Mededeling

Collapse
No announcement yet.

Help

Collapse
X
  •  
  • Filter
  • Tijd
  • Show
Clear All
new posts

  • Help

    Ik wordt helemaal gek van de "rommel"op mijn pc, heb al diverse virus scan e.d. gedraaid, helaas mijn startpagina blijft steeds terug springen. Kan iemand mijn misschien helpen?

    B.v.d.

    Hier mijn log:

    Logfile of HijackThis v1.97.7
    Scan saved at 14:48:30, on 5-11-2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\IsUn0413.exe:iuvgd
    C:\Program Files\Norton AntiVirus\SAVScan.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\carpserv.exe
    C:\WINDOWS\System32\RunDll32.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
    C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
    C:\Program Files\Common Files\Symantec Shared\NMain.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\ntjn32.exe
    C:\unzipped\hjt\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\fuyhp.dll/sp.html#10213
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\fuyhp.dll/sp.html#10213
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\fuyhp.dll/sp.html#10213
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\fuyhp.dll/sp.html#10213
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\fuyhp.dll/sp.html#10213
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\fuyhp.dll/sp.html#10213
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\fuyhp.dll/sp.html#10213
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - TELE2Internet
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: (no name) - {4102E07E-8BB3-6911-557D-FB27626D0BEB} - C:\WINDOWS\addjs.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
    O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [ntjn32.exe] C:\WINDOWS\ntjn32.exe
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan
    O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
    O4 - Global Startup: hp psc 1000 series.lnk = ?
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O9 - Extra button: Onderzoek (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A45A0E96-14B0-4D6A-91CE-6F1B8BD67127}: NameServer = 195.241.77.54 195.241.77.53

  • #2
    Hi Jos H,

    Dit is een speciale versie van CoolWebSearch, die moeilijker te verwijderen is!

    Download GetService.zip. Pak dit uit naar een nieuwe map op de desktop. Dubbelklik op GetService.bat om te draaien. Er wordt een teksbestand gemaakt in dezelfde map met de naam GetService.txt, Hierna wordt deze geopend.
    GetService.txt is een opsomming van alle actieve services. Kopieer en plaat de inhoud van dit bestand in je volgende post.
    Vanaf het moment dat je hebt gepost tot aan het antwoord kan je je computer NIET opnieuw opstarten of inloggen onder een andere naam. Als je dat doet verandert de service van naam en zal de oplossing niet meer werken!

    Comment


    • #3
      Hi Bobby,

      Ik heb gebrobeerd om een nieuwe log te plaatsen, echter hij is veel te groot om te plaatsen. Wat kan ik hier aan doen?

      Groeten,

      Jos H.

      Comment


      • #4
        Oorspronkelijk geplaatst door Jos H
        Hi Bobby,

        Ik heb gebrobeerd om een nieuwe log te plaatsen, echter hij is veel te groot om te plaatsen. Wat kan ik hier aan doen?
        Is het TXT bestandje te groot of de hoeveelheid tekst te lang?
        Grtz Lex.

        Kijk ook even naar ==> de huisregels <==, dit kan zeer verhelderend werken.
        Moederbord / Processor; Gigabyte GA-X58 Extreme / Core i7 920 2,66GHz @3,67GHz.
        Koeler; Thermal right 120 Ultra Extreme met Sharkoon 120x120x25mm fan.
        Geheugen / Harddisks; Dominator GT 6GB 1600MHz in Triple-channel / OCZ Agility 2 60GB (SSD), OCZ Agility 2 120GB (SSD).
        Videokaarten / Monitoren; 2x Club3d GTX460 Overclocked Edition in SLI / 2x Samsung 2253BW (22 inch).
        Branders; Plextor 820SA.
        Speakers; Logitech z5500.
        Toetsenbord / Muis; Logitech G15 / G5.

        Comment


        • #5
          De uitvoer van GetServices is inderdaad erg groot. Ik weet niet of er maximale groottes zijn die een post kan bevatten, maar probeer de tekst anders gewoon te kopiëren en plakken in deze thread.

