client - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StyleXPService - Unknown - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

Heb zelf al gezocht maar ben ten einde raad en vind het nu wel irritant worden.
Icons komen terug op elke account en springen ineens ertussen. Dat wil betekenen dat eerst dus windows gewoon wordt geladen en als hij klaar "lijkt" te zijn dat die icons erin springen. met de search kon ik niets vinden

Gregor van Egdom Krekr

zaterdag 1 januari 2005 20:52

Acties:

Daos

Heb je CWShredder al geprobeerd?

http://cwshredder.net/bin/CWShredder.exe

[ Voor 48% gewijzigd door Daos op 01-01-2005 20:57 ]

zaterdag 1 januari 2005 20:55

Acties:

Possible

Dit komt door MSN plus je hebt namelijk geaccepteerd om de '"sponser'" te installeren erbij. Ik had hetzelfde probleem en had andere versie geinstalleerd van msn toen was het weer weg

[ Voor 42% gewijzigd door Possible op 01-01-2005 20:56 ]

Gasloos sinds 2020 - 3240wp-Z Live 5100wp-W Live 8340wp-Merged Live Altantic Explorer 200 Live

zaterdag 1 januari 2005 21:03

Acties:

Verwijderd

En die blijft terugkomen !

het is een bitch dit type spyware.. Ben er zelf ook een paar dagen mee aan het worstelen geweest bij een bedrijfscomputer.

Kijk in application data folder en daar moeten je exe-jes staan die dit steeds terugbrengen, Zet tevens een firewall neer waarmee je specifiek poorten kan afsluiten, Er wordt ondertussen gewoon lekker doorgedownload met spyware...

Om verdere ladingen te voorkomen kan je het beste een dos delete doen, omdat je als je met je verkenner erop opent dan wordt ie in feite al gestart..

Het gekke bij deze was ook dat er altijd een instantie van iexplorer draaide (internet ex..) en op het moment dat je die kilde heel snel een exe ertussen kwam die het zaakje weer opstarte.

Deze exejes kan je in die bovenstaande mappen vinden.

[ Voor 79% gewijzigd door Verwijderd op 01-01-2005 21:05 ]

zaterdag 1 januari 2005 21:04

Acties:

Verwijderd

ooowwww.... Daarom deed mijn 2e muisknop het niet meer op de pc boven!!

Nee.. Je mag lachen, maar tis serieus

[ Voor 4% gewijzigd door Verwijderd op 01-01-2005 21:05 ]

zaterdag 1 januari 2005 21:08

Acties:

Verwijderd

Hitman pro

[ Voor 4% gewijzigd door Verwijderd op 01-01-2005 21:08 ]

zaterdag 1 januari 2005 21:10

Acties:

Verwijderd

lol staat gewoon in je lijstje

O4 - HKCU\..\Run: [Heck Grid] C:\DOCUME~1\Guus\APPLIC~1\Gpltime\Close proxy.exe

en dees

O4 - HKLM\..\Run: [drawextrathekeep] C:\Documents and Settings\All Users\Application Data\flagdaledrawextra\Plus Ace.exe

deze 2 zorgen er ook voor dat je startpagina constant verandert wordt tevens je search engine, Ook zorgen ze ervoor je desktop kleurrijk te houden

adaware en spybot herkende ze niet, maar wist wel zeker dat het hier aan lag.

Suc6 met je verwijdering van

[ Voor 78% gewijzigd door Verwijderd op 01-01-2005 21:15 ]

zaterdag 1 januari 2005 22:34

Acties:

leon1e

Ik verplaats dit topic even naar "Beveiliging & Virussen" aangezien vragen over spyware daar thuis horen

.

zondag 2 januari 2005 00:53

Acties:

_Badeend_

ik had ook last van deze rotzooi, maar hitman pro heeft het weg kunnen halen. dus gewoon de nieuwste versie hiervan downloaden:

http://www.freedownloads.nl/hitman_pro.htm

en dan moet het goedkomen.

There's no savegame in real life...

zondag 2 januari 2005 10:28

Acties:

Kr3Kr

Melpomene

Topicstarter

Verwijderd schreef op zaterdag 01 januari 2005 @ 21:10:
lol staat gewoon in je lijstje

O4 - HKCU\..\Run: [Heck Grid] C:\DOCUME~1\Guus\APPLIC~1\Gpltime\Close proxy.exe

en dees

O4 - HKLM\..\Run: [drawextrathekeep] C:\Documents and Settings\All Users\Application Data\flagdaledrawextra\Plus Ace.exe

deze 2 zorgen er ook voor dat je startpagina constant verandert wordt tevens je search engine, Ook zorgen ze ervoor je desktop kleurrijk te houden

adaware en spybot herkende ze niet, maar wist wel zeker dat het hier aan lag.

Suc6 met je verwijdering van

Je had helemaal gelijk, het stond in die mappen en nog overduidelijk ook met namen als hackdesktop.exe, placeicons,exe

tnx voor de info!

Nu is het er allemaal netjes af en heb ik norton antivirus en hitman pro draaien maa dan blijft er nog één probleem over waar we misschien wel een ander topic voor moeten starten...namelijk:

zusjes + msnplus + het downloaden van spyware meuk zonder dat ze het zelf doorhebben + firewalls helpen niet omdat ze bij een waarschuwing gewoon op ja drukken

wat is daar aan te doen?

dan kun je beveiligen wat je wilt maar het blijft een "fout tussen gebruiker en scherm" probleem

Gregor van Egdom Krekr

zondag 2 januari 2005 10:32

Acties:

Neophyte

it's back....

Zusjes geen install rechten op de pc geven

Senri no michi mo ippo kara

zondag 2 januari 2005 11:07

Acties:

McKaamos

Master of the Edit-button

Neophyte schreef op zondag 02 januari 2005 @ 10:32:
Zusjes geen install rechten op de pc geven

zusjes gewoon een eigen PC laten aanschaffen om in de soep te laten lopen

Iemand een Tina2 in de aanbieding?

zondag 2 januari 2005 14:33

Acties:

Verwijderd

Ik ben blij dat ik in mijn jonge jaren geen internet had, want toen was ik ook nog naïef.

Ik heb wel een grote broer die ik aan zijn kop zeur(de).

zondag 2 januari 2005 14:41

Acties:

Glashelder

Anti Android

Dit ding staat gewoon tussen de plugins van Internet Explorer (Extra->Invoegtoepassingen). Als je die uitschakeld (en het opstart bestand (uitvoeren->msconfig)) dan ben je ervan af.

Dit kan je zonder tools van je PC verwijderen.

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

zondag 2 januari 2005 16:48

Acties:

Verwijderd

Ja en welke plugins ook alweer?

Ik moest tot aan toe nav plugin verwijderen en toen was alles opgelost... Heel gek..

verders draait dat bedrijfssysteempje ook weer zonder het helemaal te hebben geformateerd.

zondag 2 januari 2005 16:54

Acties:

Glashelder

Anti Android

Bij de PC waar ik hem aantrof stond hij als: "film blib.exe". Valt wel op tussen de rest

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

zondag 2 januari 2005 19:20

Acties:

Kr3Kr

Melpomene

Topicstarter

het is ondertussen al opgelost hoor

zusje geen install rechten geven kan ik ook niet doen omdat het een family computer is, als zij wat wil installeren moet ze dat kunnen doen, alleen het irritante is dat ze altijd op ja drukt, welk venster ze ook voor der neus krijgt

Gregor van Egdom Krekr

zondag 2 januari 2005 19:58

Acties:

Rafe

Spyware voorkomen: kijk eens in [rml][Howto] Spyware scannen en opruimen[/rml].

maandag 3 januari 2005 00:21

Acties:

Glashelder

Anti Android

Kr3Kr schreef op zondag 02 januari 2005 @ 19:20:
het is ondertussen al opgelost hoor

zusje geen install rechten geven kan ik ook niet doen omdat het een family computer is, als zij wat wil installeren moet ze dat kunnen doen, alleen het irritante is dat ze altijd op ja drukt, welk venster ze ook voor der neus krijgt

Weet ik maar dit is een forum met zoek functie.

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc