De problemen van mn pc:
-IE loopt zeer makkelijk vast (2pagina's tegelijk openen gaat bijvoorbeeld niet)
-Startpagina veranderd constant naar iets anders
-Bij mn favorieten komen er regelmatig sites bij (meestal sex-related) van zodra de startpagina veranderd wordt door mn pc

Met adawere se scannen levert niets op
alvast bedankt aan degene die me kan helpen

hier de log:

Logfile of HijackThis v1.99.1
Scan saved at 20:24:28, on 17-1-2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\sysbho.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Koen\Mijn documenten\downloads\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [System Redirect] C:\WINDOWS\System32\sysbho.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: sysmain.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

* Download, installeer en update de free trial versie van Ewido anti-malware (http://www.ewido.net/en/download/)


Tijdens de installatie, onder "Additional Options", haal je de vinkjes weg bij "Install background guard" en "Install scan via context menu".
Als je Ewido voor de eerste keer runt, zal je een foutmelding krijgen "Database could not be found!". Klik dan op OK. Dit is normaal.
In het hoofdscherm van Ewido, klik je op update in het linker menu, en vervolgens op de Start update knop.
Als de updates gedaan zijn, zal er op de status bar beneden "Update successful" staan.
Sluit Ewido. Laat het nog niet scannen


* open hijackthis en vink volgende regel aan:

O4 - HKLM\..\Run: [System Redirect] C:\WINDOWS\System32\sysbho.exe

* sluit dan alle vensters behalve hijackthis en klik op 'fix checked'

* Start je computer op in VEILIGE MODUS (http://users.pandora.be/marcvn/spyware/1378056.htm)

* verwijder volgend bestand indien aanwezig:

C:\WINDOWS\System32\sysbho.exe

* Open Ewido Security Suite
klik op Scanner
Klik op complete system scan
Laat het programma je pc scannen
Tijdens de scan zal je gevraagd worden of je gevonden bestanden wil verwijderen. Klik dan op OK
Als de scan beëindigd is, zal je een knop zienBewaar rapport
Klik op Bewaar rapport
Sla het rapport op op je bureaublad
Sluit Ewido af


* start je pc weer normaal en post een nieuw hijackthis logje hier + het rapport van ewido

de nieuwe hijack: (ander raportje van ewido staat eronder)

Logfile of HijackThis v1.99.1
Scan saved at 21:38:35, on 17-1-2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Koen\Mijn documenten\downloads\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: sysmain.dll
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe





ewido rapport:

---------------------------------------------------------
ewido anti-malware - Scan rapport
---------------------------------------------------------
+ Gemaakt op: 21:33:21, 17-1-2006
+ Rapport samenvatting: 4D26E80D
+ Scan resultaten:
C:\Documents and Settings\Administrator\Local Settings\Temp\rb0pkdty359x.tmp -> Trojan.Krepper.an : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Cookies\koen@ad.yieldmanager[2].txt -> Spyware.Cookie.Yieldmanager : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Cookies\koen@adopt.euroclick[2].txt -> Spyware.Cookie.Euroclick : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Cookies\koen@atdmt[2].txt -> Spyware.Cookie.Atdmt : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Cookies\koen@burstnet[2].txt -> Spyware.Cookie.Burstnet : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Cookies\koen@com[2].txt -> Spyware.Cookie.Com : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Cookies\koen@doubleclick[2].txt -> Spyware.Cookie.Doubleclick : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Cookies\koen@estat[1].txt -> Spyware.Cookie.Estat : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Cookies\koen@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Cookies\koen@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Cookies\koen@msnportal.112.2o7[1].txt -> Spyware.Cookie.2o7 : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Cookies\koen@questionmarket[2].txt -> Spyware.Cookie.Questionmarket : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temp\131636_956_1420_1376.31364.tmp -> Trojan.Krepper.ao : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temp\1376620_2988_1424_2056.30705.tmp -> Trojan.Krepper.ao : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temp\1376898_3539944_1424_3539944.17147.t mp -> Trojan.Krepper.ao : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temp\1704160_144_1420_928.17369.tmp -> Trojan.Krepper.ao : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temp\1769778_2660_1428_2716.14552.tmp -> Trojan.Krepper.ao : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temp\1835324_220_1964_1000.23248.tmp -> Trojan.Krepper.ao : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temp\2097406_968_1456_652.23335.tmp -> Trojan.Krepper.ao : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temp\2621698_1364_1424_2172.9363.tmp -> Trojan.Krepper.ao : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temp\2753230_1184_1420_508.10191.tmp -> Trojan.Krepper.ao : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temp\3014738_220_1964_1392.2055.tmp -> Trojan.Krepper.ao : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temp\3998030_220_1964_1764.28699.tmp -> Trojan.Krepper.ao : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temp\459034_736_1440_1708.30474.tmp -> Trojan.Krepper.ao : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temp\459488_3539376_1420_3539376.14328.tm p -> Trojan.Krepper.ao : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temp\590052_448_1420_732.15551.tmp -> Trojan.Krepper.ao : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temp\590368_448_1420_268.28918.tmp -> Trojan.Krepper.ao : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temp\852436_2660_1428_3716.1916.tmp -> Trojan.Krepper.ao : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temp\983766_1660_1420_236.25964.tmp -> Trojan.Krepper.ao : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temporary Internet Files\Content.IE5\5KHIC1DF\gdnFR1862[2].exe -> Downloader.Small.ayl : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temporary Internet Files\Content.IE5\7BFKKX72\an[1].exe -> Downloader.Small.rr : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temporary Internet Files\Content.IE5\7BFKKX72\gdnFR1862[1].exe -> Downloader.Small.ayl : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temporary Internet Files\Content.IE5\81TDJ01P\itshta[1].exe -> Trojan.Small.cr : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temporary Internet Files\Content.IE5\9ZFSTSKV\chm10[1].chm -> Downloader.Small.rr : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temporary Internet Files\Content.IE5\9ZFSTSKV\payload[1].ani -> Downloader.Ani.b : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temporary Internet Files\Content.IE5\MDZOHGJY\s_ta_ts[1].js -> Downloader.Inor.a : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temporary Internet Files\Content.IE5\MYH2SNIT\ieloader[1].exe -> Downloader.Small.rr : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temporary Internet Files\Content.IE5\MYH2SNIT\main[1].exe -> Dropper.Small.acx : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temporary Internet Files\Content.IE5\MYH2SNIT\q3q99[1].exe -> Downloader.Small.cah : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temporary Internet Files\Content.IE5\MYH2SNIT\v37bho[1].exe -> Dropper.Small.afu : Schoongemaakt met een backup
C:\Documents and Settings\Koen\Local Settings\Temporary Internet Files\Content.IE5\Q9JKL4N6\gdnFR1862[1].exe -> Downloader.Small.ayl : Schoongemaakt met een backup
C:\WINDOWS\itshta.exe -> Trojan.Small.cr : Schoongemaakt met een backup
C:\WINDOWS\system32\backup.old -> Trojan.Krepper.ao : Schoongemaakt met een backup
C:\WINDOWS\system32\ser2vvb8i8onvx.dll -> Downloader.Small.rr : Schoongemaakt met een backup
C:\WINDOWS\system32\sysbho.exe -> Trojan.Krepper.ao : Schoongemaakt met een backup
C:\WINDOWS\system32\sysmain.dll -> Trojan.Krepper.an : Schoongemaakt met een backup
C:\WINDOWS\system32\z5mkn2y9dl.dll -> Downloader.Small.rr : Schoongemaakt met een backup

::Einde rapport

nog steeds pop-ups?

nope, alles is blijkbaar in orde nu

bedankt ;)

Nog een paar tips om problemen te voorkomen in de toekomst:

Installeer alvast volgende GRATIS programmatjes indien je ze nog niet hebt:

Spywareblaster (http://www.javacoolsoftware.com/spywareblaster.html)
Adaware se (http://www.majorgeeks.com/download506.html)
Spybot s&d (http://http://www.safer-networking.org/en/index.html)


Tijdens het surfen, klik niet overal klakkeloos op ja als je dit gevraagd wordt... doe dit enkel wanneer je het volledig vertrouwt.

En kies eventueel een alternatieve browser zoals Opera (http://www.opera.com) of Firefox (http://www.mozilla.org/products/firefox/).

En ik raad je ook aan om af en toe een online virusscan uit te voeren. housecall (http://housecall.trendmicro.com/) en/of Bitdefender (http://www.bitdefender.com/scan/licence.php). Want, wat de ene scanner niet kan vinden, kan een andere misschien wel.
Zorg er ook voor dat je virusscanner die op je systeem geïnstalleerd is altijd up to date is!!

En... geregeld eens een bezoekje brengen aan: http://windowsupdate.microsoft.com/

Bekijk ook eens deze 2 filmpjes.. Heel interessant:
http://www2.trosradar.nl/mediaplayer/player.php?videoID=524&mode=dossier#
http://www.benedelman.org/spyware/security-111804.wmv


Meer preventietips zijn ook op volgende sites te vinden:

http://www.bluemedicine.be
http://users.telenet.be/marcvn/spyware
How did I get infected in the first place (http://castlecops.com/postitle7736-0-0-.html) (article by TonyKlein)
Het voorkomen van spyware-infecties en browserhijacking (http://www.antispywareoffensief.nl/forum/showthread.php?t=55)