          Comment


          • #6
            kan het txt je niet toevoegen als bijlagen


            groeten aart

            Comment


            • #7
              help

              Oorspronkelijk geplaatst door aartvg
              kan het txt je niet toevoegen als bijlagen


              groeten aart
              Ik heb gebrobeert om TXT als bestandje mee te sturen.
              Ik hoop dat het is gelukt,

              Groeten,

              Jos H

              Comment


              • #8
                Hi Jos,

                SERVICE_NAME: O?’ŽrtñåȲ$Ó
                (null)
                TYPE : 20 WIN32_SHARE_PROCESS
                START_TYPE : 2 AUTO_START
                ERROR_CONTROL : 0 IGNORE
                BINARY_PATH_NAME : C:\WINDOWS\IsUn0413.exe:iuvgd /s
                LOAD_ORDER_GROUP :
                TAG : 0
                DISPLAY_NAME : Network Security Service
                DEPENDENCIES :
                SERVICE_START_NAME: LocalSystem
                Er is een nieuwere versie van HijackThis dan dat je gebruikt. Ga naar dit adres om deze te downloaden.
                http://www.nucia.eu/ne/downloads/hijackthis/index.html

                Spyware Begone staat op de Spyware Warrior's Rogue List. Verwijder dit programma!
                1. Download AboutBuster 3.0

                  Pak dit uit naar je Bureaublad maar start het nog niet. Dan doen we later in veilige modus.
                2. Print deze instructies zodat je ze bij de hand hebt. Een aantal dingen moeten gedaan worden in veilige mode en je mag niet online zijn. Internet Explorer moet gesloten blijven tijdens het werk.
                3. Zorg dat je verborgen bestanden kan zien. Hoe toon ik verborgen bestanden?
                4. Klik op "Start" ->"Uitvoeren..." en type "Services.msc" (zonder aanhalingstekens) en klik "Ok".

                  Zoek in de lijst een service genaamd "Network Security Service". Als je deze vindt, dubbelklik hierop. In het volgende window klik je op de "Stoppen" knop, verander "Opstarttype:" naar Uitgeschakeld. Klik op "Toepassen", "Ok" en sluit alle open windows.
                5. Start je computer in beveiligde modus. Hoe start ik mijn computer in veilige modus?
                6. Start HijackThis, klik op "Scan" and kruis de volgende onderdelen aan.


                  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\fuyhp.dll/sp.html#10213
                  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\fuyhp.dll/sp.html#10213
                  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\fuyhp.dll/sp.html#10213
                  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\fuyhp.dll/sp.html#10213
                  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\fuyhp.dll/sp.html#10213
                  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
                  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\fuyhp.dll/sp.html#10213
                  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\fuyhp.dll/sp.html#10213

                  O2 - BHO: (no name) - {4102E07E-8BB3-6911-557D-FB27626D0BEB} - C:\WINDOWS\addjs.dll

                  O4 - HKLM\..\Run: [ntjn32.exe] C:\WINDOWS\ntjn32.exe


                  Sluit alle programma's, inclusief browsers, behalve HijackThis. Klik op "Fix checked".

                  Mappen en bestanden met een tilde (~) betekenen dat er een map/bestand is dat begint met de 6 letters voor de tilde, houdt rekening ermee dat er spaties in kunnen staan. Als er meer dan één is, post dan wat gevonden is. Verwijder niet!

                  Verwijder de volgende bestanden in rood (het kan zijn dat ze al verwijderd zijn):

                  C:\WINDOWS\system32\fuyhp.dll
                  C:\WINDOWS\addjs.dll
                  C:\WINDOWS\ntjn32.exe

                  Verwijder de volgende bestanden in rood (het kan zijn dat ze al verwijderd zijn):

                  c:\freescan

                7. Dubbelklik op AboutBuster die je al eerder had gedownload. Volg de instructies die het programma geeft en laat het twee scans doen (hij zal er zelf om vragen). Als dit is gedaan, klik op de "Save log" knop. Ik wil straks een kopie van deze log als alles gedaan is.
                8. Scan met AdAware SE en laat het alles verwijderen wat het vindt.
                9. Verwijder alle tijdelijke bestanden en .tif-bestanden. Klik op "Start" -> "Uitvoeren..." en type "cleanmgr". Klik op "Ok". Laat het je systeem scannen voor de lijst van te verwijderen bestanden. Kruis deze 3 aan en klik op "Ok'om te verwijderen:

                  Tijdelijke bestanden
                  Tijdelijke Internet-bestanden
                  Prullenbak
                10. Herstart je computer in gewone mode.
                11. LET OP: Tot vierr bestanden kunnen zijn verwijderd van je systeem door CoolWebSearch. Deze moeten worden vervangen.

                  Control.exe
                  Shell.dll
                  SDHelper.dll (als je Spybot Search & Destroy gebruikt)
                  Hosts bestand (geen extension)

                  Als control.exe, shell.dll of SDHelper ontbreekt.
                  Ga hierheen http://spywareinfo.com/~merijn/winfiles.html en download het benodigde bestand.

                  Bij een missend Hosts bestand:
                  Download Hoster
                  Klik op "Restore Original Hosts" en klik op "Ok"
                  Verlaat het programma.
                  N.b: als je een ander Hosts bestand gebruiktezal je de ontbrekende onderdelen zelf moeten toevoegen!

                  Als je Spybot S&D had geïnstalleerd en SDHelper.dll is weg, haal hier een vervanger:
                  http://www.spywareinfo.com/~merijn/w....html#sdhelper. Kopieer het bestand naar de map waar je SPybot S&D had geïnstalleerd (standaard is dit C:\Program Files\Spybot - Search & Destroy)
                12. Ook nog: Check je ActiveX beveiligingsinstellingen. Deze zijn mogelijk verandert door deze variant van CWS naar het toelaten van ALLE ActiveX!! Als deze zijn verandert, zet dan de Beveiligingsinstellingen als aanbevolen.

                  ActiveX-besturingselementen en -invoegtoepassingen:
                  • ActiveX-besturingselementen met handtekening downloaden(vragen)
                  • ActiveX-besturingselementen zonder handtekening downloaden (Uitschakelen)
                  • ActiveX-besturingselementen die niet zijn gemarkeerd als veilig initialiseren en uitvoeren in scripts (Uitschakelen)
                  • ActiveX-besturingselementen en -invoegtoepassingen uitvoeren (Inschakelen) (Dit gaat eigenlijk over Java en Flash, niet over ActiveX)
                  • ActiveX-besturingselementen die zijn gemarkeerd als veilig voor uitvoeren van scripts (Vragen)


                  Laat je computer scannen op het volgende adres. Laat het alles weghalen wat het vindt.
                  Trend Micro (PC-Cillin) - Free On-line Scan

                Als dit allemaal is gedaan, post dan een nieuwe HijackThis log en de log van AboutBuster.
                Last edited by Bobbi Flekman; 08-11-04, 16:39.

                Comment


                • #9
                  help vervolg

                  Hi Bobbi,

                  Ondanks dat het m.i. niet helemaal lukte zoals je schreef, heb ik toch het idee dat ik
                  de speciale versie van CoolWebSearch kwijt ben ! Hierbij de gevraagde logs:

                  Logfile of HijackThis v1.98.2
                  Scan saved at 21:40:32, on 9-11-2004
                  Platform: Windows XP SP1 (WinNT 5.01.2600)
                  MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

                  Running processes:
                  C:\WINDOWS\System32\smss.exe
                  C:\WINDOWS\system32\winlogon.exe
                  C:\WINDOWS\system32\services.exe
                  C:\WINDOWS\system32\lsass.exe
                  C:\WINDOWS\system32\svchost.exe
                  C:\WINDOWS\System32\svchost.exe
                  C:\WINDOWS\system32\spoolsv.exe
                  C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
                  C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
                  C:\Program Files\Norton AntiVirus\navapsvc.exe
                  C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
                  C:\WINDOWS\System32\nvsvc32.exe
                  C:\Program Files\Norton AntiVirus\SAVScan.exe
                  C:\WINDOWS\System32\svchost.exe
                  C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
                  C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                  C:\WINDOWS\Explorer.EXE
                  C:\WINDOWS\System32\carpserv.exe
                  C:\WINDOWS\System32\RunDll32.exe
                  C:\WINDOWS\System32\RUNDLL32.EXE
                  C:\Program Files\Messenger\msmsgs.exe
                  C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
                  C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
                  C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
                  C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
                  C:\Program Files\Internet Explorer\iexplore.exe
                  C:\Program Files\Outlook Express\msimn.exe
                  C:\WINDOWS\System32\wuauclt.exe
                  C:\Program Files\Internet Explorer\iexplore.exe
                  C:\WINDOWS\System32\wuauclt.exe
                  C:\Documents and Settings\Gebruiker\Bureaublad\Nieuwe map\HijackThis\HijackThis.exe

