Mededeling

**miekiemoes** · 17-12-04, 13:51

Hallo chattert.. kan je eens die programma's terug inschakelen die je via msconfig hebt uitgeschakeld? Want zo kunnen we niet zien welke items effectief van je systeem moeten verwijderd worden.
Reboot daarna je pc en post een nieuw hijackthislogje.

Oja, deïnstalleer alvast maar Aluria spyware eliminitor.

**Chattert** · 18-12-04, 10:44

Hoi Miekiemoes

Bedankt voor het kijken.
Ik heb hieronder de nieuwe log gezet.
Er zitten verwijzingen naar cab bestanden tussen via een http url, die heb ik verwijderd. of dat goed is weet ik niet

Die Aluria was al gedeinstalleerd, maar niet alles blijkt dus weg te zijn.

Logfile of HijackThis v1.99.0
Scan saved at 11:14:33, on 18-12-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\csrss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
F:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
G:\Program Files\D-Tools\daemon.exe
G:\Program Files\Google\Gmail Notifier\G001-1.0.24.0\gnotify.exe
G:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
F:\WINDOWS\system32\ctfmon.exe
F:\PROGRA~1\Grisoft\AVG6\avgserv.exe
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\ZONELABS\vsmon.exe
F:\WINDOWS\System32\alg.exe
F:\WINDOWS\System32\svchost.exe
G:\Downloads\Spybot\Nieuwe map\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: jimmyhelp.CBrowserHelper - {269C9A1D-74DB-431F-BFED-9F1C867DA199} - F:\WINDOWS\wnip.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: jimmyhelp.CBrowserHelper - {75B5CA45-E35E-4AFA-ADE6-C3615A9F930C} - F:\WINDOWS\toyl.dll
O4 - HKLM\..\Run: [AVG_CC] F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "G:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [DAEMON Tools-1033] "G:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] G:\Program Files\Google\Gmail Notifier\G001-1.0.24.0\gnotify.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Zone Labs Client] "G:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Ubisoft register.lnk = F:\Program Files\Ubisoft\Register\schedule.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: F:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .UVR: F:\Program Files\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) -
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) -
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) -
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) -
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) -
O23 - Service: Aluria Spyware Eliminator Service - Unknown - G:\PROGRA~1\ALURIA~1\ASE\ASEServ.exe (file missing)
O23 - Service: AVG6 Service - GRISOFT s.r.o - F:\PROGRA~1\Grisoft\AVG6\avgserv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - F:\WINDOWS\system32\ZONELABS\vsmon.exe

**miekiemoes** · 18-12-04, 13:11

Ja, ik zie het dat je die verwijzingen naar die cabbestanden hebt verwijderd... daar zullen we nu de restantjes van opruimen. Op zich kan het nooit geen kwaad om deze te verwijderen. Als je ze echt nodig hebt, worden ze wel weer gedownload.

* Zorg ervoor dat je verborgen mappen en bestanden weergegeven zijn. Hoe deze weer te geven.
* Start hijackthis en vink volgende items aan:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O2 - BHO: jimmyhelp.CBrowserHelper - {269C9A1D-74DB-431F-BFED-9F1C867DA199} - F:\WINDOWS\wnip.dll
O2 - BHO: jimmyhelp.CBrowserHelper - {75B5CA45-E35E-4AFA-ADE6-C3615A9F930C} - F:\WINDOWS\toyl.dll
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) -
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) -
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) -
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) -
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) -
O23 - Service: Aluria Spyware Eliminator Service - Unknown - G:\PROGRA~1\ALURIA~1\ASE\ASEServ.exe (file missing)

* Sluit alle open vensters behalve hijackthis en klik: Fix Checked.

* Zoek daarna via verkenner volgende items en verwijder deze manueel indien nog aanwezig (Hoogstwaarschijnlijk zal je deze niet meer terugvinden, maar dubbelcheck toch even):

F:\WINDOWS\wnip.dll
F:\WINDOWS\toyl.dll

Kan je deze niet verwijderen in normale mode, start dan je pc op in veilige mode en verwijder ze dan.

