Mededeling

**miekiemoes** · 24-12-04, 13:44

Je hebt blijkbaar messenger plus met sponsers geïnstalleerd. Dus, ik raad je aan om eerst messenger plus te deïnstalleren. Die kan je wanneer je systeem terug clean is terug installeren, maar deze keer zonder sponsers. (Deze optie kan je kiezen bij het begin van de installatie).

Tijdens de uninstall ervan zal je een sponservenster krijgen zoals je hier een voorbeeld ziet: http://www.msgplus.net/images/sponsor_uninstall.jpg
Als je deze niet ziet, kijk dan eens in je taakbar. In dat venster typ je de code in die je te zien krijgt en klik op uninstall.
Dan gewoon verdere instructies opvolgen die gegeven worden.
Nadat dit gedaan is, reboot je je pc en post een nieuw hijackthislogje.

**ventura** · 24-12-04, 14:06

Misschien doe ik iets niet goed. Messenger is nu verwijderd, maar ik heb het sponservenster niet gezien.
Als ik deze niet zag moest ik in mn taakbar kijken, dit snap ik niet, sorry.

Logfile of HijackThis v1.99.0
Scan saved at 14:56:30, on 24-12-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DvzCommon\DvzMsgr.exe
C:\Program Files\Rabotwin\RaboComm\RaboSessionMon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Palm\HOTSYNC.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RaboCommSrv.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\Documents and Settings\Ventura\Bureaublad\Hijackthis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dowglgkckojvzxyk.biz/e4dPRQovUfjCX2ja0iKW8GMVb__FxucoypTNQ_eZ3giSBVfH7fYLbsNR/o9lB2WQ.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2EC94331-A29F-4F0A-73A8-64E2D828E302} - C:\PROGRA~1\GRIDOO~1\Bird road.exe (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {750AB697-3F41-4B52-2591-7F041CFD7BCE} - C:\DOCUME~1\Ventura\APPLIC~1\GRIDOO~1\Bird road.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Boredogboltsurf] C:\Documents and Settings\All Users\Application Data\SoftwareAboutBoreDog\Setup Tick.exe
O4 - HKLM\..\Run: [Long 64 lies dumb] C:\Documents and Settings\All Users\Application Data\iso once long 64\LongSend.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [drv user] C:\DOCUME~1\Ventura\APPLIC~1\NOUNLI~1\DataRefChin.exe
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
O4 - Global Startup: Dataviz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Rabo Session Monitor.lnk = C:\Program Files\Rabotwin\RaboComm\RaboSessionMon.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{822CC328-CE9F-47A5-AD49-EE19349F3ED0}: NameServer = 62.58.62.132,62.58.94.130
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Rabo Comm Server - Unknown - C:\WINDOWS\System32\RaboCommSrv.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

**miekiemoes** · 24-12-04, 14:41

Standaard bij de uninstall van messenger plus met sponsers krijg je dus ook het sponservenster terug waar je de optie hebt om deze te deïnstalleren. Het gebeurt vaak dat je deze niet ziet omdat deze in je taakbalk staat. Echter is het ook een feit dat na het scannen van antispywarescanners deze uninstalloptie corrupt is geraakt zodat je het sponservenster met uninstalloptie helemaal niet ziet en zo geen volledige uninstall van de sponsers kan uitvoeren.
Dus, zullen we het hier manueel aanpakken.

* Download en installeer CCleaner
Nog niet gebruiken

* Zorg ervoor dat je verborgen mappen en bestanden weergegeven zijn. Hoe deze weer te geven.
* Start hijackthis en vink volgende items aan:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dowglgkckojvzxyk.biz/e4dPRQo...sNR/o9lB2WQ.htm
O2 - BHO: (no name) - {2EC94331-A29F-4F0A-73A8-64E2D828E302} - C:\PROGRA~1\GRIDOO~1\Bird road.exe (file missing)
O2 - BHO: (no name) - {750AB697-3F41-4B52-2591-7F041CFD7BCE} - C:\DOCUME~1\Ventura\APPLIC~1\GRIDOO~1\Bird road.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [Boredogboltsurf] C:\Documents and Settings\All Users\Application Data\SoftwareAboutBoreDog\Setup Tick.exe
O4 - HKLM\..\Run: [Long 64 lies dumb] C:\Documents and Settings\All Users\Application Data\iso once long 64\LongSend.exe
O4 - HKCU\..\Run: [drv user] C:\DOCUME~1\Ventura\APPLIC~1\NOUNLI~1\DataRefChin.exe

* Sluit alle open vensters behalve hijackthis en klik: Fix Checked.

* Start nu je pc op in VEILIGE MODE. Hoe start ik in veilige mode op.

