Weergegeven resultaten: 1 t/m 8 van 8
  1. #1
    Up-to-date  
    Geregistreerd
    27 August 2005
    Berichten
    13
    Bedankjes
    0
    Bedankt
    1 keer in 1 post

    Zeer vervelende spyware infectie !

    Hallo,

    Een hele tijd hebben jullie me ook uit de nesten geholpen. Heb al verscheidene programmatjes gebruikt om van mijn probleem af te raken maar niets helpt.:close

    Ik krijg constant een pop-up : YOUR COMPUTER IS INFECTED! Windows has dedected spyware infection, Ook Mijn start pagina is veranderd en bij het opstarten van de computer krijg ik steeds de melding om antispyware te downloaden.
    Ik zit ferm in de nesten.... :verlegen:

    Hierbij een hijacktislogje

    Logfile of HijackThis v1.99.1
    Scan saved at 19:58:39, on 19-11-2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Ahead\InCD\InCDsrv.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    D:\Program Files\Eset\nod32krn.exe
    D:\WINDOWS\System32\nvsvc32.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\Explorer.EXE
    D:\WINDOWS\System32\nvctrl.exe
    D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    D:\WINDOWS\System32\RunDll32.exe
    D:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
    D:\Program Files\Ahead\InCD\InCD.exe
    D:\Program Files\Telemeter 3.0\telemeter3.exe
    D:\Program Files\Logitech\Video\LogiTray.exe
    D:\Program Files\SpyAxe\spyaxe.exe
    D:\WINDOWS\System32\ctfmon.exe
    D:\Program Files\Messenger\msmsgs.exe
    D:\Program Files\MSN Messenger\MsnMsgr.Exe
    D:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    C:\Program Files\SpyTrooper\SpyTrooper.exe
    D:\Program Files\SpyAxe\spyaxe.exe
    D:\Program Files\VIA\RAID\raid_tool.exe
    D:\WINDOWS\System32\LVComS.exe
    D:\Program Files\WinZip\WZQKPICK.EXE
    D:\Program Files\Internet Explorer\iexplore.exe
    D:\WINDOWS\System32\wuauclt.exe
    D:\PROGRA~1\WINZIP\winzip32.exe
    D:\Documents and Settings\PETER\Mijn documenten\HIJACK THIS\HijackThis.exe
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://pac.telenet.be:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - D:\WINDOWS\System32\hpBA37.tmp
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe
    O4 - HKLM\..\Run: [Telemeter 3.0] "D:\Program Files\Telemeter 3.0\telemeter3.exe"
    O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] D:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [SpyAxe] D:\Program Files\SpyAxe\spyaxe.exe /h
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [LDM] D:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    O4 - HKCU\..\Run: [SpyTrooper] C:\Program Files\SpyTrooper\SpyTrooper.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O4 - Global Startup: raid_tool.exe.lnk = D:\Program Files\VIA\RAID\raid_tool.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
    O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
    O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1126077118265
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: WRNotifier - D:\WINDOWS\SYSTEM32\WRLogonNTF.dll
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Program Files\Ahead\InCD\InCDsrv.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - D:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

  2. #2
    Erelid   jurgenv's schermafbeelding
    Geregistreerd
    10 May 2005
    Locatie
    West-Vlaanderen
    Berichten
    5.887
    Bedankjes
    100
    Bedankt
    901 keer in 829 posts

    Re: Zeer vervelende spyware infectie !

    * Je kan deze instructies best uitprinten of opslaan in een kladblokbestand, want straks zal je in veilige modus
    moeten gaan werken, en dan is deze pagina niet beschikbaar (geen internet)

    * Download smitRem.exe en sla dit op op het Bureaublad.
    Dubbelklik op het bestand en pak het uit naar zijn eigen map op het Bureaublad.


    * Download, installeer en update de free trial versie van Ewido Security Suite

    1. Tijdens de installatie, onder "Additional Options", haal je de vinkjes weg bij "Install background guard" en "Install scan via context menu".
    2. Als je Ewido voor de eerste keer runt, zal je een foutmelding krijgen "Database could not be found!". Klik dan op OK. Dit is normaal.
    3. In het hoofdscherm van Ewido, klik je op update in het linker menu, en vervolgens op de Start update knop.
    4. Als de updates gedaan zijn, zal er op de status bar beneden "Update successful" staan.
    5. Sluit Ewido. Laat het nog niet scannen


    * Als je Adaware SE nog niet geïnstalleerd hebt, download, installeer en update het dan volgens de richtlijnen
    die je kan vinden op: http://users.pandora.be/marcvn/spyware/1414188.htm

    * Start je computer op in VEILIGE MODUS


    * open hijackthis en vink volgende regels aan:

    O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - D:\WINDOWS\System32\hpBA37.tmp
    O4 - HKLM\..\Run: [SpyAxe] D:\Program Files\SpyAxe\spyaxe.exe /h
    O4 - HKCU\..\Run: [SpyTrooper] C:\Program Files\SpyTrooper\SpyTrooper.exe


    * sluit dan alle vensters behalve hijackthis en klik op 'fix checked'


    * Open de smitrem-map op je bureaublad, en dubbelklik op RunThis.bat. Volg de aanwijzigingen op het scherm.
    Je bureaublad en ikoontjes zullen even verdwijnen en daarna terug verschijnen, dit is normaal.
    Wacht tot het tooltje zijn werk heeft gedaan en Disk Cleanup afgelopen is. Dit kan enige tijd duren, dus wees geduldig.

    * verwjider volgende mappen indien aanwezig:

    C:\Program Files\SpyTrooper
    D:\Program Files\SpyAxe

    * Voer een volledige scan uit met Adaware en verwijder alles wat gevonden wordt.

    * Open Ewido Security Suite
    • klik op Scanner
    • Klik op complete system scan
    • Laat het programma je pc scannen
    Tijdens de scan zal je gevraagd worden of je gevonden bestanden wil verwijderen. Klik dan op OK
    Als de scan beëindigd is, zal je een knop zienBewaar rapport
    • Klik op Bewaar rapport
    • Sla het rapport op op je bureaublad
    • Sluit Ewido af


    * Ga dan naar Start -> configuratiescherm -> vormgeving en thema's -> bureaublad ->bureaublad aanpassen -> Website -> haal het vinkje weg bij "Security Info" als het er nog staat.

    * Herstart je computer in normale modus.

    * Doe een online scan via Panda's online virus scan en bewaar het rapport dat je krijgt na het scannen

    * Herstart je pc nogmaals en plaats dan een nieuw logje van Hijackthis, samen met het rapport van Ewido en Panda, Post de log van de smitRem tool, die je hier kan vinden: C:\smitfiles.txt.
    Vertel dan ook even of het probleem nog bestaat.

    Member of ASAP

  3. #3
    Up-to-date  
    Geregistreerd
    27 August 2005
    Berichten
    13
    Bedankjes
    0
    Bedankt
    1 keer in 1 post

    Re: Zeer vervelende spyware infectie !

    Hallo jurgenv,

    Ik heb je instructies uitgevoerd en heb de nodige scan uitgevoerd en hieronder de log ervan bijgeplaatst zoals gevraagd.

    JAMMER maar ik zit nog stees met hetzelfde probleem. :close


    Vind hieronder de logs die je gevraagd hebt :

    HIJACK :

    Logfile of HijackThis v1.99.1
    Scan saved at 11:30:16, on 20-11-2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Ahead\InCD\InCDsrv.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\WINDOWS\Explorer.EXE
    D:\WINDOWS\System32\nvctrl.exe
    D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    D:\WINDOWS\System32\RunDll32.exe
    D:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
    D:\Program Files\Ahead\InCD\InCD.exe
    D:\Program Files\Telemeter 3.0\telemeter3.exe
    D:\Program Files\Logitech\Video\LogiTray.exe
    D:\Program Files\SpyAxe\spyaxe.exe
    D:\Program Files\SpyAxe\spyaxe.exe
    D:\WINDOWS\System32\ctfmon.exe
    D:\Program Files\Messenger\msmsgs.exe
    D:\Program Files\MSN Messenger\MsnMsgr.Exe
    D:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    C:\Program Files\SpyTrooper\SpyTrooper.exe
    D:\Program Files\VIA\RAID\raid_tool.exe
    D:\Program Files\WinZip\WZQKPICK.EXE
    D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    D:\Program Files\Eset\nod32krn.exe
    D:\WINDOWS\System32\nvsvc32.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\System32\LVComS.exe
    D:\Program Files\Internet Explorer\iexplore.exe
    D:\WINDOWS\System32\wuauclt.exe
    D:\Documents and Settings\PETER\Mijn documenten\HIJACK THIS\HijackThis.exe
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://pac.telenet.be:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - D:\WINDOWS\System32\hp6C75.tmp
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe
    O4 - HKLM\..\Run: [Telemeter 3.0] "D:\Program Files\Telemeter 3.0\telemeter3.exe"
    O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] D:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [SpyAxe] D:\Program Files\SpyAxe\spyaxe.exe /h
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [LDM] D:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    O4 - HKCU\..\Run: [SpyTrooper] C:\Program Files\SpyTrooper\SpyTrooper.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O4 - Global Startup: raid_tool.exe.lnk = D:\Program Files\VIA\RAID\raid_tool.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
    O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
    O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1126077118265
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: WRNotifier - D:\WINDOWS\SYSTEM32\WRLogonNTF.dll
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Program Files\Ahead\InCD\InCDsrv.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - D:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

    PANDA LOG
    Incident Status Location
    Adware:Adware/SpySheriff No disinfected C:\Program Files\SpyTrooper\heur002.dll
    Adware:adware/securityerror No disinfected D:\WINDOWS\System32\nvctrl.exe
    Adware:adware/spyaxe No disinfected D:\WINDOWS\System32\svchosts.dll
    Adware:adware/securityerror No disinfected D:\DOCUMENTS AND SETTINGS\ALL USERS\BUREAUBLAD\Online Security Center.url
    Adware:adware/spyaxe No disinfected D:\WINDOWS\SYSTEM32\svchosts.dll
    Adware:adware/spytrooper No disinfected D:\Documents and Settings\PETER\Bureaublad\SpyTrooper.lnk
    Adware:adware/twain-tech No disinfected D:\WINDOWS\smdat32m.sys
    Adware:adware/need2find No disinfected D:\PROGRAM FILES\Need2Find
    Adware:adware/antivirus-gold No disinfected Windows Registry
    Adware:Adware/SpywareNo No disinfected C:\Program Files\SpyTrooper\ProcMon.dll
    Adware:Adware/SpywareNo No disinfected C:\Program Files\SpyTrooper\IESecurity.dll
    Adware:Adware/SpySheriff No disinfected C:\Program Files\SpyTrooper\heur002.dll
    Adware:Adware/SpySheriff No disinfected C:\System Volume Information\_restore{006C0715-CFBA-4721-AE54-34D78E5259FE}\RP6\A0002567.dll
    Adware:Adware/SpywareNo No disinfected C:\System Volume Information\_restore{006C0715-CFBA-4721-AE54-34D78E5259FE}\RP6\A0002568.dll
    Adware:Adware/SpywareNo No disinfected C:\System Volume Information\_restore{006C0715-CFBA-4721-AE54-34D78E5259FE}\RP6\A0002569.dll
    Adware:Adware/SpywareNo No disinfected D:\Documents and Settings\PETER\Bureaublad\Install.exe
    Adware:Adware/SpyAxe No disinfected D:\Program Files\SpyAxe\uninst.exe
    Adware:Adware/SpyAxe No disinfected D:\WINDOWS\system32\1024\ld30CB.tmp disinfe\svchosts.dll \svchosts.dll Files\SpyTrooper\heur002.dll

    EWIDO LOG

    ---------------------------------------------------------
    ewido security suite - Scan rapport
    ---------------------------------------------------------
    + Gemaakt op: 10:25:21, 20-11-2005
    + Rapport samenvatting: B85D41CE
    + Scan resultaten:
    HKLM\SOFTWARE\Need2Find -> Spyware.Need2Find : Schoongemaakt met een backup
    HKLM\SOFTWARE\Need2Find\bar -> Spyware.Need2Find : Schoongemaakt met een backup
    HKLM\SOFTWARE\Need2Find\bar\Partner -> Spyware.Need2Find : Schoongemaakt met een backup
    HKU\S-1-5-21-1844237615-1292428093-682003330-1003\Software\Need2Find -> Spyware.Need2Find : Schoongemaakt met een backup
    HKU\S-1-5-21-1844237615-1292428093-682003330-1003\Software\Need2Find\bar -> Spyware.Need2Find : Schoongemaakt met een backup
    C:\RECYCLED\Dc1\heur002.dll -> Adware.SpySheriff : Schoongemaakt met een backup
    C:\RECYCLED\Dc1\IESecurity.dll -> Spyware.SpywareNo : Schoongemaakt met een backup
    C:\RECYCLED\Dc1\ProcMon.dll -> Adware.SpySheriff : Schoongemaakt met een backup
    C:\RECYCLED\Dc1\Uninstall.exe -> Adware.SpySheriff : Schoongemaakt met een backup
    D:\Documents and Settings\PETER\Bureaublad\Install.exe -> Not-A-Virus.Hoax.Renos.b : Schoongemaakt met een backup
    D:\Documents and Settings\PETER\Cookies\peter@com[2].txt -> Spyware.Cookie.Com : Schoongemaakt met een backup
    D:\Program Files\Need2Find -> Spyware.Need2Find : Schoongemaakt met een backup
    D:\Program Files\Need2Find\bar -> Spyware.Need2Find : Schoongemaakt met een backup
    D:\Program Files\Need2Find\bar\History -> Spyware.Need2Find : Schoongemaakt met een backup
    D:\Program Files\Need2Find\bar\History\search -> Spyware.Need2Find : Schoongemaakt met een backup
    D:\Program Files\Need2Find\bar\Settings -> Spyware.Need2Find : Schoongemaakt met een backup

    ::Einde rapport

    SMITFILE



    smitRem © log file
    version 2.7

    by noahdfear

    Microsoft Windows XP [versie 5.1.2600]
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    checking for ShudderLTD key
    ShudderLTD key not present!
    checking for PSGuard.com key

    PSGuard.com key not present!
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Existing Pre-run Files

    ~~~ Program Files ~~~

    ~~~ Shortcuts ~~~
    SpyTrooper.lnk
    SpyTrooper folder
    Online Security Center.url

    ~~~ Favorites ~~~
    Antivirus Test Online.url

    ~~~ system32 folder ~~~
    msvol.tlb
    ld****.tmp
    mssearchnet.exe
    ncompat.tlb
    nvctrl.exe
    mscornet.exe
    hp***.tmp

    ~~~ Icons in System32 ~~~
    ts.ico
    ot.ico

    ~~~ Windows directory ~~~

    ~~~ Drive root ~~~

    ~~~ Miscellaneous Files/folders ~~~


    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Remaining Post-run Files

    ~~~ Program Files ~~~

    ~~~ Shortcuts ~~~

    ~~~ Favorites ~~~

    ~~~ system32 folder ~~~

    ~~~ Icons in System32 ~~~

    ~~~ Windows directory ~~~

    ~~~ Drive root ~~~

    ~~~ Miscellaneous Files/folders ~~~


    ~~~ Wininet.dll ~~~
    CLEAN!

    ~~~ Upon reboot ~~~
    wininet.old not present!
    oleadm.dll not present!
    oleext.dll not present!

    ~~~ Upon completion ~~~
    wininet.old not present!
    oleadm.dll not present!
    oleext.dll not present!

    ~~~~ Rechecking D:\WINDOWS\system32\wininet.dll for infection ~~~~

    ~~~~ D:\WINDOWS\system32\wininet.dll Clean! ~~~~


    Hopelijk kan je me meer vertellen met deze informatie hoe ik deze vervelende dingen kan verwijderen op mij PC


    THX Peter

  4. #4
    Erelid   jurgenv's schermafbeelding
    Geregistreerd
    10 May 2005
    Locatie
    West-Vlaanderen
    Berichten
    5.887
    Bedankjes
    100
    Bedankt
    901 keer in 829 posts

    Re: Zeer vervelende spyware infectie !

    * nu is het belangrijk dat je volgende stappen in de opgegeven volgorde uitvoert en niks overslaat!! print dit uit of sla dit op in kladblok want we zullen in veilige modus moeten werken waarbij deze pagina niet beschikbaar zal zijn

    * download en installeer ccleaner
    maar nog niet gebruiken!

    * download het volgend bestand naar je bureaublad en unzip het .reg bestand ook naar je desktop:
    http://users.telenet.be/marcvn/regfiles/spyaxe.zip

    * start je pc in veilige modus

    * dubbelklik op spyaxe.reg op je bureaublad en sta toe dat het toegevoegd word aan het register

    * maak verborgen mappen en bestanden zichtbaar:
    Start -> configuratiescherm -> mapopties -> weergave
    dan het vinkje weghalen bij "beveiligde systeembesturingsbestanden verbergen"
    onderaan dit lijstje plaats je een vinkje bij "verborgen bestanden en mappen weergeven" en je sluit af met OK te klikken.

    * verwijder volgende bstanden indien aanwezig:

    D:\WINDOWS\System32\nvctrl.exe
    D:\WINDOWS\System32\svchosts.dll
    D:\DOCUMENTS AND SETTINGS\ALL USERS\BUREAUBLAD\Online Security Center.url
    D:\Documents and Settings\PETER\Bureaublad\SpyTrooper.lnk
    D:\WINDOWS\smdat32m.sys
    D:\Documents and Settings\PETER\Bureaublad\Install.exe

    * verwijder volgende mappen indien aanwezig:

    D:\PROGRAM FILES\Need2Find
    D:\Program Files\SpyAxe
    D:\WINDOWS\system32\1024
    C:\Program Files\SpyTrooper

    * open ccleaner en klik rechtsonderaan op 'opschonen'

    * start je pc weer normaal

    * schakel systeemherstel uit en terug in

    * herstart nogmaals je pc on doe opnieuw een scan met panda en post het resultaat terug hier met een nieuw hijackthis logje

    Member of ASAP

  5. #5
    Up-to-date  
    Geregistreerd
    27 August 2005
    Berichten
    13
    Bedankjes
    0
    Bedankt
    1 keer in 1 post

    Re: Zeer vervelende spyware infectie !

    Hallo jurgenv,

    - éen ambetanterik is verdwenen : de pop-up die steeds melde dat mijn pc infected was.

    - Nu wordt ik nog steeds lastig gevallen als ik onlog op het internet.
    mijn start pagina is nog steeds http://www.updateyoursystem.com/ Met daarna
    een pop up dat ik het programma moet downloaden om van de spyware af te komen.

    MOOIE MANIER OM JE PROGRAMMA'S AAN DE MAN PROBEREN TE BRENGEN.


    Volgende bestanden, mappen kon ik niet verwijderen zoals je me gevraagd had. Kreeg de melding dat ze beveiligd waren tegen schrijven :

    D:\WINDOWS\System32\nvctrl.exe
    D:\WINDOWS\System32\svchosts.dll

    D:\Program Files\SpyAxeC:\Program Files\SpyTrooper



    VOlgende log's gemaakt :


    HIJACK :

    Logfile of HijackThis v1.99.1
    Scan saved at 22:27:31, on 20-11-2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Ahead\InCD\InCDsrv.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\WINDOWS\Explorer.EXE
    D:\WINDOWS\System32\nvctrl.exe
    D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    D:\WINDOWS\System32\RunDll32.exe
    D:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
    D:\Program Files\Ahead\InCD\InCD.exe
    D:\Program Files\Telemeter 3.0\telemeter3.exe
    D:\Program Files\Logitech\Video\LogiTray.exe
    D:\WINDOWS\System32\ctfmon.exe
    D:\Program Files\Messenger\msmsgs.exe
    D:\Program Files\MSN Messenger\MsnMsgr.Exe
    D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    D:\Program Files\Eset\nod32krn.exe
    D:\WINDOWS\System32\LVComS.exe
    D:\WINDOWS\System32\nvsvc32.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\VIA\RAID\raid_tool.exe
    D:\Program Files\WinZip\WZQKPICK.EXE
    D:\WINDOWS\System32\wuauclt.exe
    D:\Program Files\Internet Explorer\iexplore.exe
    D:\Program Files\Internet Explorer\iexplore.exe
    D:\Documents and Settings\PETER\Mijn documenten\HIJACK THIS\HijackThis.exe
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://pac.telenet.be:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - D:\WINDOWS\System32\hp824F.tmp
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe
    O4 - HKLM\..\Run: [Telemeter 3.0] "D:\Program Files\Telemeter 3.0\telemeter3.exe"
    O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] D:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [LDM] D:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O4 - Global Startup: raid_tool.exe.lnk = D:\Program Files\VIA\RAID\raid_tool.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
    O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
    O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1126077118265
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: WRNotifier - D:\WINDOWS\SYSTEM32\WRLogonNTF.dll
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Program Files\Ahead\InCD\InCDsrv.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - D:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe


    PANDA LOG :

    Incident Status Location
    Adware:adware/securityerror No disinfected D:\WINDOWS\System32\nvctrl.exe
    Adware:adware/securityerror No disinfected D:\DOCUMENTS AND SETTINGS\ALL USERS\BUREAUBLAD\Online Security Center.url
    Adware:adware/spyaxe No disinfected D:\WINDOWS\SYSTEM32\svchosts.dll
    Adware:adware/need2find No disinfected Windows Registry
    Adware:Adware/SpyAxe No disinfected D:\Documents and Settings\PETER\Local Settings\Temp\sa1A.exe
    Adware:Adware/SpyAxe No disinfected D:\Program Files\SpyAxe\uninst.exe


    Hopelijk zijn we nu al een stapje verder.
    Alvast bedankt voor de moeite.

    Peter

  6. #6
    Erelid   jurgenv's schermafbeelding
    Geregistreerd
    10 May 2005
    Locatie
    West-Vlaanderen
    Berichten
    5.887
    Bedankjes
    100
    Bedankt
    901 keer in 829 posts

    Re: Zeer vervelende spyware infectie !

    * open hijackthis en vink volgende regel aan:

    O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - D:\WINDOWS\System32\hp824F.tmp

    * sluit dan alle vensters behalve hijackthis ne klik op 'fix checked'

    * Download Killbox van Option^Explicit.
    * Unzip het en dubbelklik op Killbox.exe om het uit te voeren.
    * Klik op Tools -> Delete Temp Files, en druk op OK
    * Selecteer de "Delete on Reboot" optie.
    * Kopieer (Selecteren en dan Control+C) het volgende vetgedrukte:

    D:\WINDOWS\System32\hp824F.tmp
    D:\WINDOWS\System32\nvctrl.exe
    D:\DOCUMENTS AND SETTINGS\ALL USERS\BUREAUBLAD\Online Security Center.url
    D:\WINDOWS\SYSTEM32\svchosts.dll
    D:\Documents and Settings\PETER\Local Settings\Temp\sa1A.exe
    D:\Program Files\SpyAxe\uninst.exe


    * Open 'file' in het killboxmenu bovenaan en kies: Paste from clipboard

    Je zal zien, het bovenstaande vetgedrukte zal staan in het "Full Path of File to Delete"-veld.
    Er is een klein pijltje naast dat veld. Als je daarop klikt zal je al die bovenstaande lijntjes die je gekopieerd hebt zien staan (dit is alvast de bedoeling)


    * Klik op de rode cirkel met het wit kruisje erin.
    * Killbox zal zeggen dat deze file zal verwijderd worden on reboot.. Klik YES
    * Wanneer killbox vraagt om nu te rebooten klik je op YES

    Als killbox deze vraag niet stelt of als je een foutmelding krijgt, reboot je manueel.

    * start daarna je pc terug in veilige modus

    * dubdelklik terug op spyaxe.reg en sta toe het samenvogen met het register

    * Open de smitrem-map op je bureaublad, en dubbelklik op RunThis.bat. Volg de aanwijzigingen op het scherm.
    Je bureaublad en ikoontjes zullen even verdwijnen en daarna terug verschijnen, dit is normaal.
    Wacht tot het tooltje zijn werk heeft gedaan en Disk Cleanup afgelopen is. Dit kan enige tijd duren, dus wees geduldig.

    * verwijder dan volgende mappen indien aanwezig:

    D:\Program Files\SpyAxe
    C:\Program Files\SpyTrooper

    * start je pc weer normaal en doe opnieuw een scan met panda en bewaar het resultaat

    * herstart je pc en post terug een nieuw hijakthis logje hier met het logje van smitrem + het rapport van panda

    Member of ASAP

  7. #7
    Up-to-date  
    Geregistreerd
    27 August 2005
    Berichten
    13
    Bedankjes
    0
    Bedankt
    1 keer in 1 post

    Re: Zeer vervelende spyware infectie !

    @ JURGENV,

    Ter info :

    Ik heb weer alles uitgevoerd zoals je vraagde maar de volgende mappen, bestanden kon ik niet terug vinden. Ik veronderstel dat ze al verdwenen waren.

    D:\WINDOWS\System32\hp824F.tmp
    D:\DOCUMENTS AND SETTINGS\ALL USERS\BUREAUBLAD\Online Security Center.url
    D:\Documents and Settings\PETER\Local Settings\Temp\sa1A.exe
    D:\Program Files\SpyAxe\uninst.exe


    Panda vind nogwel 2 items spyware zegt hij.


    Zo te zien ben ik verlost van die vervelende spyware. IK Heb terug mijn normale startpagina en geen vervelende pop-ups.



    IK bedankt je alvast voor de tijd die je genomen heb om mij te helpen Jurgernv

    De resterende log :


    HIJACK :

    Logfile of HijackThis v1.99.1
    Scan saved at 7:49:10, on 21-11-2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Ahead\InCD\InCDsrv.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\WINDOWS\Explorer.EXE
    D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    D:\WINDOWS\System32\RunDll32.exe
    D:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
    D:\Program Files\Ahead\InCD\InCD.exe
    D:\Program Files\Telemeter 3.0\telemeter3.exe
    D:\Program Files\Logitech\Video\LogiTray.exe
    D:\WINDOWS\System32\ctfmon.exe
    D:\Program Files\Messenger\msmsgs.exe
    D:\Program Files\MSN Messenger\MsnMsgr.Exe
    D:\Program Files\VIA\RAID\raid_tool.exe
    D:\Program Files\WinZip\WZQKPICK.EXE
    D:\WINDOWS\System32\LVComS.exe
    D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    D:\Program Files\Eset\nod32krn.exe
    D:\WINDOWS\System32\nvsvc32.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\System32\wuauclt.exe
    D:\Program Files\Internet Explorer\iexplore.exe
    D:\Documents and Settings\PETER\Mijn documenten\HIJACK THIS\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://pac.telenet.be:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - D:\WINDOWS\System32\hp566D.tmp (file missing)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe
    O4 - HKLM\..\Run: [Telemeter 3.0] "D:\Program Files\Telemeter 3.0\telemeter3.exe"
    O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] D:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [LDM] D:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O4 - Global Startup: raid_tool.exe.lnk = D:\Program Files\VIA\RAID\raid_tool.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
    O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
    O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
    http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126077118265
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: WRNotifier - D:\WINDOWS\SYSTEM32\WRLogonNTF.dll
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Program Files\Ahead\InCD\InCDsrv.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - D:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe



    smitfile :

    smitRem © log file
    version 2.7

    by noahdfear

    Microsoft Windows XP [versie 5.1.2600]
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    checking for ShudderLTD key
    ShudderLTD key not present!
    checking for PSGuard.com key

    PSGuard.com key not present!
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Existing Pre-run Files

    ~~~ Program Files ~~~

    ~~~ Shortcuts ~~~

    ~~~ Favorites ~~~

    ~~~ system32 folder ~~~
    msvol.tlb
    ncompat.tlb
    hp***.tmp


    ~~~ Icons in System32 ~~~

    ~~~ Windows directory ~~~

    ~~~ Drive root ~~~

    ~~~ Miscellaneous Files/folders ~~~


    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Remaining Post-run Files

    ~~~ Program Files ~~~

    ~~~ Shortcuts ~~~

    ~~~ Favorites ~~~

    ~~~ system32 folder ~~~

    ~~~ Icons in System32 ~~~

    ~~~ Windows directory ~~~

    ~~~ Drive root ~~~

    ~~~ Miscellaneous Files/folders ~~~


    ~~~ Wininet.dll ~~~
    CLEAN!

    PANDA

    Incident Status Location
    Adware:adware/securityerror No disinfected D:\Documents and Settings\PETER\Favorieten\Free XXX Sites List.url
    Adware:adware/need2find No disinfected Windows Registry


    THX

  8. #8
    Erelid   jurgenv's schermafbeelding
    Geregistreerd
    10 May 2005
    Locatie
    West-Vlaanderen
    Berichten
    5.887
    Bedankjes
    100
    Bedankt
    901 keer in 829 posts

    Re: Zeer vervelende spyware infectie !

    er zijn nog restandjes aanwezig

    * open hijackthis en vink volgende regel aan:

    O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - D:\WINDOWS\System32\hp566D.tmp (file missing)

    * sluit dan alle vensters behalve hijackthis en klik op 'fix checked'

    * Download Killbox van Option^Explicit.
    * Unzip het en dubbelklik op Killbox.exe om het uit te voeren.
    * Klik op Tools -> Delete Temp Files, en druk op OK
    * Selecteer de "Delete on Reboot" optie.
    * Kopieer (Selecteren en dan Control+C) het volgende vetgedrukte:

    D:\Documents and Settings\PETER\Favorieten\Free XXX Sites List.url

    * Open 'file' in het killboxmenu bovenaan en kies: Paste from clipboard

    Je zal zien, het bovenstaande vetgedrukte zal staan in het "Full Path of File to Delete"-veld.
    Er is een klein pijltje naast dat veld. Als je daarop klikt zal je al die bovenstaande lijntjes die je gekopieerd hebt zien staan (dit is alvast de bedoeling)


    * Klik op de rode cirkel met het wit kruisje erin.
    * Killbox zal zeggen dat deze file zal verwijderd worden on reboot.. Klik YES
    * Wanneer killbox vraagt om nu te rebooten klik je op YES

    Als killbox deze vraag niet stelt of als je een foutmelding krijgt, reboot je manueel.

    * herstart daarna je pc en doe opnieuw een scan met panda en post het resultaat terug hier met een nieuw hijackthis logje

    Member of ASAP

Discussie informatie

Users Browsing this Thread

Momenteel bekijken 1 gebruikers deze discussie. (0 leden en 1 gasten)

Soortgelijke discussies

  1. pc vol spyware (zeer traag)
    Door bike devil in forum HijackThis
    Reacties: 6
    Laatste bericht: 22 September 2005, 20:35
  2. log van vervelende spyware dagfoto
    Door Konichiwa in forum HijackThis
    Reacties: 14
    Laatste bericht: 9 August 2005, 17:16
  3. wanneer mag een infectie verwijderd worden
    Door novice in forum Malware
    Reacties: 5
    Laatste bericht: 7 June 2005, 22:45

Favorieten/bladwijzers

Favorieten/bladwijzers

Regels voor berichten

  • Je mag geen nieuwe discussies starten
  • Je mag niet reageren op berichten
  • Je mag geen bijlagen versturen
  • Je mag niet je berichten bewerken
  •