Archief - ad-aware scan

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
A

Alcatrazz

Legacy Member
Elke keer als ik mijne pc met ad-aware scan heb ik 6 "critical objects", en als ik die verwijder, en ik scan daarna nog is met ad-aware, komen altijd diezelfde 6 objects terug.
ik heb die objects ff gekopieerd vanuit dieje log:

HttpFilter Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : httpfilter.callthrough.1

HttpFilter Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : httpfilter.callthrough.1
Value :

HttpFilter Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : httpfilter.callthrough

HttpFilter Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : httpfilter.callthrough
Value :

HttpFilter Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : clsid\{ee7a946e-61fa-4979-87b8-a6c462e6fa62}

HttpFilter Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : clsid\{ee7a946e-61fa-4979-87b8-a6c462e6fa62}



Ook als ik scan met Spybot search & destroy komen er steeds dezelfde entries terug na ik die heb verwijderd, bij spybot noemen deze 5 entries "DSO exploit"

weet er iemand hoe ik deze rommel nu echt definitief kan verwijdere ofzo, want elke keer ik scan staan ze der weer :s :help:

grtz
F

Fraggie

Legacy Member
DSO exploit moet je maar negeren is bug van search and destroy zelf

post anders eens je hijackthis log & scan achterf terug met die programma's, dan is de kans veel groter dat ze volledig weg zijn (aangezien ze niet meer met windows mee loaden)
A

Alcatrazz

Legacy Member
hijackthis log:

Logfile of HijackThis v1.97.7
Scan saved at 17:22:07, on 5/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Trust\250S Series\lwbwheel.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Telemeter 3.0\telemeter3.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\windows\winln.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\scagent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\BR33Z3\Local Settings\Temporary Internet Files\Content.IE5\EYYUP2PN\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {6185ACC8-A466-4573-8E8B-9CAD0CC447DD} - C:\WINDOWS\madopew.dll (file missing)
O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Trust\250S Series\lwbwheel.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Telemeter 3.0] "C:\Program Files\Telemeter 3.0\telemeter3.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [winltmpv] c:\windows\winln.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Startup: SMPMEnvSetup.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
E

Exit

Legacy Member
C:\windows\winln.exe (verdacht)
O4 - HKCU\..\Run: [winltmpv] c:\windows\winln.exe

ontbreken dus weg
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {6185ACC8-A466-4573-8E8B-9CAD0CC447DD} - C:\WINDOWS\madopew.dll (file missing)
O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll (file missing)

gekent?
C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
s

st3ph3n

Legacy Member
Te beëindigen processen:
C:\windows\winln.exe
C:\WINDOWS\system32\scagent.exe

Te fixen:
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {6185ACC8-A466-4573-8E8B-9CAD0CC447DD} - C:\WINDOWS\madopew.dll (file missing)
O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll (file missing)
O4 - HKCU\..\Run: [winltmpv] c:\windows\winln.exe

Dat beëindigen doe je door ofwel op te starten (en te fixen) in Windows Veilige Modus, ofwel door die processen af te sluiten met behulp van Windows Taakbeheer (Ctrl-Shift-Escape).

Steven
V

Vladimirvlad

Legacy Member
st3ph3n zei:
Te beëindigen processen:
C:\windows\winln.exe
C:\WINDOWS\system32\scagent.exe

Te fixen:
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {6185ACC8-A466-4573-8E8B-9CAD0CC447DD} - C:\WINDOWS\madopew.dll (file missing)
O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll (file missing)
O4 - HKCU\..\Run: [winltmpv] c:\windows\winln.exe

Dat beëindigen doe je door ofwel op te starten (en te fixen) in Windows Veilige Modus, ofwel door die processen af te sluiten met behulp van Windows Taakbeheer (Ctrl-Shift-Escape).

Steven
Klik om te vergroten...

Stephen,

Ben je zeker van die BHO's ??? Want ik heb die CLSID's ook in mijn register? Heb nochtans geen spyware gevonden met Ad-aware...

:help:

Indien wel, mag je die zomaar verwijderen uit je register ???

Vladimir
s

st3ph3n

Legacy Member
Ik ben 100% zeker van die BHO's.

Ad-aware detecteert niet alle spyware. Een nadeel van HiJackThis is dan weer dat je zelf moet kiezen wát te verwijderen en ook dat die de bestanden zelf niet verwijdert (enkel de verwijzingen naar die bestanden).

Als je weet wat je doet kan je die sleutels rechtstreeks uit het register verwijderen (regedit.exe), maar verwijder zeker niet teveel en neem desnoods backups. Anders zou ik het via HiJackThis doen...

Steven
V

Vladimirvlad

Legacy Member
Die BHO's staan niet in Hijackthis.... Zal ze dan beter laten staan ;) Heb ze wel geblokkeerd met Spywareblaster...

Vladimir
s

st3ph3n

Legacy Member
HiJackThis zoekt enkel op sleutelplaatsen (opstartverwijzingen) naar spyware. De rest van de spyware (de echte bestanden op schijf, andere registersleutels) laat die ongemoeid.

Steven
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan