Archief - Groot spyware probleem

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
E

EA lover

Legacy Member
De laatste dagen heb ik enorm veel last met spyware. Er komen bij elke keer dat windows opstart gewoon een 10tal shortcuts, de startpagina wordt altijd in iets brolachtig verandert en de pc gaat kei traag, IE spirng soms op met van die casino dinges, enz.... Zeg mij nu niet dat ik die sticky niet heb gelezen want ik heb ad - aware 6.0 en spybot 1.3 op mijn pc staan. Ad aware vind elke dag zo'n 100 spyware bestanden en spybot zo'n 20. IK doe die allemaal weg maar de volgende dag zijn ze er alweer terug. Bij de lijst met software zie ik nen helenhoop brol dus ik verwijder die. De volgenden dag staat er weer brol bij die software lijst maar als ik op uninstall klik dan zegt hij dat hij die shortcut niet vind om dat programma te uninstallen dus ik krijg dat programma niet weg. Kan iemand mij helpen want ik ben ten einde raad.
D

Dekon7

Legacy Member
Regelmatig uw ad-aware & spybot eens updaten ?
En in't vervolg als ge op sites staat waar er automatisch een venster geopend wordt met daarop "clik yes to continue" WEIGEREN ! (wordt ook veel ongewenste rommel geinstalleerd daardoor).
E

EA lover

Legacy Member
Ik zen da ni die op zo van die sites kom, da is mijn broer. Altijd als hij op de pc heeft gezeten dan staat die vol brol die ge er i afkrijgt. Ik updated regelamtig mijn norton, ad-aware en spybot. Het is ni mijne pc die zoveel brol heeft maar de pc van iedereen waar dat mijn vader op moet werken en die die nodig heeft voor het werk en als ge van al die bestanden een backup moet maken dan zij de wel efkes zoet.
c

clubje

Legacy Member
Spybot en Ad-aware zijn niet genoeg he.
Download een paar tools om te voorkomen dat spyware erop komt (spywareguard, spywareblaster).
Scan ook eens met CWShredder, post uw hijacklog es hier en dan zeggen we wat weg mag.
Scan es op spyware met spysweeper.
Doe enkele online-scans, etc...
E

EA lover

Legacy Member
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\system32\srvany.exe
D:\WINDOWS\system32\resetservice.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\iead.exe
D:\WINDOWS\System32\services\msxmidi.exe
D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
D:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
D:\Program Files\Common Files\Symantec Shared\ccApp.exe
D:\WINDOWS\System32\internst32.exe
D:\WINDOWS\System32\hjvrnq.exe
D:\WINDOWS\syshy32.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\FotoStation Easy\FotoStation Easy AutoLaunch.exe
D:\Program Files\Nikon\NkView5\NkvMon.exe
D:\Program Files\Microsoft Office\Office\OUTLOOK.EXE
D:\Program Files\Messenger\msmsgs.exe
C:\kids\jalle\pc programma's\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32\cwiyr.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cwiyr.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cwiyr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32\cwiyr.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cwiyr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\system32\cwiyr.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.selfsearch.biz
F1 - win.ini: run=D:\WINDOWS\System32\services\msxmidi.exe
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: (no name) - {A1BFF5E6-DA0B-4631-6C01-13196EE7C0B8} - D:\WINDOWS\system32\javasq.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ControlPanel] D:\WINDOWS\System32\internst32.exe internet.dll,LoadNetworkProfile
O4 - HKLM\..\Run: [fsmgezxinn] D:\WINDOWS\System32\hjvrnq.exe
O4 - HKLM\..\Run: [syshy32.exe] D:\WINDOWS\syshy32.exe
O4 - HKLM\..\Run: [xpsystem] D:\WINDOWS\System32\services\msxmidi.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [xpsystem] D:\WINDOWS\System32\services\msxmidi.exe
O4 - HKLM\..\RunOnce: [iead.exe] D:\WINDOWS\system32\iead.exe
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = D:\Program Files\Nikon\NkView5\NkvMon.exe
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...a2f745d64562:c31e3730b38c174130e1e2729109a237
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} - http://www.oyunfabrikasi.com/be/2/060208be.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52....apple.com/saba/us/win/QuickTimeInstaller.exe
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

da krijg ik alllemaal op de hoofdpc
K

KO

Legacy Member
Te fixen/verwijderen :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32\cwiyr.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cwiyr.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cwiyr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32\cwiyr.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cwiyr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\system32\cwiyr.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cus...//www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.selfsearch.biz
F1 - win.ini: run=D:\WINDOWS\System32\services\msxmidi.exe (meer info : http://www.pestpatrol.com/PestInfo/m/msxmidi.asp)
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O4 - HKLM\..\Run: [ControlPanel] D:\WINDOWS\System32\internst32.exe internet.dll,LoadNetworkProfile
O4 - HKLM\..\Run: [fsmgezxinn] D:\WINDOWS\System32\hjvrnq.exe
O4 - HKLM\..\Run: [syshy32.exe] D:\WINDOWS\syshy32.exe
O4 - HKLM\..\Run: [xpsystem] D:\WINDOWS\System32\services\msxmidi.exe
O4 - HKCU\..\Run: [xpsystem] D:\WINDOWS\System32\services\msxmidi.exe
O4 - HKLM\..\RunOnce: [iead.exe] D:\WINDOWS\system32\iead.exe (als je niet weet wat het is, removen)
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} - http://www.oyunfabrikasi.com/be/2/060208be.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

Stap 2 : download http://downloads.subratam.org/AboutBuster.zip unzip het en run het (open het en neem Ok, Start, & Ok) als dat tootlje klaar is geeft het een log, post dat hier samenb met je nieuwe hijacthis log
E

EA lover

Legacy Member
dit is van Hijackthis :
Logfile of HijackThis v1.97.7
Scan saved at 11:47:53 AM, on 8/4/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\system32\srvany.exe
D:\WINDOWS\system32\resetservice.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\iead.exe
D:\WINDOWS\System32\services\msxmidi.exe
D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
D:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
D:\Program Files\Common Files\Symantec Shared\ccApp.exe
D:\WINDOWS\System32\internst32.exe
D:\WINDOWS\System32\hjvrnq.exe
D:\Program Files\FotoStation Easy\FotoStation Easy AutoLaunch.exe
D:\Program Files\Nikon\NkView5\NkvMon.exe
C:\kids\jalle\pc programma's\HijackThis.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Messenger\msmsgs.exe
C:\kids\jalle\pc programma's\AboutBuster\AboutBuster.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32\cwiyr.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cwiyr.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cwiyr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32\cwiyr.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cwiyr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\system32\cwiyr.dll/sp.html#96676
F1 - win.ini: run=D:\WINDOWS\System32\services\msxmidi.exe
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - D:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: (no name) - {A1BFF5E6-DA0B-4631-6C01-13196EE7C0B8} - D:\WINDOWS\system32\javasq.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [xpsystem] D:\WINDOWS\System32\services\msxmidi.exe
O4 - HKLM\..\Run: [jwavuly] D:\WINDOWS\System32\hjvrnq.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [xpsystem] D:\WINDOWS\System32\services\msxmidi.exe
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = D:\Program Files\Nikon\NkView5\NkvMon.exe
O15 - Trusted Zone: *.clickspring.net
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...a2f745d64562:c31e3730b38c174130e1e2729109a237
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

en dit van dat programmatje :
-- Scan 1 --------
About:Buster Version 2.0
Deleted Service Key Successfully!
Removed! : D:\WINDOWS\gxalhf.dat
Removed! : D:\WINDOWS\hqffs.dat
Removed! : D:\WINDOWS\jtpbe.dat
Removed! : D:\WINDOWS\syshy32.exe
Removed! : D:\WINDOWS\System32\cwiyr.dll
Removed! : D:\WINDOWS\System32\gfmjx.dat
********************************
Removed sys\explorer.exe (fake)
********************************
-----------------------------
Removed! infected hosts file.
Attempted Clean Of Temp folder.
Removed Uninstall Key (HSA)
Removed Uninstall Key (SE)
Removed Uninstall Key (SW)
Pages Reset... Done!

-- Scan 2 --------
About:Buster Version 2.0
Attempted Clean Of Temp folder.
Removed Uninstall Key (HSA)
Removed Uninstall Key (SE)
Removed Uninstall Key (SW)
Pages Reset... Done!
K

KO

Legacy Member
start op in veilige modus en verwijder :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32\cwiyr.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cwiyr.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cwiyr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32\cwiyr.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cwiyr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\system32\cwiyr.dll/sp.html#96676
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O15 - Trusted Zone: *.clickspring.net

en run dat ander tootltje ook 1 keer

edit deze ook :
O4 - HKLM\..\Run: [xpsystem] D:\WINDOWS\System32\services\msxmidi.exe (http://www.pestpatrol.com/PestInfo/m/msxmidi.asp)
O4 - HKLM\..\Run: [jwavuly] D:\WINDOWS\System32\hjvrnq.exe (kent google zelfs niet)
j

j .

Legacy Member
Vergeet deze niet:
F1 - win.ini: run=D:\WINDOWS\System32\services\msxmidi.exe
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - D:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {A1BFF5E6-DA0B-4631-6C01-13196EE7C0B8} - D:\WINDOWS\system32\javasq.dll
O4 - HKCU\..\Run: [xpsystem] D:\WINDOWS\System32\services\msxmidi.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...1e 2729109a237

Hernoem deze bestanden in veilige modus, en als er geen problemen meer zijn, mag je ze wissen:
D:\WINDOWS\system32\iead.exe
D:\WINDOWS\System32\internst32.exe
E

Exit

Legacy Member
D:\WINDOWS\System32\internst32.exe
D:\WINDOWS\System32\hjvrnq.exe
D:\WINDOWS\syshy32.exe

hernoemen of deleten
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan