Mededeling

Collapse
No announcement yet.

SearchRelevancy en vele andere...

Collapse
X
Collapse
  •  
  • Page of 2
  • Filter
  • Tijd
  • Show
Clear All
new posts
Vorige 1 2 template Volgende
  • #1

    SearchRelevancy en vele andere...

    Hoi!

    Sinds 17 december 2004 kreeg ik bij het openen van Internet Explorer en Windows Verkenner een waarschuwingsbericht van mijn virusscanner 'AntiVir'. Dit verwees naar SearchRelevancy.dll. Ik heb dit dan verwijderd, maar er werd ook gevraagd om de bijhorende Registry Key te verwijderen. Omdat ik niet onmiddellijk wist hoe ik dit moest doen, ben ik beginnen surfen. Zo kwam ik hier terecht.

    Vervolgens heb ik Ad-Aware en Skybot op mijn PC uitgevoerd. Ad-Aware vond 7 getroffen 'families' op mijn PC (in totaal 119 bestanden). Skybot vond 21 problemen. Ik heb nog geen problemen laten oplossen omdat ik niet wist of dit wel OK is.

    Verder heb ik HijackThis laten uitvoeren en kreeg ik volgende log:

    Logfile of HijackThis v1.99.0
    Scan saved at 18:31:07, on 28/12/2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Dell\AccessDirect\dadapp.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\WINDOWS\System32\carpserv.exe
    C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
    C:\Program Files\AVPersonal\AVSched32.EXE
    C:\Program Files\Windows ServeAd\WinServAd.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AVPersonal\AVGNT.EXE
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Windows ServeAd\WinServSuit.exe
    C:\Program Files\InstallShield Software Corporation\802.11b Wireless Lan Utility\RtlWake.exe
    C:\Program Files\Admilli Service\AdmilliKeep.exe
    C:\Program Files\AVPersonal\AVGUARD.EXE
    C:\Program Files\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\System32\WISPTIS.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe
    C:\Program Files\Admilli Service\AdmilliServ.exe
    C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\HijackThis\hijackthis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL (file missing)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
    O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINDOWS\System32\ELAN.exe
    O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008
    O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min
    O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
    O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli Service\AdmilliServ.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - Global Startup: RtlWake.lnk = ?
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=8cd837946e9a36b301d9ca1520f1cce8cabd7310a1773ac3d5bf8bd45a1de79c1833108770265f0 d627adc66f0d9348bc61b8630debc155ef460402b93:f61b52d6344a5b7259c180917152ac3a
    O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) -
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

    Heef iemand een idee hoe ik nu verder moet?

    Alvast bedankt!
    Last edited by Fien; 28-12-04, 22:25.
    Labels: Geen
    • Citaat
  • #2
    Oorspronkelijk geplaatst door Fien
    Vervolgens heb ik Ad-Aware en Skybot op mijn PC uitgevoerd. Ad-Aware vond 7 getroffen 'families' op mijn PC (in totaal 119 bestanden). Skybot vond 21 problemen. Ik heb nog geen problemen laten oplossen omdat ik niet wist of dit wel OK is.
    Hoi,

    1. Scan opnieuw met AdAware SE. Laat alles wat wordt gevonden verwijderen.
    Start daarna de pc opnieuw op.

    2. Scan opnieuw met Spybot. Laat alle gevonden problemen (de rode items die automatisch geselecteerd worden) repareren.
    Start daarna de pc opnieuw op.

    3. Maak een nieuw HijackThis-log en plaats dat hier.
    • Citaat

    Comment

    • #3
      Het heeft een tijdje geduurd, maar Spybot reageerde telkens niet meer als ik de getroffen items wilde verwijderen.

      Dit is de HijackThis Log:

      Logfile of HijackThis v1.99.0
      Scan saved at 20:46:17, on 28/12/2004
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Dell\AccessDirect\dadapp.exe
      C:\WINDOWS\System32\hkcmd.exe
      C:\WINDOWS\System32\carpserv.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
      C:\Program Files\AVPersonal\AVSched32.EXE
      C:\Program Files\Windows ServeAd\WinServAd.exe
      C:\Program Files\AVPersonal\AVGNT.EXE
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\AVPersonal\AVGUARD.EXE
      C:\Program Files\InstallShield Software Corporation\802.11b Wireless Lan Utility\RtlWake.exe
      C:\Program Files\Windows ServeAd\WinServSuit.exe
      C:\Program Files\AVPersonal\AVWUPSRV.EXE
      C:\WINDOWS\System32\wuauclt.exe
      C:\Program Files\HijackThis\hijackthis.exe
      C:\WINDOWS\System32\wuauclt.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
      O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
      O4 - HKLM\..\Run: [CARPService] carpserv.exe
      O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
      O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008
      O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min
      O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
      O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli Service\AdmilliServ.exe
      O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - Global Startup: RtlWake.lnk = ?
      O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
      O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
      O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
      O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
      O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

      Alvast bedankt voor de snelle reactie van daarnet!
      Last edited by Fien; 28-12-04, 22:26.
      • Citaat

      Comment

      • #4
        Mooi zo, er is al veel opgeruimd (waaronder SearchRelevancy). Nu de restanten nog even:


        1. Scan met HijackThis en vink de volgende items aan:

        O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
        O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli Service\AdmilliServ.exe
        O4 - Global Startup: RtlWake.lnk = ?
        Sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

        2. Herstart de pc in veilige modus.
        Mocht je niet weten hoe dat moet, kijk dan hier even: http://www.virushelp.nl/veilige_modus.htm

        Zorg ervoor dat verborgen bestanden en mappen worden weergegeven.
        Hier kun je lezen hoe dat moet: http://users.telenet.be/marcvn/spyware/1117602.htm

        Verwijder nu, in veilige modus dus, de volgende mappen:

        C:\Program Files\Windows ServeAd <- die map
        C:\Program Files\Admilli Service <- die map (indien nog aanwezig)

        3. Herstart de pc in 'normale modus'.

        4. Download en installeer CCleaner: http://www.ccleaner.com/
        Start dit programma, controleer of het tabblad Windows geselecteerd is (linksboven) en klik op "Run Cleaner" (rechtonder). Nu worden tijdelijke en andere overbodige bestanden van je pc verwijderd. Is CCleaner daarmee klaar (dat duurt maar eventjes), klik dan op "Exit".

        5. Maak een nieuw HijackThis-log en plaats dat hier.
        • Citaat

        Comment

        • #5
          Bedankt voor de duidelijke stappen. Ik heb die allemaal doorlopen en dit is het resultaat:

          Logfile of HijackThis v1.99.0
          Scan saved at 22:32:42, on 28/12/2004
          Platform: Windows XP SP1 (WinNT 5.01.2600)
          MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

          Running processes:
          C:\WINDOWS\System32\smss.exe
          C:\WINDOWS\system32\winlogon.exe
          C:\WINDOWS\system32\services.exe
          C:\WINDOWS\system32\lsass.exe
          C:\WINDOWS\system32\svchost.exe
          C:\WINDOWS\System32\svchost.exe
          C:\WINDOWS\Explorer.EXE
          C:\WINDOWS\system32\spoolsv.exe
          C:\Program Files\AVPersonal\AVGUARD.EXE
          C:\Program Files\AVPersonal\AVWUPSRV.EXE
          C:\Program Files\Dell\AccessDirect\dadapp.exe
          C:\WINDOWS\System32\hkcmd.exe
          C:\WINDOWS\System32\carpserv.exe
          C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
          C:\Program Files\AVPersonal\AVSched32.EXE
          C:\Program Files\AVPersonal\AVGNT.EXE
          C:\WINDOWS\System32\ctfmon.exe
          C:\WINDOWS\System32\wuauclt.exe
          C:\Program Files\Internet Explorer\IEXPLORE.EXE
          C:\Program Files\HijackThis\hijackthis.exe

          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
          R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
          O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
          O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
          O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
          O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
          O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
          O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
          O4 - HKLM\..\Run: [CARPService] carpserv.exe
          O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
          O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008
          O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min
          O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
          O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
          O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
          O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
          O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
          O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
          O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
          O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - http://mail.alsico.be/iNotes.cab
          O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
          O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
          O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

          Staan er nog 'vreemde' dingen tussen?
          • Citaat

          Comment

          • #6
            Er is nog een opstart-item van Windows ServeAd achtergebleven, dus dat item moet je nog even door HijackThis laten fixen. Deze dus:

            O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
            • Citaat

            Comment

            • #7
              Zo, dit zal het dan waarschijnlijk zijn:

              Logfile of HijackThis v1.99.0
              Scan saved at 22:48:45, on 28/12/2004
              Platform: Windows XP SP1 (WinNT 5.01.2600)
              MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

              Running processes:
              C:\WINDOWS\System32\smss.exe
              C:\WINDOWS\system32\winlogon.exe
              C:\WINDOWS\system32\services.exe
              C:\WINDOWS\system32\lsass.exe
              C:\WINDOWS\system32\svchost.exe
              C:\WINDOWS\System32\svchost.exe
              C:\WINDOWS\Explorer.EXE
              C:\WINDOWS\system32\spoolsv.exe
              C:\Program Files\AVPersonal\AVGUARD.EXE
              C:\Program Files\AVPersonal\AVWUPSRV.EXE
              C:\Program Files\Dell\AccessDirect\dadapp.exe
              C:\WINDOWS\System32\hkcmd.exe
              C:\WINDOWS\System32\carpserv.exe
              C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
              C:\Program Files\AVPersonal\AVSched32.EXE
              C:\Program Files\AVPersonal\AVGNT.EXE
              C:\WINDOWS\System32\ctfmon.exe
              C:\WINDOWS\System32\wuauclt.exe
              C:\WINDOWS\System32\wuauclt.exe
              C:\Program Files\HijackThis\hijackthis.exe

              R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
              R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
              O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
              O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
              O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
              O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
              O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
              O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
              O4 - HKLM\..\Run: [CARPService] carpserv.exe
              O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
              O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008
              O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min
              O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
              O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
              O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
              O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
              O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
              O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
              O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) -
              O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -
              O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
              O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
              • Citaat

              Comment

              • #8
                Dat ziet er keurig uit.

                Nu het belangrijkste nog: voorkomen dat dit soort problemen opnieuw ontstaat. Lees het volgende bericht en volg de adviezen die daar staan op: http://www.nucia.eu/forum/showthread.php?t=55
                • Citaat

                Comment

                • #9
                  Bedankt voor de goede hulp!!!
                  • Citaat

                  Comment

                  • #10
                    Graag gedaan.
                    • Citaat

                    Comment

                    • #11
                      Ik dacht dat het probleem opgelost was, maar blijkbaar is dit toch niet volledig het geval:

                      Terwijl ik de adviezen op http://www.nucia.eu/...thread.php?t=55 aan het lezen en opvolgen was, startte ik nogmaals Ad-Aware op kreeg ik via mijn virusscan volgende waarschuwingen:

                      * C:\SYSTEM VOLUME INFORMATION\_RESTORE{EB94429C-0FA1-4242-B75F-8585F8080ACD}\RP60\A0004485.DLL

                      Contains signature of the worm Worm/Doep.A

                      * C:\RECYCLER\S-1-5-21-507921405-789336058-854245398-1003\DC2.EXE

                      The Trojan horse TR/Drop.180Soluti.A

                      Vervolgens heb ik de verschillende stappen die ik daarnet ook uitvoerde (Ad-Aware, Spybot en HijackThis doorlopen. Maar aan mijn HijackThis-Log zie ik niets vreemds:

                      C:\WINDOWS\system32\lsass.exe
                      C:\WINDOWS\system32\svchost.exe
                      C:\WINDOWS\System32\svchost.exe
                      C:\WINDOWS\Explorer.EXE
                      C:\WINDOWS\system32\spoolsv.exe
                      C:\Program Files\AVPersonal\AVGUARD.EXE
                      C:\Program Files\AVPersonal\AVWUPSRV.EXE
                      C:\Program Files\Dell\AccessDirect\dadapp.exe
                      C:\WINDOWS\System32\hkcmd.exe
                      C:\WINDOWS\System32\carpserv.exe
                      C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
                      C:\Program Files\AVPersonal\AVSched32.EXE
                      C:\Program Files\AVPersonal\AVGNT.EXE
                      C:\Program Files\Windows ControlAd\WinCtlAd.exe
                      C:\WINDOWS\System32\ctfmon.exe
                      C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe
                      C:\WINDOWS\System32\wuauclt.exe
                      C:\Program Files\HijackThis\hijackthis.exe
                      C:\WINDOWS\System32\wuauclt.exe

                      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
                      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
                      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
                      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
                      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
                      O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
                      O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
                      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
                      O4 - HKLM\..\Run: [CARPService] carpserv.exe
                      O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
                      O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008
                      O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min
                      O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
                      O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
                      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
                      O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
                      O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
                      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
                      O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
                      O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) -
                      O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
                      O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
                      O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

                      Heeft iemand van jullie een idee hoe ik dit probleem kan oplossen? (Ik hoop dat ik met dit item nog op het juiste forum zit, want ik vraag me of dit nog tot spyware behoort...)

                      Alvast bedankt!
                      • Citaat

                      Comment

                      • #12
                        Dan gaan we weer vrolijk verder.


                        1. Schakel systeemherstel uit.
                        Uitleg: http://users.telenet.be/marcvn/spyware/1852808.htm

                        2. Scan met HijackThis en vink de volgende items aan:

                        O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe

                        O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) -
                        Sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

                        3. Herstart de pc in veilige modus.

                        a. Verwijder nu, in veilige modus dus, de volgende map:

                        C:\Program Files\Windows ControlAd <- die map

                        b. Ga, nog steeds in veilige modus, naar de volgende map en verwijder alles wat daarin zit:

                        C:\RECYCLER <- verwijder de inhoud van die map (maar de map zelf niet)

                        c. Draai, nog steeds in veilige modus, CCleaner. Controleer of het tabblad "Windows" is geselecteerd en klik op "Run Cleaner".

                        4. Herstart de pc in 'normale modus'.

                        5. Schakel systeemherstel weer in.

                        6. Maak een nieuw log en plaats dat hier.
                        • Citaat

                        Comment

                        • #13
                          Goedemorgen!

                          Ik heb de verschillende stappen opnieuw uitgevoerd, maar kreeg bij volgende stap een probleem:


                          b. Ga, nog steeds in veilige modus, naar de volgende map en verwijder alles wat daarin zit:

                          C:\RECYCLER <- verwijder de inhoud van die map (maar de map zelf niet)

                          De inhoud van de map kon ik niet verwijderen. Ik kreeg steeds 'Kan S-1-5-21-507921405-789336058-854245398-1003 niet verwijderen. Dit bestand wordt door iemand anders of een ander programma gebruikt.'
                          Nochtans waren alle andere programma's gesloten.

                          Ik heb toen toch de volgende stappen doorlopen en dit is de nieuwe log.

                          Logfile of HijackThis v1.99.0
                          Scan saved at 10:12:25, on 29/12/2004
                          Platform: Windows XP SP1 (WinNT 5.01.2600)
                          MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

                          Running processes:
                          C:\WINDOWS\System32\smss.exe
                          C:\WINDOWS\system32\winlogon.exe
                          C:\WINDOWS\system32\services.exe
                          C:\WINDOWS\system32\lsass.exe
                          C:\WINDOWS\system32\svchost.exe
                          C:\WINDOWS\System32\svchost.exe
                          C:\WINDOWS\Explorer.EXE
                          C:\Program Files\Dell\AccessDirect\dadapp.exe
                          C:\WINDOWS\System32\hkcmd.exe
                          C:\WINDOWS\System32\carpserv.exe
                          C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
                          C:\Program Files\AVPersonal\AVSched32.EXE
                          C:\WINDOWS\system32\spoolsv.exe
                          C:\Program Files\AVPersonal\AVGNT.EXE
                          C:\WINDOWS\System32\ctfmon.exe
                          C:\Program Files\AVPersonal\AVGUARD.EXE
                          C:\Program Files\AVPersonal\AVWUPSRV.EXE
                          C:\Program Files\HijackThis\hijackthis.exe
                          C:\WINDOWS\System32\wuauclt.exe

                          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
                          R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
                          O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
                          O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
                          O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
                          O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
                          O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
                          O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
                          O4 - HKLM\..\Run: [CARPService] carpserv.exe
                          O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
                          O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008
                          O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min
                          O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
                          O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
                          O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
                          O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
                          O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
                          O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
                          O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
                          O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
                          O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
                          O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE



                          Ik merk wel op dat die Windows ControlAd daar nog steeds tussenstaat, alhoewel ik die net verwijderd had.
                          • Citaat

                          Comment

                          • #14
                            Windows ControlAd staat niet meer bij de lopende processen, dus dat 04-item zal een restje zijn.

                            1. Laat dat item dus fixen:

                            O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe

                            2. Herstart de pc in veilige modus.

                            a. Kijk voor alle zekerheid of de map C:\Program Files\Windows ControlAd er nog/weer is en, zo ja, verwijder die.

                            b. Draai CCleaner.

                            3. Herstart de pc in 'normale modus'.

                            4. Maak een nieuw log en plaats dat hier.
                            • Citaat

                            Comment

                            • #15
                              Hoi!

                              Windows ControlAd stond niet meer in mijn Program Files.

                              Dit is de nieuwe log:

                              Logfile of HijackThis v1.99.0
                              Scan saved at 12:25:17, on 29/12/2004
                              Platform: Windows XP SP1 (WinNT 5.01.2600)
                              MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

                              Running processes:
                              C:\WINDOWS\System32\smss.exe
                              C:\WINDOWS\system32\winlogon.exe
                              C:\WINDOWS\system32\services.exe
                              C:\WINDOWS\system32\lsass.exe
                              C:\WINDOWS\system32\svchost.exe
                              C:\WINDOWS\System32\svchost.exe
                              C:\WINDOWS\Explorer.EXE
                              C:\Program Files\Dell\AccessDirect\dadapp.exe
                              C:\WINDOWS\System32\hkcmd.exe
                              C:\WINDOWS\System32\carpserv.exe
                              C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
                              C:\Program Files\AVPersonal\AVSched32.EXE
                              C:\Program Files\AVPersonal\AVGNT.EXE
                              C:\WINDOWS\System32\ctfmon.exe
                              C:\WINDOWS\system32\spoolsv.exe
                              C:\Program Files\AVPersonal\AVGUARD.EXE
                              C:\Program Files\AVPersonal\AVWUPSRV.EXE
                              C:\Program Files\HijackThis\hijackthis.exe
                              C:\Program Files\Internet Explorer\IEXPLORE.EXE

                              R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
                              R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
                              O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
                              O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
                              O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
                              O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
                              O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
                              O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
                              O4 - HKLM\..\Run: [CARPService] carpserv.exe
                              O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
                              O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008
                              O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min
                              O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
                              O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
                              O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
                              O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
                              O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
                              O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
                              O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
                              O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
                              O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
                              • Citaat

                              Comment

                              Vorige 1 2 template Volgende
                              Sorry, you are not authorized to view this page
                              Working...
                              X