Mededeling

**Bobbi Flekman** · 29-11-04, 17:30

Hi patrick82,

Het is handig om deze pagina op te slaan in je favorieten zodat je deze makkelijker kan vinden wanneer je terugkomt.

Open het Configuratiescherm, dan "Software" en "Programma's wijzigen of verwijderen". Selecteer de volgende onderdelen en klik op "Verwijderen" voor elk van deze:

Webhancer

Start HijackThis, klik op "Scan" and kruis de volgende onderdelen aan.

O1 - Hosts: 64.91.255.87 www.dcsresearch.com

O2 - BHO: (no name) - {2f1606e9-bd5f-4262-a1fb-6a7a47b0e67e} - (no file)

O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14b513c2...p/RdxIE601.cab
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://www.*****harem.com/stream/mmp.cab

Sluit alle programma's, inclusief browsers, behalve HijackThis. Klik op "Fix checked". Herstart de computer en post een nieuwe log in deze thread.

dit is mijn probleem en krijg het niet weg backdoor.trojan in folder C:/Documents and Settings\xp\Local Settings\Temporary Internet Files\Content.IE5\W87EHXLM\msite18_nl[1].cab

Deze kan je oplossen door CCleaner downloaden. Dit is een programma om harde schijven te legen van overbodige bestanden. Nadat je het hebt uitgevoerd is het het beste om je harde schijven te defragmenteren.

**Eagle Creek** · 29-11-04, 17:42

Bobbi:

Deze kan je oplossen door CCleaner downloaden. Dit is een programma om harde schijven te legen van overbodige bestanden.

Ik heb Patrick al Disk Cleaner laten gebruiken maar volgens eigen zeggen heeft dat niet geholpen.

**Bobbi Flekman** · 29-11-04, 17:47

Oorspronkelijk geplaatst door Admin

Bobbi:

Ik heb Patrick al Disk Cleaner laten gebruiken maar volgens eigen zeggen heeft dat niet geholpen.

We zullen zien. Ik heb het vermoeden dat het te maken heeft met de ge-*****te DPF.

**Eagle Creek** · 29-11-04, 17:56

Oorspronkelijk geplaatst door Bobbi Flekman

dat het te maken heeft met de ge-*****te DPF.

sorry ?

**Bobbi Flekman** · 30-11-04, 06:03

Oorspronkelijk geplaatst door Admin

sorry ?

O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://www.*****harem.com/stream/mmp.cab

**patrick82** · 01-12-04, 10:35

hoi

Ok maar wat nu?Wat moet ik doen?

**Bobbi Flekman** · 01-12-04, 10:37

Hi patrick82,

Ok maar wat nu?Wat moet ik doen?

Heb je al gedaan wat ik zei?

**patrick82** · 01-12-04, 16:40

hoi

Moet ik op die link klikken?Ik ben best wel nieuw met dit allemaal en begrijp er de ballen niet van.

Leg het me normaal uit.

Alvast bedankt

**Eagle Creek** · 01-12-04, 16:42

Hey Patrick.

Klik op de volgende link --> http://www.nucia.eu/forum/showpost.p...51&postcount=2 <--

En voer precies uit wat Bobbi daar uitlegt.

Je zou de pagina ook even kunnen printen als je dat makelijker vindt.

**patrick82** · 01-12-04, 22:14

Ik heb het gedaan moet ik nu weer scannen voor die virus?

**Eagle Creek** · 01-12-04, 22:15

Oorspronkelijk geplaatst door Bobbi Flekman

Herstart de computer en post een nieuwe log in deze thread.

Dus nog een nieuw logje aub

.

**patrick82** · 01-12-04, 23:17

Logfile of HijackThis v1.98.2
Scan saved at 0:17:36, on 2-12-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\sstray.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Sonique\sqstart.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\WINDOWS\System32\LVComS.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Sonique\Sonique.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\DVDREG~1\DVDRegionFree.exe
C:\Documents and Settings\porto.PORTO-Z3IWN5MN7\Bureaublad\Nieuwe map\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.casema.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door Casema
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {0d27d43f-0e2c-4fdf-837f-fa9ac5775415} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off
O4 - HKLM\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe"
O4 - HKLM\..\Run: [DVD43] C:\Program Files\DVD Region+CSS Free\DVD43.exe /hidden
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SoniqueQuickStart] C:\Program Files\Sonique\sqstart.exe -nostick
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.casema.net/
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20031216/qtinstall.info.apple.com/mickey/us/win/QuickTimeInstaller.exe
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {D83C1BD1-DCBB-11D4-9425-0050BF33FA6E} (CycloScopeLite Control) - https://producten.denhaag.nl/taxatieverslag/gbdwoz/Viewers/cycloscope/cycloscopelite.cab
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = E25110.find-quick.com

**Bobbi Flekman** · 02-12-04, 15:46

Hi patrick82,

Had je WebHancer ge-deïnstalleerd? Ik zie het nog steeds in deze log... Tevens heb je niet gezegd of de Trojan verdwenen is.

Open het Configuratiescherm, dan "Software" en "Programma's wijzigen of verwijderen". Selecteer "Webhancer" en klik op "Verwijderen". Als dit item er niet is, kan het nodig zijn om het opnieuw te installeren om hem weg te halen.

Start HijackThis, klik op "Scan" and kruis de volgende onderdelen aan.

O3 - Toolbar: (no name) - {0d27d43f-0e2c-4fdf-837f-fa9ac5775415} - (no file)

O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"

Sluit alle programma's, inclusief browsers, behalve HijackThis. Klik op "Fix checked".

Start je computer in beveiligde modus. Hoe start ik mijn computer in veilige modus?

Zorg dat je verborgen bestanden kan zien. Hoe toon ik verborgen bestanden?

Verwijder de volgende bestanden in rood (het kan zijn dat ze al verwijderd zijn):

C:\Program Files\webHancer

Herstart de computer en post een nieuwe log in deze thread.

**patrick82** · 02-12-04, 16:22

Nog even een vraag, Wat voor programma is webhancer en waar kan ik hem vandaan halen om hem opnieuw te installeren?want hij staat niet in de software lijst.

Mededeling

hoi

hoi

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment