Weer miserie e...

[Kennethje]

Logfile of HijackThis v1.99.1
Scan saved at 22:11:07, on 30/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\wuauclt.exe
c:\ss.exe
D:\DOCUME~1\DEKENN~1\LOCALS~1\Temp\iinstall.exe
D:\Program Files\Media Gateway\MediaGateway.exe
D:\Program Files\ISTsvc\istsvc.exe
D:\WINDOWS\vuhspu.exe
D:\Program Files\SurfAccuracy\SAcc.exe
D:\Program Files\180searchassistant\salm.exe
D:\Program Files\Internet Optimizer\optimize.exe
D:\temp\bundle_cdt1006.exe
D:\Program Files\BullsEye Network\bin\bargains.exe
D:\Documents and Settings\De Kenneth\Bureaublad\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - D:\WINDOWS\nem220.dll
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - d:\program files\180searchassistant\salmhook.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - D:\Program Files\SideFind\sfbho.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - D:\WINDOWS\System32\msbe.dll
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\Program Files\ISTbar\istbar.dll
O4 - HKLM\..\Run: [gcasServ] "D:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Media Gateway] D:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [IST Service] D:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [U98aL7qK] D:\WINDOWS\vuhspu.exe
O4 - HKLM\..\Run: [SurfAccuracy] D:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [salm] d:\program files\180searchassistant\salm.exe
O4 - HKLM\..\Run: [Internet Optimizer] "D:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [vabczgt] D:\WINDOWS\vabczgt.exe
O4 - HKLM\..\Run: [BullsEye Network] D:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [Power Scan] D:\Program Files\Power Scan\powerscan.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - D:\Program Files\SideFind\sidefind.dll
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Me.../bridge-c7.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1125088175247
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...0006_adult.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{64EBF168-E94E-4130-B73B-8909958AEAFD}: NameServer = 195.238.2.22 195.238.2.21
O23 - Service: SYS MANAGER (system) - Unknown owner - D:\WINDOWS\SYSWIN32.EXE

Ik wil men C: station formateren maar dit lukt ook niet :s ik kan alles verwijderen maar van de moment da ik internet opzet komen er daar setup bestanden en afbeelding waar ik niks mee kan doen en er komt altijd reclame als ik internet juist opzet en anders niet
Alvast bedankt e

En dan nog iets men achtergrond op men bureaublad is een pagina van internet en kan deze niet meer wijzigen er staat als volgt ; Your system is infected! System has been stopped due a serious malfunction.
Spyware activity has been detected.
It recommeded to use spyware removal tool to prevent data loss.
Do not use the computer before all spyware has removed.
Voila da ist voorlopig

[jurgenv]

wow, er draait bijna niks zuiver op dit systeem

* download en installeer ccleaner
maar nog niet gebruiken!

* ga naar start==>configuratiescherm==>software en de-installeer:
Media Gateway
IST Service
SurfAccuracy
180searchassistant
180solutions
Internet Optimizer
BullsEye Network
Power Scan
SideFind
ISTbar

* open hijackthis en vink volgende regels aan:

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - D:\WINDOWS\nem220.dll
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - d:\program files\180searchassistant\salmhook.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - D:\Program Files\SideFind\sfbho.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - D:\WINDOWS\System32\msbe.dll
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\Program Files\ISTbar\istbar.dll
O4 - HKLM\..\Run: [Media Gateway] D:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [IST Service] D:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [U98aL7qK] D:\WINDOWS\vuhspu.exe
O4 - HKLM\..\Run: [SurfAccuracy] D:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [salm] d:\program files\180searchassistant\salm.exe
O4 - HKLM\..\Run: [Internet Optimizer] "D:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [vabczgt] D:\WINDOWS\vabczgt.exe
O4 - HKLM\..\Run: [BullsEye Network] D:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [Power Scan] D:\Program Files\Power Scan\powerscan.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - D:\Program Files\SideFind\sidefind.dll
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/M...e/bridge-c7.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softw.../0006_adult.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O23 - Service: SYS MANAGER (system) - Unknown owner - D:\WINDOWS\SYSWIN32.EXE

* sluit dan alle vensters behalvhijackthis en klik op 'fix checked'

* start je pc in veilige modus

* in veilige modus, verwijder volgende mappen(indien aanwezig):

D:\program files\180searchassistant
D:\Program Files\SideFind
D:\Program Files\ISTbar
D:\Program Files\Media Gateway
D:\Program Files\ISTsvc
D:\Program Files\SurfAccuracy
D:\Program Files\Internet Optimizer
D:\Program Files\BullsEye Network
D:\Program Files\Power Scan

* verwijder volgende bestanden(indien aanwezig):

D:\WINDOWS\nem220.dll
D:\WINDOWS\System32\msbe.dll
D:\WINDOWS\vuhspu.exe
D:\WINDOWS\vabczgt.exe
D:\WINDOWS\SYSWIN32.EXE

* open ccleaner en klik rechtsonderaan op 'opschonen'

* start je pc weer normaal en post een nieuw hijackthis logje

[jurgenv]

heb uw aanvulling te laat gelezen, die er van de eerste keer bijplaatsen want nu is er veel meer aan de hand dan op het eerste zicht..maar ok, doe nu eerst de stappen die ik hierboven vertel

[Kennethje]

Der zijn enkele bestanden da ik niet kan vinden zoals syswin32.exe
vuhspu.exe
vabczgt.exe
msbe.dll

De nieuwe log is

Logfile of HijackThis v1.99.1
Scan saved at 17:19:28, on 31/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\svchost.exe
D:\Documents and Settings\De Kenneth\Bureaublad\hijackthis\HijackThis.exe
D:\WINDOWS\System32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
O4 - HKLM\..\Run: [gcasServ] "D:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Me.../bridge-c7.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1125088175247
O17 - HKLM\System\CCS\Services\Tcpip\..\{64EBF168-E94E-4130-B73B-8909958AEAFD}: NameServer = 195.238.2.22 195.238.2.21
O23 - Service: SYS MANAGER (system) - Unknown owner - D:\WINDOWS\SYSWIN32.EXE

[jurgenv]

heb je nog altijd die melding op je achtergrond?

[Kennethje]

heb je nog altijd die melding op je achtergrond?

Ja en ik kan het nog niet veranderen ook maar voor de rest is alles wel al een stuk beter :d bedankt e

[jurgenv]

* Je kan deze instructies best uitprinten of opslaan in een kladblokbestand, want straks zal je in veilige modus
moeten gaan werken, en dan is deze pagina niet beschikbaar (geen internet)

* Download smitRem.exe en sla dit op op het Bureaublad.
Dubbelklik op het bestand en pak het uit naar zijn eigen map op het Bureaublad.


* Download, installeer en update de free trial versie van Ewido Security Suite

1. Tijdens de installatie, onder "Additional Options", haal je de vinkjes weg bij "Install background guard" en "Install scan via context menu".
2. Als je Ewido voor de eerste keer runt, zal je een foutmelding krijgen "Database could not be found!". Klik dan op OK. Dit is normaal.
3. In het hoofdscherm van Ewido, klik je op update in het linker menu, en vervolgens op de Start update knop.
4. Als de updates gedaan zijn, zal er op de status bar beneden "Update successful" staan.
5. Sluit Ewido. Laat het nog niet scannen

* Als je Adaware SE nog niet geïnstalleerd hebt, download, installeer en update het dan volgens de richtlijnen
die je kan vinden op: http://users.pandora.be/marcvn/spyware/1414188.htm

* Start je computer op in VEILIGE MODUS

* open hijackthis en vink volgende regels aan:

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/M...e/bridge-c7.cab
O23 - Service: SYS MANAGER (system) - Unknown owner - D:\WINDOWS\SYSWIN32.EXE

* sluit dan alle vensters behalve hijackthis en kli op 'fix checked'

Open de smitrem-map op je bureaublad, en dubbelklik op RunThis.bat. Volg de aanwijzigingen op het scherm.
Je bureaublad en ikoontjes zullen even verdwijnen en daarna terug verschijnen, dit is normaal.
Wacht tot het tooltje zijn werk heeft gedaan en Disk Cleanup afgelopen is. Dit kan enige tijd duren, dus wees geduldig.

* Voer een volledige scan uit met Adaware en verwijder alles wat gevonden wordt.

* Open Ewido Security Suite

• klik op Scanner
• Klik op complete system scan
• Laat het programma je pc scannen

Tijdens de scan zal je gevraagd worden of je gevonden bestanden wil verwijderen. Klik dan op OK
Als de scan beëindigd is, zal je een knop zienBewaar rapport

• Klik op Bewaar rapport
• Sla het rapport op op je bureaublad
• Sluit Ewido af

* Ga dan naar Start -> configuratiescherm -> vormgeving en thema's -> bureaublad ->bureaublad aanpassen -> Website -> haal het vinkje weg bij "Security Info" als het er nog staat.

* Herstart je computer in normale modus.

* Doe een online scan via Panda's online virus scanen bewaar het rapport dat je krijgt na het scannen

* Herstart je pc nogmaals en plaats dan een nieuw logje van Hijackthis, samen met het rapport van Ewido en Panda

[Kennethje]

Zeg die logs kan ik niet opslaan of pc zit vast maar achtergrond is voorlopig weer goe :-)
en anders heb ik verder geen problemen meer
Mercikes ver de hulp he
Grtz Kenneth

[jurgenv]

kzou graag die logjes zien, en ook een hijackthis logje :(

[Kennethje]

Oléé toch iets gelukt

---------------------------------------------------------
ewido security suite - Scan rapport
---------------------------------------------------------
+ Gemaakt op: 19:59:36, 1/09/2005
+ Rapport samenvatting: 28328F2D
+ Scan resultaten:
D:\System Volume Information\_restore{3B79A2D9-2D11-412A-AEF8-E1451FBA7851}\RP18\A0036412.exe -> Backdoor.Rbot : Schoongemaakt met een backup

::Einde rapport


Logfile of HijackThis v1.99.1
Scan saved at 20:00:49, on 1/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\ewido\security suite\ewidoctrl.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\explorer.exe
D:\Documents and Settings\De Kenneth\Bureaublad\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
O4 - HKLM\..\Run: [gcasServ] "D:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1125088175247
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/actives...ree/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{64EBF168-E94E-4130-B73B-8909958AEAFD}: NameServer = 195.238.2.22 195.238.2.21
O23 - Service: ewido security suite control - ewido networks - D:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: SYS MANAGER (system) - Unknown owner - D:\WINDOWS\SYSWIN32.EXE (file missing)