Volledige versie bekijken : Zeer vervelende spyware infectie !
x-cite ride 19 November 2005, 21:20 Hallo,
Een hele tijd hebben jullie me ook uit de nesten geholpen. Heb al verscheidene programmatjes gebruikt om van mijn probleem af te raken maar niets helpt.:close
Ik krijg constant een pop-up : YOUR COMPUTER IS INFECTED! Windows has dedected spyware infection, Ook Mijn start pagina is veranderd en bij het opstarten van de computer krijg ik steeds de melding om antispyware te downloaden.
Ik zit ferm in de nesten.... :verlegen:
Hierbij een hijacktislogje
Logfile of HijackThis v1.99.1
Scan saved at 19:58:39, on 19-11-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Ahead\InCD\InCDsrv.exe
D:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\Program Files\Eset\nod32krn.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\nvctrl.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
D:\WINDOWS\System32\RunDll32.exe
D:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
D:\Program Files\Ahead\InCD\InCD.exe
D:\Program Files\Telemeter 3.0\telemeter3.exe
D:\Program Files\Logitech\Video\LogiTray.exe
D:\Program Files\SpyAxe\spyaxe.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\SpyTrooper\SpyTrooper.exe
D:\Program Files\SpyAxe\spyaxe.exe
D:\Program Files\VIA\RAID\raid_tool.exe
D:\WINDOWS\System32\LVComS.exe
D:\Program Files\WinZip\WZQKPICK.EXE
D:\Program Files\Internet Explorer\iexplore.exe
D:\WINDOWS\System32\wuauclt.exe
D:\PROGRA~1\WINZIP\winzip32.exe
D:\Documents and Settings\PETER\Mijn documenten\HIJACK THIS\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://pac.telenet.be:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - D:\WINDOWS\System32\hpBA37.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Telemeter 3.0] "D:\Program Files\Telemeter 3.0\telemeter3.exe"
O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] D:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SpyAxe] D:\Program Files\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] D:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [SpyTrooper] C:\Program Files\SpyTrooper\SpyTrooper.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: raid_tool.exe.lnk = D:\Program Files\VIA\RAID\raid_tool.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126077118265
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - D:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - D:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
jurgenv 19 November 2005, 21:25 * Je kan deze instructies best uitprinten of opslaan in een kladblokbestand, want straks zal je in veilige modus
moeten gaan werken, en dan is deze pagina niet beschikbaar (geen internet)
* Download smitRem.exe (http://noahdfear.geekstogo.com/click%20counter/click.php?id=1) en sla dit op op het Bureaublad.
Dubbelklik op het bestand en pak het uit naar zijn eigen map op het Bureaublad.
* Download, installeer en update de free trial versie van Ewido Security Suite (http://www.ewido.net/en/download/)
Tijdens de installatie, onder "Additional Options", haal je de vinkjes weg bij "Install background guard" en "Install scan via context menu".
Als je Ewido voor de eerste keer runt, zal je een foutmelding krijgen "Database could not be found!". Klik dan op OK. Dit is normaal.
In het hoofdscherm van Ewido, klik je op update in het linker menu, en vervolgens op de Start update knop.
Als de updates gedaan zijn, zal er op de status bar beneden "Update successful" staan.
Sluit Ewido. Laat het nog niet scannen
* Als je Adaware SE nog niet geïnstalleerd hebt, download, installeer en update het dan volgens de richtlijnen
die je kan vinden op: http://users.pandora.be/marcvn/spyware/1414188.htm
* Start je computer op in VEILIGE MODUS (http://users.pandora.be/marcvn/spyware/1378056.htm)
* open hijackthis en vink volgende regels aan:
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - D:\WINDOWS\System32\hpBA37.tmp
O4 - HKLM\..\Run: [SpyAxe] D:\Program Files\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [SpyTrooper] C:\Program Files\SpyTrooper\SpyTrooper.exe
* sluit dan alle vensters behalve hijackthis en klik op 'fix checked'
* Open de smitrem-map op je bureaublad, en dubbelklik op RunThis.bat. Volg de aanwijzigingen op het scherm.
Je bureaublad en ikoontjes zullen even verdwijnen en daarna terug verschijnen, dit is normaal.
Wacht tot het tooltje zijn werk heeft gedaan en Disk Cleanup afgelopen is. Dit kan enige tijd duren, dus wees geduldig.
* verwjider volgende mappen indien aanwezig:
C:\Program Files\SpyTrooper
D:\Program Files\SpyAxe
* Voer een volledige scan uit met Adaware en verwijder alles wat gevonden wordt.
* Open Ewido Security Suite
klik op Scanner
Klik op complete system scan
Laat het programma je pc scannen
Tijdens de scan zal je gevraagd worden of je gevonden bestanden wil verwijderen. Klik dan op OK
Als de scan beëindigd is, zal je een knop zienBewaar rapport
Klik op Bewaar rapport
Sla het rapport op op je bureaublad
Sluit Ewido af
* Ga dan naar Start -> configuratiescherm -> vormgeving en thema's -> bureaublad ->bureaublad aanpassen -> Website -> haal het vinkje weg bij "Security Info" als het er nog staat.
* Herstart je computer in normale modus.
* Doe een online scan via Panda's online virus scan (http://www.pandasoftware.com/activescan/com/activescan_principal.htm) en bewaar het rapport dat je krijgt na het scannen
* Herstart je pc nogmaals en plaats dan een nieuw logje van Hijackthis, samen met het rapport van Ewido en Panda, Post de log van de smitRem tool, die je hier kan vinden: C:\smitfiles.txt.
Vertel dan ook even of het probleem nog bestaat.
x-cite ride 20 November 2005, 12:50 Hallo jurgenv,
Ik heb je instructies uitgevoerd en heb de nodige scan uitgevoerd en hieronder de log ervan bijgeplaatst zoals gevraagd.
JAMMER maar ik zit nog stees met hetzelfde probleem. :close
Vind hieronder de logs die je gevraagd hebt :
HIJACK :
Logfile of HijackThis v1.99.1
Scan saved at 11:30:16, on 20-11-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Ahead\InCD\InCDsrv.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\nvctrl.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
D:\WINDOWS\System32\RunDll32.exe
D:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
D:\Program Files\Ahead\InCD\InCD.exe
D:\Program Files\Telemeter 3.0\telemeter3.exe
D:\Program Files\Logitech\Video\LogiTray.exe
D:\Program Files\SpyAxe\spyaxe.exe
D:\Program Files\SpyAxe\spyaxe.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\SpyTrooper\SpyTrooper.exe
D:\Program Files\VIA\RAID\raid_tool.exe
D:\Program Files\WinZip\WZQKPICK.EXE
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\Program Files\Eset\nod32krn.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\LVComS.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Documents and Settings\PETER\Mijn documenten\HIJACK THIS\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://pac.telenet.be:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - D:\WINDOWS\System32\hp6C75.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Telemeter 3.0] "D:\Program Files\Telemeter 3.0\telemeter3.exe"
O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] D:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SpyAxe] D:\Program Files\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] D:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [SpyTrooper] C:\Program Files\SpyTrooper\SpyTrooper.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: raid_tool.exe.lnk = D:\Program Files\VIA\RAID\raid_tool.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126077118265
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - D:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - D:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
PANDA LOG
Incident Status Location
Adware:Adware/SpySheriff No disinfected C:\Program Files\SpyTrooper\heur002.dll
Adware:adware/securityerror No disinfected D:\WINDOWS\System32\nvctrl.exe
Adware:adware/spyaxe No disinfected D:\WINDOWS\System32\svchosts.dll
Adware:adware/securityerror No disinfected D:\DOCUMENTS AND SETTINGS\ALL USERS\BUREAUBLAD\Online Security Center.url
Adware:adware/spyaxe No disinfected D:\WINDOWS\SYSTEM32\svchosts.dll
Adware:adware/spytrooper No disinfected D:\Documents and Settings\PETER\Bureaublad\SpyTrooper.lnk
Adware:adware/twain-tech No disinfected D:\WINDOWS\smdat32m.sys
Adware:adware/need2find No disinfected D:\PROGRAM FILES\Need2Find
Adware:adware/antivirus-gold No disinfected Windows Registry
Adware:Adware/SpywareNo No disinfected C:\Program Files\SpyTrooper\ProcMon.dll
Adware:Adware/SpywareNo No disinfected C:\Program Files\SpyTrooper\IESecurity.dll
Adware:Adware/SpySheriff No disinfected C:\Program Files\SpyTrooper\heur002.dll
Adware:Adware/SpySheriff No disinfected C:\System Volume Information\_restore{006C0715-CFBA-4721-AE54-34D78E5259FE}\RP6\A0002567.dll
Adware:Adware/SpywareNo No disinfected C:\System Volume Information\_restore{006C0715-CFBA-4721-AE54-34D78E5259FE}\RP6\A0002568.dll
Adware:Adware/SpywareNo No disinfected C:\System Volume Information\_restore{006C0715-CFBA-4721-AE54-34D78E5259FE}\RP6\A0002569.dll
Adware:Adware/SpywareNo No disinfected D:\Documents and Settings\PETER\Bureaublad\Install.exe
Adware:Adware/SpyAxe No disinfected D:\Program Files\SpyAxe\uninst.exe
Adware:Adware/SpyAxe No disinfected D:\WINDOWS\system32\1024\ld30CB.tmp disinfe\svchosts.dll \svchosts.dll Files\SpyTrooper\heur002.dll
EWIDO LOG
---------------------------------------------------------
ewido security suite - Scan rapport
---------------------------------------------------------
+ Gemaakt op: 10:25:21, 20-11-2005
+ Rapport samenvatting: B85D41CE
+ Scan resultaten:
HKLM\SOFTWARE\Need2Find -> Spyware.Need2Find : Schoongemaakt met een backup
HKLM\SOFTWARE\Need2Find\bar -> Spyware.Need2Find : Schoongemaakt met een backup
HKLM\SOFTWARE\Need2Find\bar\Partner -> Spyware.Need2Find : Schoongemaakt met een backup
HKU\S-1-5-21-1844237615-1292428093-682003330-1003\Software\Need2Find -> Spyware.Need2Find : Schoongemaakt met een backup
HKU\S-1-5-21-1844237615-1292428093-682003330-1003\Software\Need2Find\bar -> Spyware.Need2Find : Schoongemaakt met een backup
C:\RECYCLED\Dc1\heur002.dll -> Adware.SpySheriff : Schoongemaakt met een backup
C:\RECYCLED\Dc1\IESecurity.dll -> Spyware.SpywareNo : Schoongemaakt met een backup
C:\RECYCLED\Dc1\ProcMon.dll -> Adware.SpySheriff : Schoongemaakt met een backup
C:\RECYCLED\Dc1\Uninstall.exe -> Adware.SpySheriff : Schoongemaakt met een backup
D:\Documents and Settings\PETER\Bureaublad\Install.exe -> Not-A-Virus.Hoax.Renos.b : Schoongemaakt met een backup
D:\Documents and Settings\PETER\Cookies\peter@com[2].txt -> Spyware.Cookie.Com : Schoongemaakt met een backup
D:\Program Files\Need2Find -> Spyware.Need2Find : Schoongemaakt met een backup
D:\Program Files\Need2Find\bar -> Spyware.Need2Find : Schoongemaakt met een backup
D:\Program Files\Need2Find\bar\History -> Spyware.Need2Find : Schoongemaakt met een backup
D:\Program Files\Need2Find\bar\History\search -> Spyware.Need2Find : Schoongemaakt met een backup
D:\Program Files\Need2Find\bar\Settings -> Spyware.Need2Find : Schoongemaakt met een backup
::Einde rapport
SMITFILE
smitRem © log file
version 2.7
by noahdfear
Microsoft Windows XP [versie 5.1.2600]
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
checking for ShudderLTD key
ShudderLTD key not present!
checking for PSGuard.com key
PSGuard.com key not present!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Existing Pre-run Files
~~~ Program Files ~~~
~~~ Shortcuts ~~~
SpyTrooper.lnk
SpyTrooper folder
Online Security Center.url
~~~ Favorites ~~~
Antivirus Test Online.url
~~~ system32 folder ~~~
msvol.tlb
ld****.tmp
mssearchnet.exe
ncompat.tlb
nvctrl.exe
mscornet.exe
hp***.tmp
~~~ Icons in System32 ~~~
ts.ico
ot.ico
~~~ Windows directory ~~~
~~~ Drive root ~~~
~~~ Miscellaneous Files/folders ~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Remaining Post-run Files
~~~ Program Files ~~~
~~~ Shortcuts ~~~
~~~ Favorites ~~~
~~~ system32 folder ~~~
~~~ Icons in System32 ~~~
~~~ Windows directory ~~~
~~~ Drive root ~~~
~~~ Miscellaneous Files/folders ~~~
~~~ Wininet.dll ~~~
CLEAN! :)
~~~ Upon reboot ~~~
wininet.old not present!
oleadm.dll not present!
oleext.dll not present!
~~~ Upon completion ~~~
wininet.old not present!
oleadm.dll not present!
oleext.dll not present!
~~~~ Rechecking D:\WINDOWS\system32\wininet.dll for infection ~~~~
~~~~ D:\WINDOWS\system32\wininet.dll Clean! :) ~~~~
Hopelijk kan je me meer vertellen met deze informatie hoe ik deze vervelende dingen kan verwijderen op mij PC
THX Peter
jurgenv 20 November 2005, 14:36 * nu is het belangrijk dat je volgende stappen in de opgegeven volgorde uitvoert en niks overslaat!! print dit uit of sla dit op in kladblok want we zullen in veilige modus moeten werken waarbij deze pagina niet beschikbaar zal zijn
* download en installeer ccleaner (http://www.majorgeeks.com/downloadget.php?id=4191&file=11&evp=a12d758b021af1a4f0a6bfe45b0c7a82)
maar nog niet gebruiken!
* download het volgend bestand naar je bureaublad en unzip het .reg bestand ook naar je desktop:
http://users.telenet.be/marcvn/regfiles/spyaxe.zip
* start je pc in veilige modus
* dubbelklik op spyaxe.reg op je bureaublad en sta toe dat het toegevoegd word aan het register
* maak verborgen mappen en bestanden zichtbaar:
Start -> configuratiescherm -> mapopties -> weergave
dan het vinkje weghalen bij "beveiligde systeembesturingsbestanden verbergen"
onderaan dit lijstje plaats je een vinkje bij "verborgen bestanden en mappen weergeven" en je sluit af met OK te klikken.
* verwijder volgende bstanden indien aanwezig:
D:\WINDOWS\System32\nvctrl.exe
D:\WINDOWS\System32\svchosts.dll
D:\DOCUMENTS AND SETTINGS\ALL USERS\BUREAUBLAD\Online Security Center.url
D:\Documents and Settings\PETER\Bureaublad\SpyTrooper.lnk
D:\WINDOWS\smdat32m.sys
D:\Documents and Settings\PETER\Bureaublad\Install.exe
* verwijder volgende mappen indien aanwezig:
D:\PROGRAM FILES\Need2Find
D:\Program Files\SpyAxe
D:\WINDOWS\system32\1024
C:\Program Files\SpyTrooper
* open ccleaner en klik rechtsonderaan op 'opschonen'
* start je pc weer normaal
* schakel systeemherstel uit en terug in (http://users.telenet.be/marcvn/spyware/1852808.htm)
* herstart nogmaals je pc on doe opnieuw een scan met panda en post het resultaat terug hier met een nieuw hijackthis logje
x-cite ride 20 November 2005, 23:29 Hallo jurgenv,
- éen ambetanterik is verdwenen : de pop-up die steeds melde dat mijn pc infected was.
- Nu wordt ik nog steeds lastig gevallen als ik onlog op het internet.
mijn start pagina is nog steeds http://www.updateyoursystem.com/ Met daarna
een pop up dat ik het programma moet downloaden om van de spyware af te komen.
MOOIE MANIER OM JE PROGRAMMA'S AAN DE MAN PROBEREN TE BRENGEN.
Volgende bestanden, mappen kon ik niet verwijderen zoals je me gevraagd had. Kreeg de melding dat ze beveiligd waren tegen schrijven :
D:\WINDOWS\System32\nvctrl.exe
D:\WINDOWS\System32\svchosts.dll
D:\Program Files\SpyAxeC:\Program Files\SpyTrooper
VOlgende log's gemaakt :
HIJACK :
Logfile of HijackThis v1.99.1
Scan saved at 22:27:31, on 20-11-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Ahead\InCD\InCDsrv.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\nvctrl.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
D:\WINDOWS\System32\RunDll32.exe
D:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
D:\Program Files\Ahead\InCD\InCD.exe
D:\Program Files\Telemeter 3.0\telemeter3.exe
D:\Program Files\Logitech\Video\LogiTray.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\Program Files\Eset\nod32krn.exe
D:\WINDOWS\System32\LVComS.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\VIA\RAID\raid_tool.exe
D:\Program Files\WinZip\WZQKPICK.EXE
D:\WINDOWS\System32\wuauclt.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Documents and Settings\PETER\Mijn documenten\HIJACK THIS\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://pac.telenet.be:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - D:\WINDOWS\System32\hp824F.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Telemeter 3.0] "D:\Program Files\Telemeter 3.0\telemeter3.exe"
O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] D:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] D:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: raid_tool.exe.lnk = D:\Program Files\VIA\RAID\raid_tool.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126077118265
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - D:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - D:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
PANDA LOG :
Incident Status Location
Adware:adware/securityerror No disinfected D:\WINDOWS\System32\nvctrl.exe
Adware:adware/securityerror No disinfected D:\DOCUMENTS AND SETTINGS\ALL USERS\BUREAUBLAD\Online Security Center.url
Adware:adware/spyaxe No disinfected D:\WINDOWS\SYSTEM32\svchosts.dll
Adware:adware/need2find No disinfected Windows Registry
Adware:Adware/SpyAxe No disinfected D:\Documents and Settings\PETER\Local Settings\Temp\sa1A.exe
Adware:Adware/SpyAxe No disinfected D:\Program Files\SpyAxe\uninst.exe
Hopelijk zijn we nu al een stapje verder.
Alvast bedankt voor de moeite.
Peter
jurgenv 20 November 2005, 23:41 * open hijackthis en vink volgende regel aan:
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - D:\WINDOWS\System32\hp824F.tmp
* sluit dan alle vensters behalve hijackthis ne klik op 'fix checked'
* Download Killbox (http://www.bleepingcomputer.com/files/spyware/KillBox.zip) van Option^Explicit.
* Unzip het en dubbelklik op Killbox.exe om het uit te voeren.
* Klik op Tools -> Delete Temp Files, en druk op OK
* Selecteer de "Delete on Reboot" optie.
* Kopieer (Selecteren en dan Control+C) het volgende vetgedrukte:
D:\WINDOWS\System32\hp824F.tmp
D:\WINDOWS\System32\nvctrl.exe
D:\DOCUMENTS AND SETTINGS\ALL USERS\BUREAUBLAD\Online Security Center.url
D:\WINDOWS\SYSTEM32\svchosts.dll
D:\Documents and Settings\PETER\Local Settings\Temp\sa1A.exe
D:\Program Files\SpyAxe\uninst.exe
* Open 'file' in het killboxmenu bovenaan en kies: Paste from clipboard
Je zal zien, het bovenstaande vetgedrukte zal staan in het "Full Path of File to Delete"-veld.
Er is een klein pijltje naast dat veld. Als je daarop klikt zal je al die bovenstaande lijntjes die je gekopieerd hebt zien staan (dit is alvast de bedoeling)
* Klik op de rode cirkel met het wit kruisje erin.
* Killbox zal zeggen dat deze file zal verwijderd worden on reboot.. Klik YES
* Wanneer killbox vraagt om nu te rebooten klik je op YES
Als killbox deze vraag niet stelt of als je een foutmelding krijgt, reboot je manueel.
* start daarna je pc terug in veilige modus
* dubdelklik terug op spyaxe.reg en sta toe het samenvogen met het register
* Open de smitrem-map op je bureaublad, en dubbelklik op RunThis.bat. Volg de aanwijzigingen op het scherm.
Je bureaublad en ikoontjes zullen even verdwijnen en daarna terug verschijnen, dit is normaal.
Wacht tot het tooltje zijn werk heeft gedaan en Disk Cleanup afgelopen is. Dit kan enige tijd duren, dus wees geduldig.
* verwijder dan volgende mappen indien aanwezig:
D:\Program Files\SpyAxe
C:\Program Files\SpyTrooper
* start je pc weer normaal en doe opnieuw een scan met panda en bewaar het resultaat
* herstart je pc en post terug een nieuw hijakthis logje hier met het logje van smitrem + het rapport van panda
x-cite ride 21 November 2005, 09:39 (y) (y) (y) @ JURGENV,
Ter info :
Ik heb weer alles uitgevoerd zoals je vraagde maar de volgende mappen, bestanden kon ik niet terug vinden. Ik veronderstel dat ze al verdwenen waren.
D:\WINDOWS\System32\hp824F.tmp
D:\DOCUMENTS AND SETTINGS\ALL USERS\BUREAUBLAD\Online Security Center.url
D:\Documents and Settings\PETER\Local Settings\Temp\sa1A.exe
D:\Program Files\SpyAxe\uninst.exe
Panda vind nogwel 2 items spyware zegt hij.
Zo te zien ben ik verlost van die vervelende spyware. IK Heb terug mijn normale startpagina en geen vervelende pop-ups.:D
IK bedankt je alvast voor de tijd die je genomen heb om mij te helpen (y) Jurgernv (y)
De resterende log :
HIJACK :
Logfile of HijackThis v1.99.1
Scan saved at 7:49:10, on 21-11-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Ahead\InCD\InCDsrv.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
D:\WINDOWS\System32\RunDll32.exe
D:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
D:\Program Files\Ahead\InCD\InCD.exe
D:\Program Files\Telemeter 3.0\telemeter3.exe
D:\Program Files\Logitech\Video\LogiTray.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\VIA\RAID\raid_tool.exe
D:\Program Files\WinZip\WZQKPICK.EXE
D:\WINDOWS\System32\LVComS.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\Program Files\Eset\nod32krn.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Documents and Settings\PETER\Mijn documenten\HIJACK THIS\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/ (http://www.google.be/)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://pac.telenet.be:8080 (http://pac.telenet.be:8080)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - D:\WINDOWS\System32\hp566D.tmp (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Telemeter 3.0] "D:\Program Files\Telemeter 3.0\telemeter3.exe"
O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] D:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] D:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: raid_tool.exe.lnk = D:\Program Files\VIA\RAID\raid_tool.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 (http://go.microsoft.com/fwlink/?linkid=39204)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126077118265 (http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126077118265)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab (http://acs.pandasoftware.com/activescan/as5free/asinst.cab)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab (http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - D:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - D:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
smitfile :
smitRem © log file
version 2.7
by noahdfear
Microsoft Windows XP [versie 5.1.2600]
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
checking for ShudderLTD key
ShudderLTD key not present!
checking for PSGuard.com key
PSGuard.com key not present!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Existing Pre-run Files
~~~ Program Files ~~~
~~~ Shortcuts ~~~
~~~ Favorites ~~~
~~~ system32 folder ~~~
msvol.tlb
ncompat.tlb
hp***.tmp
~~~ Icons in System32 ~~~
~~~ Windows directory ~~~
~~~ Drive root ~~~
~~~ Miscellaneous Files/folders ~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Remaining Post-run Files
~~~ Program Files ~~~
~~~ Shortcuts ~~~
~~~ Favorites ~~~
~~~ system32 folder ~~~
~~~ Icons in System32 ~~~
~~~ Windows directory ~~~
~~~ Drive root ~~~
~~~ Miscellaneous Files/folders ~~~
~~~ Wininet.dll ~~~
CLEAN! :)
PANDA
Incident Status Location
Adware:adware/securityerror No disinfected D:\Documents and Settings\PETER\Favorieten\Free XXX Sites List.url
Adware:adware/need2find No disinfected Windows Registry
THX
jurgenv 21 November 2005, 18:13 er zijn nog restandjes aanwezig ;)
* open hijackthis en vink volgende regel aan:
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - D:\WINDOWS\System32\hp566D.tmp (file missing)
* sluit dan alle vensters behalve hijackthis en klik op 'fix checked'
* Download Killbox (http://www.bleepingcomputer.com/files/spyware/KillBox.zip) van Option^Explicit.
* Unzip het en dubbelklik op Killbox.exe om het uit te voeren.
* Klik op Tools -> Delete Temp Files, en druk op OK
* Selecteer de "Delete on Reboot" optie.
* Kopieer (Selecteren en dan Control+C) het volgende vetgedrukte:
D:\Documents and Settings\PETER\Favorieten\Free XXX Sites List.url
* Open 'file' in het killboxmenu bovenaan en kies: Paste from clipboard
Je zal zien, het bovenstaande vetgedrukte zal staan in het "Full Path of File to Delete"-veld.
Er is een klein pijltje naast dat veld. Als je daarop klikt zal je al die bovenstaande lijntjes die je gekopieerd hebt zien staan (dit is alvast de bedoeling)
* Klik op de rode cirkel met het wit kruisje erin.
* Killbox zal zeggen dat deze file zal verwijderd worden on reboot.. Klik YES
* Wanneer killbox vraagt om nu te rebooten klik je op YES
Als killbox deze vraag niet stelt of als je een foutmelding krijgt, reboot je manueel.
* herstart daarna je pc en doe opnieuw een scan met panda en post het resultaat terug hier met een nieuw hijackthis logje
|
|