Archief - Startpagina probleem

Die openings pagina verandert altijd naar about:blank normaal is da toch en leege pagina ma ier sta vanalles op zoals en search pagina enzo,heb gescand met hijack this en denk te wete wat het probleem is,maar als ek echter die dinge aanvink voor te repaire/delete en ik scan nadien nog is dan staat da er terug gewoon tusse.
Hoe kan ek nu die dinge voor goed delete???


hier mijn log

Logfile of HijackThis v1.97.7
Scan saved at 12:22:03, on 25-4-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\program files\steam\steam.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFREE.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Rigo\Mijn documenten\My Received Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kba.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kba.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kba.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kba.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {468153FB-2523-4ABE-B880-3173DD3E5D88} - C:\WINDOWS\System32\kba.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFREE.EXE"
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37732.4488078704
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



Volgens mij zijn de volgende dinge het probleem:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kba.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kba.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kba.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kba.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {468153FB-2523-4ABE-B880-3173DD3E5D88} - C:\WINDOWS\System32\kba.dll

Maar als ek deze aanvink en ik scan even later opnieuw dan staan ze er gewoon terug tusse,heb met search and destroy,ad aware,hijack this geprobeerd en t helpt ni.

Het enige wat er nog veranderd is, is:

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

Normaal is dat msconfig, die bij het opstarten een aantal dingen controleert, maar er zijn al kapers geweest die msconfig gewist hebben/ vervangen hebben door hun eigen msconfig. Dus vink dat eens af, verwijder al de andere verwijzingen(R0, R1, de BHO), en kijk eens of dat verschil uitmaakt.

Het probleem lag wel degelijk bij diegene dat ik al zei,maar kon ze niet verwijderen met hijackthis en al die ander programma's vonde het niet.
Uiteindelijk is CWshredder geprobeerd en da werkte nice,toch weer bedankt he J.
Problem solved.

GGRRRRRR t is dus ni gelukt,als ek heropstart dan is t terug van da,cwshredder vind et wel als search.x of zoiet maar hij removed en blijft hetzelfde,en iedere keer vind em da terug als ek scan
Heeellppp

Ga eens in msconfig (Start>Uitvoeren>msconfig). Daar naar de tab Opstarten gaan en daar is er waarschijnlijk iets dat hij opstart die "verkeerd" is. Kijk of er daar niets verdachts tussen staat...

Indien mogelijk, geef de namen eens door. Ik zal dan zeggen wa ge mag wegvinken.

Vladimir

Had al gekeken bij msconfig maar daar sta niks verdacht tusse,heb ondertusse al met spy sweeper geprobeerd ma da heeft ook ni geholpe,ik kan da blijkbaar met niks verwijdere,of iemand e goed idee???
Zen echt ten einde raad

Iemand en oplossing???

Er is een nieuwe variant van CWS, en die is echt smerig.

Download Prcview

Start IE op, laat nu prcview lopen. Kijk nu in view>module usage.
Zoek daar naar 61c00000 in de tweede kolom"base", en daarachter zou "size" = 61440 moeten staan. Je kan de kolom ordenen op grootte.

Als je het bovenstaande vindt, schrijf dan al de gegevens van de dll op: naam, plaats en kopieer die hier.

Als de naam van de dll niet kba.dll is, zoek dan ook naar kba.dll en schrijf alle gegevens weer op.

Ja had et al opgelost maar toch weer bedankt he J.
Da was echt iet smerig ik heb gewoon Prcview gerund en dan was er maar een met en onvolledige pathname (zonder nummerkes achter) dus dan heb ik killbox gedownload en beslote voor da file (bij mij was het olejmj.dll denk ek)
te verwijdere gewoon delete en reboot voila.