* Ga daarna naar start > uitvoeren en typ: cleanmgr en klik op ok.
Laat het je systeem scannen op bestanden die moeten verwijderd worden.
Zorg er wel voor dat je daar enkel maar 'tijdelijke bestanden', 'tijdelijke internetbestanden' en 'prullenbak' staan aangevinkt.
Klik daarna op ok.

* Reboot je pc.

* Post een nieuwe hijackthislog ter controle

**Chattert** · 18-12-04, 13:46

Hoi Miekiemoes

Ik heb gedaan wat uwes zei

Hieronder de nieuwe log.

Logfile of HijackThis v1.99.0
Scan saved at 14:37:46, on 18-12-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
F:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
G:\Program Files\D-Tools\daemon.exe
G:\Program Files\Google\Gmail Notifier\G001-1.0.24.0\gnotify.exe
G:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
F:\WINDOWS\system32\ctfmon.exe
F:\PROGRA~1\Grisoft\AVG6\avgserv.exe
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\ZONELABS\vsmon.exe
F:\WINDOWS\system32\wuauclt.exe
G:\Downloads\Spybot\Nieuwe map\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AVG_CC] F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "G:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [DAEMON Tools-1033] "G:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] G:\Program Files\Google\Gmail Notifier\G001-1.0.24.0\gnotify.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Zone Labs Client] "G:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Ubisoft register.lnk = F:\Program Files\Ubisoft\Register\schedule.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: F:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .UVR: F:\Program Files\Internet Explorer\Plugins\NPUPano.dll
O23 - Service: AVG6 Service - GRISOFT s.r.o - F:\PROGRA~1\Grisoft\AVG6\avgserv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - F:\WINDOWS\system32\ZONELABS\vsmon.exe

**miekiemoes** · 18-12-04, 13:59

Je logje ziet er weer keurig uit!! Well done!

Hoe zo'n toestanden voorkomen:

Download en installeer alvast Spywareblaster
Dit voorkomt de installatie van op ActiveX gebaseerde spyware, adware, dialers, browserkapers en andere pests. Het beperkt tevens de acties van potentieel gevaarlijke sites in Internet Explorer en het blokkeert tracking cookies in Internet Explorer, Mozilla en Firefox. SpywareBlaster runt niet op de achtergrond.
En/of.... kies een alternatieve browser zoals Firefox.

Laat je antispywarescanners regelmatig scannen en zorg ervoor dat je ze eerst update vooraleer je ze laat scannen!! Ook hen eens laten scannen in veilige mode kan wonderen verrichten.

En ik raad je ook aan om af en toe een online virusscan uit te voeren. housecall en/of Bitdefender. Want, wat de ene scanner niet kan vinden, kan een andere misschien wel.
Zorg er ook voor dat je virusscanner die op je systeem geïnstalleerd is altijd up to date is!!

En... geregeld eens een bezoekje brengen aan: http://windowsupdate.microsoft.com/ (De laatste 5 beveiligingsupdates al geïnstalleerd?)

Bekijk ook eens deze 2 filmpjes.. Heel interessant:

http://www2.trosradar.nl/mediaplayer/player.php?videoID=524&mode=dossier#

http://www.benedelman.org/spyware/security-111804.wmv

Happy surfing again!

**Chattert** · 18-12-04, 14:07

Hoi Miekiemoes

Bedankt voor de hulp.
Ik gebruikte eerst ad-aware en spybot, totdat ik vorige week, of zo, hitman pro ontdekte. Dit draait hier nu regelmatig zijn rondje langs de harde schijf.
Ik heb AVG antivirus en doe af en toe eens een onlie check via norton.
Firefox is nu standaard en ook Spywareblaster heb ik geinstalleerd staan.
Maar soms, dan glipt er weleens wat tussendoor.
Goed dat deze site er is. Ik ben er blij mee.

Hartelijke groeten: Chattert.

**miekiemoes** · 18-12-04, 14:11

Graag gedaan hoor... en nu houden zo.

Mededeling

Ik had wat problemen

Ik had wat problemen

Comment

Comment

Comment

Comment

Comment

Comment

Comment