Ga via configuratiescherm naar software > programma's wijzigen/verwijderen en kijk of volgende programma's aanwezig zijn en de-installeer die:

* Zoek daarna via verkenner volgende items en verwijder deze manueel indien nog aanwezig:

C:\PROGRAM Files\GRIDOO... <==deze map (begint met deze letters)
C:\DOCUMENTS AND SETTINGS\Ventura\APPLICATION DATA\GRIDOO.... <==deze map (begint met deze letters)
C:\Program Files\Messenger Plus! 2 <==deze map
C:\Documents and Settings\All Users\Application Data\SoftwareAboutBoreDog <==deze map
C:\Documents and Settings\All Users\Application Data\iso once long 64 <==deze map
C:\DOCUMENTS AND SETTINGS\Ventura\APPLICATION DATA\NOUNLI.. <==deze map (begint met deze letters)

* Verwijder ook alle snelkoppelingen (indien aanwezig) op je bureaublad die met deze te maken hebben (Casino, Poker, Travel, Computers, Websites..)
alsook die items in je favorieten.

* Start Ccleaner en klik op Run Cleaner (rechts onderaan)

* Reboot je pc terug normaal en post een nieuw hijackthislogje.

**ventura** · 24-12-04, 14:57

Ben aan het vinken in hijack, alles gvonden, alleen deze komt niet overeen:
(URL is anders)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dowglgkckojvzxyk.biz/e4dPRQo...sNR/o9lB2WQ.htm

toch aanvinken?

**miekiemoes** · 24-12-04, 15:05

Ja, is mogelijk dat deze niet helemaal overeenkomt... verandert telkens.. maar vink die alvast maar aan.

**ventura** · 24-12-04, 15:45

Heb alle handelingen uitgevoerd, hier is het resultaat

Logfile of HijackThis v1.99.0
Scan saved at 16:37:28, on 24-12-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\DvzCommon\DvzMsgr.exe
C:\Program Files\Rabotwin\RaboComm\RaboSessionMon.exe
C:\Program Files\Palm\HOTSYNC.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RaboCommSrv.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Ventura\Bureaublad\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://tpvixabyxmon.uk/e4dPRQovUfjCX2ja0iKW8GMVb__FxucoypTNQ_eZ3ghAlCrQ0VvZs8NR/o9lB2WQ.cgi
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
O4 - Global Startup: Dataviz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Rabo Session Monitor.lnk = C:\Program Files\Rabotwin\RaboComm\RaboSessionMon.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{822CC328-CE9F-47A5-AD49-EE19349F3ED0}: NameServer = 62.58.62.132,62.58.94.130
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Rabo Comm Server - Unknown - C:\WINDOWS\System32\RaboCommSrv.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

**ventura** · 24-12-04, 15:50

kreeg alleen wel de volgende error van ccleaner:
Runtime error 49
ActiveX component can't create object

Ik moet wel zeggen dat ik ccleaner, bleek later, wel gedownload had, maar blijkbaar nog niet geinstalleerd, dus dat heb ik pas in de safe-mode alsnog gedaan.

**miekiemoes** · 24-12-04, 15:55

Ziet er al veel beter uit!! Well done.

Deze mag je wel nog fixen in hijackthis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://tpvixabyxmon.uk/e4dPRQovUfjC...8NR/o9lB2WQ.cgi

Als die niet helemaal overeenkomt, maar er goed op gelijkt, fix die alvast ook maar.
Reboot daarna je pc terug. Laat me weten of je die startpagina nog krijgt en/of je van die blauwe balken verlost bent.

Hoe zo'n toestanden voorkomen:

Download en installeer alvast Hitman Pro
Kijk op de site hoe je het programma juist moet instellen (screenshot aanwezig)
Dit is een automatische tool die een volledige systeemscan doet met verschillende antispywarescanners zoals spybot s&d, adaware se, spysweeper.. Ook installeert het spywareblaster en configureert die automatisch voor je. Je hoeft gewoon niks te doen, Hitman Pro doet dit allemaal automatisch voor je, alsook het updaten van je antispywarescanners. Laat Hitman Pro regelmatig runnen.

En kies eventueel een alternatieve browser zoals Firefox.

En ik raad je ook aan om af en toe een online virusscan uit te voeren. housecall en/of Bitdefender. Want, wat de ene scanner niet kan vinden, kan een andere misschien wel.
Zorg er ook voor dat je virusscanner die op je systeem geïnstalleerd is altijd up to date is!!

En... geregeld eens een bezoekje brengen aan: http://windowsupdate.microsoft.com/

Bekijk ook eens deze 2 filmpjes.. Heel interessant:

http://www2.trosradar.nl/mediaplayer/player.php?videoID=524&mode=dossier#

http://www.benedelman.org/spyware/security-111804.wmv

Happy surfing again!

**ventura** · 24-12-04, 16:21

Geen blauwe balken meer te bekennen. Die startpagina kreeg ik maar eens per 2 of 3 maanden, maar die zal voorlopig ook wel weg blijven.
Super bedankt voor je hulp en fijne kerstdagen!

**miekiemoes** · 24-12-04, 16:38

Graag gedaan hoor.

Als je messenger plus terug wilt installeren, kies dan om die ZONDER sponser te installeren. Deze vraag wordt je gesteld aan het begin van de installatie.
Want die sponser is de oorzaak van die startpagina en die blauwe balken.

Alvast prettige feestdagen gewenst.

Mededeling

wie helpt mij af van search2web

wie helpt mij af van search2web

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment