Mededeling

Collapse
No announcement yet.

Log niemaro

Collapse
X
  •  
  • Filter
  • Tijd
  • Show
Clear All
new posts

  • Log niemaro

    Ik weet het het is een zooi(tje) maar dat komt omdat ik er nog niet erg veel van snap maar ik doe mijn best. Startpagina komt steeds met een adresbalk die ik niet wil hebben veranderen gaat niet want komt steeds weer terug .
    Wat moet ik doen ??

    Logfile of HijackThis v1.98.2
    Scan saved at 9:24:09, on 23-11-2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\avmon.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\Documents and Settings\nicolaas\Application Data\gn?r.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\WINDOWS\System32\dllhost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\tlntsvr.exe
    C:\Documents and Settings\nicolaas\Mijn documenten\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://full-search.biz
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://full-search.biz
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ykvjd.dll/sp.html#37049
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ykvjd.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ykvjd.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ykvjd.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ykvjd.dll/sp.html#37049
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ykvjd.dll/sp.html#37049
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ykvjd.dll/sp.html#37049
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://full-search.biz
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    R3 - Default URLSearchHook is missing
    O2 - BHO: (no name) - {0C22E430-0AAF-8ECE-321F-B1C4F50BA94C} - C:\WINDOWS\system32\addus32.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [avc] C:\WINDOWS\System32\avmon.exe
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O4 - HKCU\..\Run: [Wuos] C:\Documents and Settings\nicolaas\Application Data\gn?r.exe
    O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan
    O4 - HKCU\..\RunServices: [Microsoft Update] wuagrd.exe
    O9 - Extra button: Corel Network monitor worker - {456E2183-DB8C-4DC6-A7B2-2B876CB62FDA} - (no file)
    O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {456E2183-DB8C-4DC6-A7B2-2B876CB62FDA} - (no file)
    O9 - Extra button: Corel Network monitor worker - {456E2183-DB8C-4DC6-A7B2-2B876CB62FDA} - (no file) (HKCU)
    O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {456E2183-DB8C-4DC6-A7B2-2B876CB62FDA} - (no file) (HKCU)
    O15 - Trusted Zone: *.clickspring.net
    O15 - Trusted Zone: *.my-internet.info
    O15 - Trusted Zone: *.scoobidoo.com
    O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://key.one2bill.de/soft/axload.cab
    O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
    O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/terraexplorer/install/TEInstallPlugIn.cab
    O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {40289096-9F72-4A04-BCB3-E434ECDCEE33} (AppDLCtrl Class) - http://download.howudodat.com/chatterbox/download/appdl.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094980282526
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {A7F82252-EF7F-4E46-8595-84AE76D5FE03} (InstControl Class) - http://neo-toolbar.com/Inst.cab
    O16 - DPF: {B73BC7C7-858B-49FA-BBDB-74DD77D1D9F3} ({B73BC7C7-858B-49FA-BBDB-74DD77D1D9F3}) - http://hpintermedia.tintel.nl/installcab.php
    O16 - DPF: {DC187740-46A9-11D5-A815-00B0D0428C0C} - http://ds1.downloadtech.net/cn1060/pcpowerscan.cab
    O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FCA41427-08BC-4C37-A4D5-85F3F7ABA0FB}: NameServer = 195.121.1.34 195.121.1.66

  • #2
    Dit is een speciale versie van CoolWebSearch, die moeilijker te verwijderen is!

    Download ServiceFilter van Rand1038. Pak dit uit naar een map als c:\ServiceFilter. Dubbelklik op ServiceFilter.vbs. Dit maakt een bestand aan genaamd Post_This.txt. Kopieer en plak de inhoud van dit bestand in een volgende post.
    Vanaf het moment dat je hebt gepost tot aan het antwoord kan je je computer NIET opnieuw opstarten of inloggen onder een andere naam. Als je dat doet verandert de service van naam en zal de oplossing niet meer werken!

    Comment


    • #3
      Uit nieuwsgierigheid: pakt CWShredder deze niet op?
      (vraag is uiteraard voor Bobbi Flekman, niet voor niemaro)
      Last edited by André; 23-11-04, 14:48.

      Comment


      • #4
        Oorspronkelijk geplaatst door André
        Uit nieuwsgierigheid: pakt CWShredder deze niet op?
        (vraag is uiteraard voor Bobbi Flekman, niet voor niemaro)
        Nope!
        res://C:\WINDOWS\ykvjd.dll/sp.html#37049
        Dit geeft aan dat je andere tactieken uit moet voeren. Deze werkt met een service die herinfecteert. Deze moet eerst weg daarna kan je gaan schoonmaken. Wat ik nu heb gepost is om uit te vinden welke service het is...

        Comment


        • #5
          Wat een sluwe engnekken daar bij CWS

          Comment

          Sorry, you are not authorized to view this page
          Working...
          X