                  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\fuyhp.dll/sp.html#10213
                  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\fuyhp.dll/sp.html#10213
                  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
                  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\fuyhp.dll/sp.html#10213
                  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - TELE2Internet
                  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
                  R3 - Default URLSearchHook is missing
                  O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
                  O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
                  O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
                  O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
                  O4 - HKLM\..\Run: [CARPService] carpserv.exe
                  O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
                  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
                  O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
                  O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
                  O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
                  O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan
                  O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
                  O4 - Global Startup: hp psc 1000 series.lnk = ?
                  O4 - Global Startup: hpoddt01.exe.lnk = ?
                  O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
                  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
                  O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
                  O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB
                  O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
                  O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
                  O17 - HKLM\System\CCS\Services\Tcpip\..\{A45A0E96-14B0-4D6A-91CE-6F1B8BD67127}: NameServer = 130.244.127.161 130.244.127.169



                  Scanned at: 21:58:12 on: 8-11-2004


                  -- Scan 1 ---------------------------
                  About:Buster Version 3.0
                  Reference List : 15

                  No ADS found on system
                  Removed 2 Random Key Entries
                  Attempted Clean Of Temp folder.
                  Removed LEGACY___NS_Service_3 Key
                  Pages Reset... Done!

                  -- Scan 2 ---------------------------
                  About:Buster Version 3.0
                  Reference List : 15

                  No ADS found on system
                  Removed 2 Random Key Entries
                  Attempted Clean Of Temp folder.
                  Removed LEGACY___NS_Service_3 Key
                  Pages Reset... Done!


                  Groeten Jos H

                  Comment


                  • #10
                    Hi Jos H,
                    Ondanks dat het m.i. niet helemaal lukte zoals je schreef, heb ik toch het idee dat ik de speciale versie van CoolWebSearch kwijt ben !
                    Ik zie nog steeds onderdelen van CoolWebSearch maar de volgende log zal het uitwijzen. Wat is niet helemaal gelukt?

                    Je hebt niet SpywareBegone verwijderd! Doe dit alsnog!

                    Start HijackThis, klik op "Scan" and kruis de volgende onderdelen aan.

                    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\fuyhp.dll/sp.html#10213
                    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\fuyhp.dll/sp.html#10213
                    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\fuyhp.dll/sp.html#10213

                    R3 - Default URLSearchHook is missing

                    O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan


                    Sluit alle programma's, inclusief browsers, behalve HijackThis. Klik op "Fix checked".

                    Start je computer in beveiligde modus. Hoe start ik mijn computer in veilige modus?

                    Zorg dat je verborgen bestanden kan zien. Hoe toon ik verborgen bestanden?

                    Mappen en bestanden met een tilde (~) betekenen dat er een map/bestand is dat begint met de 6 letters voor de tilde, houdt rekening ermee dat er spaties in kunnen staan. Als er meer dan één is, post dan wat gevonden is. Verwijder niet!

                    Verwijder de volgende bestanden in rood (het kan zijn dat ze al verwijderd zijn):

                    C:\WINDOWS\system32\fuyhp.dll

                    Verwijder de volgende mappen in rood (het kan zijn dat deze al verwijderd zijn):

                    c:\freescan

                    Herstart de computer en post een nieuwe log in deze thread.

                    Comment


                    • #11
                      Hi Bobby,

                      Ik kan SpywareBegone nergens vinden en daarom ook niet weghalen. Waar vindt ik dit programma of file? Ooh onder software is hij niet te vinden.
                      De gevraagde onderdelen heb ik aangekruist en weg gehaald.
                      de roden bestanden en mappen heb ik niet aangetroffen.
                      Ook de vorige keer kon ik SpywareBegone niet vinden. Hierbij mijn log:

                      Logfile of HijackThis v1.98.2
                      Scan saved at 18:15:02, on 11-11-2004
                      Platform: Windows XP SP1 (WinNT 5.01.2600)
                      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

                      Running processes:
                      C:\WINDOWS\System32\smss.exe
                      C:\WINDOWS\system32\winlogon.exe
                      C:\WINDOWS\system32\services.exe
                      C:\WINDOWS\system32\lsass.exe
                      C:\WINDOWS\system32\svchost.exe
                      C:\WINDOWS\System32\svchost.exe
                      C:\WINDOWS\system32\spoolsv.exe
                      C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
                      C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
                      C:\Program Files\Norton AntiVirus\navapsvc.exe
                      C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
                      C:\WINDOWS\System32\nvsvc32.exe
                      C:\Program Files\Norton AntiVirus\SAVScan.exe
                      C:\WINDOWS\System32\svchost.exe
                      C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
                      C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
                      C:\WINDOWS\Explorer.EXE
                      C:\WINDOWS\System32\carpserv.exe
                      C:\WINDOWS\System32\RunDll32.exe
                      C:\WINDOWS\System32\RUNDLL32.EXE
                      C:\Program Files\Messenger\msmsgs.exe
                      C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
                      C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
                      C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
                      C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
                      C:\WINDOWS\System32\HPZipm12.exe
                      C:\Documents and Settings\Gebruiker\Bureaublad\Nieuwe map\HijackThis\HijackThis.exe
                      C:\WINDOWS\System32\wuauclt.exe

                      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
                      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - TELE2Internet
                      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
                      O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
                      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
                      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
                      O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
                      O4 - HKLM\..\Run: [CARPService] carpserv.exe
                      O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
                      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
                      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
                      O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
                      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
                      O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
                      O4 - Global Startup: hp psc 1000 series.lnk = ?
                      O4 - Global Startup: hpoddt01.exe.lnk = ?
                      O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
                      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
                      O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
                      O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB
                      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
                      O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab

                      Groeten;

                      Jos H

                      Comment


                      • #12
                        Hi Jos H,

                        Ik kan SpywareBegone nergens vinden en daarom ook niet weghalen. Waar vindt ik dit programma of file? Ooh onder software is hij niet te vinden.
                        De gevraagde onderdelen heb ik aangekruist en weg gehaald.
                        de roden bestanden en mappen heb ik niet aangetroffen.
                        Ook de vorige keer kon ik SpywareBegone niet vinden.
                        Ze zijn niet teruggekomen dus het is goed!

                        Deze log is schoon!

                        Dit is de tijd om beveiliging op te zetten tegen toekomstige aanvallen. Lees het artikel achter deze link
                        "How did I get infected" (Engels). Als je ze niet al hebt, je hebt nodig een uptodate antivirus, een goede firewall, bijvoorbeeld Kerio Personal Firewall of ZoneLabs Zone Alarm, een spyware blocker als SpywareBlaster en ook IE-Spyads en spyware detectie (Ad-aware SE en SpyBot S+D). Deze hebben allemaal goede gratis versies beschikbaar... wees op je hoede voor beveiligingssoftware die adverteert in popups of andere opdringerige manieren. Deze zijn gewoonlijk niet alleen slecht, vaak hebben ze andere troep in zich...

                        In plaats van Internet Explorer, gebruik een andere browser zoals Opera, Mozilla of Firefox.

                        En laatst, maar zeker niet minst, hou Windows en Internet Explorer up-to-date met de laatste beveilgings patches die je computer kan beveiligen.

                        Dit kan je doen door naar http://windowsupdate.microsoft.com/ te gaan en de aanwijzingen op te volgen. Als je Windows XP draait, zorg dat je update naar SP-2!

                        Post maar terug als er nog steeds problemen zijn.

                        Comment

                        Sorry, you are not authorized to view this page
                        Working...
                        X