Archief - spyware en svchost te veel

je moet dus iet overgeslagen zijn.

kunt je echt je log kopieren?

save log as...

document openen, en dan copy pasten in dit venster?

Als ik da log wil posten krijg ik ne error van internet explorer.

Ben nu op laptop van't werk aan het posten maar ik krijg die log nie zo direct op deze pc.


Maar ik denk dat het ne format c gaat worden, beetje teveel zitten prutsen in het register denk ik, microsoft outlook krijg ik niemeer open (en daar staan misschien wel bijna 1000 mails in ).




edit:


Log toch op deze pc gekregen:

Logfile of HijackThis v1.97.7
Scan saved at 0:58:02, on 24/05/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\CPUCooL\CooLSrv.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\COMMON~1\ADAPTE~1\CreateCD\CREATE~1.EXE
C:\WINDOWS\System32\qttask.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\System32\x0r\svshost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Ken Kuppens.GKS-001\Local Settings\Temporary Internet Files\Content.IE5\MEMEW057\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
F1 - win.ini: run=C:\WINDOWS\system32\services\wmplayer.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CreateCD50] C:\PROGRA~1\COMMON~1\ADAPTE~1\CreateCD\CREATE~1.EXE -r
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [xor] C:\WINDOWS\System32\x0r\svshost.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\WebMenuImg.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0C568603-D79D-11D2-87A7-00C04FF158BB} (BrowseFolderPopup Class) - http://download.mcafee.com/molbin/Shared/MGBrwFld.cab
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://cashsearch.biz/legal/x.chm::/load.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...apple.com/sikes/nl/win/QuickTimeInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003031101/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Program Files\AutoCAD 2002\AcDcToday.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Program Files\AutoCAD 2002\InstBanr.ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Program Files\AutoCAD 2002\InstFred.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DA28C54E-D95C-11D3-9A01-005004677EF4} (McAfee.com Component Download Manager Class) - http://download.mcafee.com/molbin/clinic/CDM/McCDM.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Program Files\AutoCAD 2002\AcPreview.ocx

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://cashsearch.biz/legal/x.chm::/load.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

F1 - win.ini: run=C:\WINDOWS\system32\services\wmplayer.exe
hier ben ik niet zeker van, ik denk dat het uw probleem van de opstartende mediaplayer zal opstarten

edit: deze vind ik ookv erdacht

C:\WINDOWS\System32\x0r\svshost.exe

graag tweede mening

Svshost is een virus->opstarten in veilige modus, en on line scannen (panda, housecall, symantec)

Dus, zoals preske al vermoedde, verwijderen:

O4 - HKLM\..\Run: [xor] C:\WINDOWS\System32\x0r\svshost.exe

F1 - win.ini: run=C:\WINDOWS\system32\services\wmplayer.exe
is verdacht; bij mij staat mediaplayer in c:\program files\windows media player, en die andere plaats is een zeer vreemde plek om iets te installeren.
Kijk eens in je snelkoppeling waar de echte mediaplayer zit, en kijk dan eens of je geen twee bestanden wmplayer.exe hebt.
Ik zou het ook verwijderen.

Hey, ik heb ook svchost staan in mijn takenbeheer maar HijackThis duid dat niet aan

Het staat in takenbeheer 5 keer aangegeven waarvan er 4 rond de 5mb innemen, en 1 54(!) mb
Dat is toch niet normaal??

Hoe kan ik dat (veilig) verwijderen?

Nu heb ik een 2e probleem: Nothon autoprotect staat niet aan als ik opstart(ik heb niets gewijzigd) en als ik op autoprotect inschakelen klik dan gebeurt er niets?!

Kan iemand mij helpen?

ps: thx voor je werk he J.

@the fighter: svchost (c:\windows\system32\svchost) is een veelgebruikte win XP-toepassing, svs host is een virus; een van de truukjes die ze gebruiken
Ik heb 4Xsvchost: lokale service, netwerkservice, en 2x systeem(de grootste is 17096 kB).
Nu start svchost wel rundll32.exe op, en rundll32.exe (ook een geldige windows-toepassing) wordt door deze kaper misbruikt.

Probeer findall eens, je moet een dll vinden die verborgen is, en die de oorzaak is van alle problemen. Nadat je die met killbox hebt verwijderd, nog eens CWshredder gebruiken, en met hijackthis controleren.

Als dat niet werkt, staat er waarschijnlijk een tweede dll in het log van findall, die de eerste verborgen dll terugzet(een nieuwere versie van de kaper). Post dat log dan hier. (Het is normaal een dll die er een keer of vijf in voorkomt)

Wat norton autoprotect betreft: dat kan normaal niet aan het gebruik van hijackthis liggen; als je het terug inschakelt, zou het gewoon moeten gaan. Misschien is het het virus(sommige virussen schakelen actief antivirusprogramma's uit), misschien is de nieuwe variant van de kaper nog slimmer geworden,...
Ik zou het gewoon in veilige modus verwijderen en herinstalleren(nadat het virus weg is).

@huff: messenger plus installeert lop.com, ook een bron van vervelende startpagina's. Heb je die niet zonder te weten mee geïnstalleerd?

Help manne, ik heb de nieuwste variant. Ik fix het keer op keer met Hijackthis maar het blijft terug komen. Telkens onder een ander naam. Als ik nu Registrar lite gebruik zoals in deze thread aangegeven staat, krijg ik bij value : C:\WINDOWS\System32\hlpc.dll
Dit zou dus de schuldige moeten zijn maar dat klote bestand is nergens op mijn computer terug te vinden. Er is sprake van killbox om dit te vewijderen maar waar kan ik die killbox vinden? Heeeelp, die browser hijacker maakt me compleet gek!

Ze hebben dus zopas hun site gewijzigd; je vindt killbox nu hier .

Ik geef het op, kga ne format doen.

Ik heb alle files die ik nog nodig heb al op een andere pc gezet maar nu heb ik nog een probleem met Outlook.

Ik krijg Outlook niet meer geopend maar zou toch graag de (vele) mails die hier nog instaan en het adresboek bewaren.

Kan ik die nog recuperen?

Die worden normaal opgeslagen in een of twee ***-pst-files, en een pab-file(adresboek).(voor gewone outlook, zonder server). er kan nog meer in staan.
Het zijn verborgen bestanden,normaal in: C:\Documents and Settings\yourlogin\Local Settings\Application Data\Microsoft\Outlook
yourlogin=naam administrator/gebruiker
Kopieer best alles wat daar staat, en plaats het terug na herinstallatie. Als outlook ze niet meteen vindt, moet je ze importeren.

Zie ook http://support.microsoft.com/?kbid=287070

pst-file heb ik gevonden, maar er is geen pab-file te bespeuren, wel een cab-file

Hey,dat about blanc ding(waardoor ik die andere startpagina "search for" ofzo had)verwijderd, en heropgetstart, dan was het weg, en kon ik het weer op google instellen.

Toen ik opnieuw opstartte, toen stond het er weer!

ik heb dat killbox ding eens gedaan, en ik heb een paar verdachte dll's(vanuit
het HijackThis log waarvan je die dingen had aangeduid die ik moest verwijderen)verwijderd.

Wat mij opvalt is dat
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\bcn.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\bcn.dll/sp.html (obfuscated)
terugstaan(had ik verwijderd)
en dat ook die about blanc pagina terug is...

Ik heb HijackThis nog eens gerund, en nu staat er dit in het log:
Logfile of HijackThis v1.97.7
Scan saved at 17:22:31, on 25/05/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system32\dvrvideo.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Support.com\bin\tgcmd.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\LVComS.exe
C:\Program Files\Logitech\Video\LowLight.exe
C:\WINDOWS\system32\cidaemon.exe
C:\prog.not\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\bcn.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\bcn.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/be/nlb/gen/default.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\bcn.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\bcn.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\bcn.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\bcn.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.be/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = iexplore
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_1_4.dll
R3 - URLSearchHook: (no name) - _{CE000994-A58C-4441-8938-744CD72AB27F} - (no file)
F1 - win.ini: run=c:\windows\system32\dvrvideo.exe
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6CD10F16-9801-4D1F-9ADB-8125C0548614} - C:\WINDOWS\System32\bcn.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar2.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_1_4.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar2.dll
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [tgcmd] "C:\Program Files\Support.com\bin\tgcmd.exe" /server /startmonitor
O4 - HKLM\..\Run: [Dvrvideo] c:\windows\system32\dvrvideo.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Cmt101] c:\windows\system32\cmt101.exe
O4 - HKCU\..\Run: [TransTask] "C:\Program Files\Tweak-XP Pro\transtask.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Dvrvideo] c:\windows\system32\dvrvideo.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Onderzoek (HKLM)
O9 - Extra button: i-Nav Help (HKLM)
O9 - Extra 'Tools' menuitem: i-Nav Help (HKLM)
O9 - Extra 'Tools' menuitem: i-Nav Options (HKLM)
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {1358E11F-ADE8-4D2B-9135-1A4CB9A23D7B} (Install Class) - https://genius.belgacom.be/esupport/download/IPGInstaller.CAB
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversInitialSetup1.0.0.8.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_42.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.parispourvous.com/paris4you/activex/AxisCamControl.ocx
O16 - DPF: {999715EC-EDC8-44A7-8521-17A2EC4A755B} - http://download-ak.systemsoap.com/instilla/instilla-1.cab
O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} (EGP2ECOM Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_pack_XP.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE932010-DA30-4A0C-8C0B-B4BCEDA37C35}: NameServer = 195.238.2.21 195.238.2.22


-------------------------------------------------------------------

Er staat in dat log ook iets van BHO en dan Northon, kan dat de reden niet zijn dat Northon niet meer wil werken?

En J. had in een post gezegd dat ik bij de AppInit_DLLs moest kijken naar de value, en dat was: hlpngm.dll

Ik heb gekijken bij System32, maar het stond er nergens tussen.


Wat moet ik doen om dat ***********virus nu weg te krijgen.

Kan het zijn dat ik een format C moet doen(dan moet ik wel 110GB aan files overbrengen)

The Fighter zei:

Kan het zijn dat ik een format C moet doen(dan moet ik wel 110GB aan files overbrengen)

Klik om te vergroten...

Join the club, bij mij zijn het wel geen 100GB maar toch al zeker genoeg.

Bekijk het ook positief, na een format werkt uwe pc weer 10 keer beter

@ The Fighter: die hlpngm.dll zet die andere dll telkens terug(en geeft telkens een andere naam). Op de een of andere manier wordt hlpngm.dll onzichtbaar gemaakt voor verkenner, takenplanner enz.

Dus: kijk of hlpngm.dll nog dezelfde naam heeft, en geef dan in killbox in :
c:\windows\system32\hlpngm.dll
Ga nu in action, en kies delete on reboot. Kies nu file>add file, en nu moet die c:\windows\system32\hlpngm.dll erin staan. Kies dan in dat kadertje action>process and reboot. (killbox maakt normaal standaard een backup van die dll, mocht het toch mislopen.)

Gebruik nu CWshredder en ad aware.

Controleer met registrar of de dll nu weg is.

Herstart. Hopelijk is het nu in orde

Die Norton BHO werkt tesamen met de norton toolbar; dat is niet de oorzaak.

N.B. Heb je onlangs een nieuw programma geïnstalleerd dat mee met windows opstart: C:\windows\system32\dvrvideo.exe
Ik vind er vrijwel niets over terug(alweer een Japanse website)

Hey, ik heb gdaan wat je zei, en ik heb 2 reboots gedaan ondertussen, en dat search for ding was weg, en ik had geen last meer.

Maar daarjuist open ik weer een nieuw IE scherm, en daar was dat ***search for ding weer ad:

Wat kan ik nog doen?

Gewoon aanvaarden dat dat ding er is, heb alles wat in deze thread staat al verschillende keren geprobeerd... Niks helpt :doh:
Als ik ooit te weten kom welke onozelaar dit prachtig doch lastig stukje software gemaakt heeft....

Het is een kreng :ironic:
Volgende poging:
1.Download findall ; post het log hier.
2. Ga in registrar lite naar HKEY_CLASSES_ROOT; kijk of je daar ergens een map "BHO.HelperObject" ziet met als mogelijke inhoud CurVer. Zo ja rechtsklik dan op die map CurVer, en kies machtigingen. Kies de bovenste gebruiker, en weiger onderaan "volledig beheer" en "lezen". Zo nee, is het een verbeterde /andere versie.
Dat zou het terug installeren van de dll moeten tegenhouden(werkte 1 week geleden nog)
3. Nu moeten we nog de dll('s) vinden die de problemen veroorzaken, en die staan normaal in het log van findall (er staan ook belangrijke windows- bestanden in, dus niet zomaar alles verwijderen).

N.B. is dvrvideo.exe iets wat je geïnstalleerd hebt? Anders kan het een virus zijn, of een trojan.

log van findall:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q818529;Q822925;Q828750;Q824145;Q837009;Q832894;

»»Google Toolbar version and Attributes:
Defaults: "A" ;"R"

»»UserAgent:
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"i-NavFourF"=""


»»Wmplayer version:

»»M$Java version:


»»PC uptime:

»»Locked or 'Suspect' file(s) found...
Xfind wordt niet herkend als een interne
of externe opdracht, programma of batchbestand.
Xfind wordt niet herkend als een interne
of externe opdracht, programma of batchbestand.
Xfind wordt niet herkend als een interne
of externe opdracht, programma of batchbestand.


»»Tasks (services):
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="300"
"USERProcessHandleQuota"=dword:00002710
"AppInit_DLLs"=""

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0000CC75-ACF3-4cac-A0A9-DD3868E06852}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0000CC75-ACF3-4cac-A0A9-DD3868E06852}\ReadMe-BHODemon]
@="This BHO has been disabled by BHODemon."

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{138438ED-32F9-4BF0-9944-89147404158A}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}\ReadMe-BHODemon]
@="This BHO has been enabled by BHODemon."

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CE000992-A58C-4441-8938-744CD72AB27F}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CE000992-A58C-4441-8938-744CD72AB27F}\DontDelete]

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/octet-stream]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-complus]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-msdownload]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{6E06486B-3068-4D28-B369-32271123B25A}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{6E06486B-3068-4D28-B369-32271123B25A}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/xml]
"CLSID"="{807553E5-5146-11D5-A672-00B0D022E945}"

»»Security settings for 'Windows' key:

»»ACLs list:
xcacls wordt niet herkend als een interne
of externe opdracht, programma of batchbestand.
xcacls wordt niet herkend als een interne
of externe opdracht, programma of batchbestand.

»»Contents of file(s) in 'junk' folder:

»»Md5sums
------
»»Rehash:
A C:\Documents and Settings\thomas\Bureaublad\winBackup.hiv
A C:\Documents and Settings\thomas\Bureaublad\windows.txt
A C:\FindallwinBackup.hiv
A C:\findallappinit.reg

***Next Registry run should open this key directly:

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit
LastKey REG_SZ Deze computer\HKEY_CURRENT_USER



----------------------------------------------------------------------
dvrvideo.exe heb ik verwijderd, maar als ik nu opstart komt er altijd een foutmelding(2) dat hij dvrvideo.exe niet kan vinden/opstarten.

Je moet met hijackthis verwijderen:
F1 - win.ini: run=c:\windows\system32\dvrvideo.exe
O4 - HKLM\..\Run: [Dvrvideo] c:\windows\system32\dvrvideo.exe
O4 - HKCU\..\Run: [Dvrvideo] c:\windows\system32\dvrvideo.exe
O16 - DPF: {999715EC-EDC8-44A7-8521-17A2EC4A755B} - http://download-ak.systemsoap.com/i.../instilla-1.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocach...etup1.0.0.8.cab
O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} (EGP2ECOM Class) - http://akamai.downloadv3.com/binari...UTH_pack_XP.cab

Edit: net het onderstaande getikt, en dan vind ik een programma dat (hopelijk) de hijacker verwijdert Probeer dus eerst: SpHjfix (als dit werkt, geen slecht woord meer over de Duitsers )
Daarna CWShredder toepassen.


Ik zie de dll niet meer in het log van findall,controleer nog eens met registrar
het adres: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs

Als daar niets staat, maak een nieuw log van hijackthis, en kijk naar de naam van de dll die overal in R0 en R1 opduikt
v.b. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\bcn.dll/sp.html (obfuscated)
Geef dan C:\WINDOWS\System32\naam dll.dll in in killbox, en doe
hetzelfde als met hlpngm.dll.
Als je in registrar toch een nieuwe dll vindt, voeg die ook toe aan killbox, en verwijder de twee dll's tegelijkertijd.
Laat dan CWshredder lopen, en ad-aware, controleer en verwijder met hijackthis alles wat nog naar de dll verwijst.

Download dan autoruns , en kijk eens of je ergens een van de dll's ziet staan.

Hij is weggebleven en de dll lijkt weg; hopelijk zijn dit maar achterhoedegevechten (en geen nieuwe variant)

N.B. Die besmetting kan optreden door een webpagina, dus als je een verband ziet...

Mijn methode heeft toch heel goed gewerkt


PS: t'is dus zalig werken op ne pas geformateerde pc