Terugkerend Spyware Probleem

[anoniem]

Hallo, Ik ben een win2k gebruiker maar gebruik bijna nooit internet explorer, als een gevolg daarvan is deze ook nog nooit geupdated. Sommige programma's hebben echter geen ingebouwde help en open dan een html-helpfile in de explorer. Behalve dergelijke gevallen heb ik IE ook nodig voor een bepaalde onderwijssite welke alleen te gebruiken is met IE. Nu ging er laatst plots iets mis en kreeg ik allemaal vreemde pop ups. Adaware gedraaid en die vindt bepaalde 'browser hijack' / registery key's die ik dan vervolgens verwijder. Als ik dan de pc reboot en Adaware vervolgens weer draai dan is het systeem 'schoon'. Als je daarna dan IE start dan wordt de 1ste keer netjes de startpagina getoond, bij een volgende window die je dan opent komt er een 'malifide search' machine voor...een nieuwe portal waar ik niet op zit te wachten. Later heb ik dus Spybot S&D geprobeerd, deze vondt een 'CoolWWWsearch' en een 'DSO exploit'. Wanneer ik deze verwijder is het systeem clean, echter als ik het systeem reboot en IE een keer gebruik dan komt toch weer die 'malifide search machine' tevoorschijn (1ste keer is het goed, 2e keer komt pas die foute startpagine) en daarna geeft een Sybot check ook aan dat de 'CoolWWWsearch' terug is. Het blijft dus maar terugkomen en ik vermoed dus dat er een spyware element actief is wat niet wordt herkend en zichzelf opnieuw installeert. Wat kan ik doen om dit te herstellen ?

[anoniem]

Download [url=http://computercops.biz/downloads-file-328.html]HijackThis[/url]. Unzip het. Sla het bestand op in een eigen map. Niet op je bureaublad of in je Temp-files. HijackThis maakt namelijk backups in de map waar het opgestart wordt. Run het programma. Klik op scan, save log en sla het log op als een .txt bestand. Kopieer en plak de volledige inhoud van dit logbestand in je volgende bericht.

[anoniem]

En download Spy Sweeper, een van de krachtigste op dit moment.

[anoniem]

[quote:8ab4370bf8="Taurus"]En download Spy Sweeper, een van de krachtigste op dit moment.[/quote:8ab4370bf8] Daarmee ga je die cws niet wegkrijgen hoor, bovendien vind ik spysweeper niet zo super, het draait veel te log. Geef mij maar ad-aware icm spybot en spywareblaster. :D

[anoniem]

Verplaatst van "OS Windows" naar "Beveiliging & privacy".

[anoniem]

[quote:7ad572ba18]Daarmee ga je die cws niet wegkrijgen hoor, bovendien vind ik spysweeper niet zo super, het draait veel te log. Geef mij maar ad-aware icm spybot en spywareblaster. :D[/quote:7ad572ba18] Wat is een CWM ? Sorry dat ik het topic in het verkeerde forum heb geplaatst, maar ik beschouwde het meer als een windows / i.e. probleempje, maar hier past hij idd beter thuis. Zoals geadviseerd heb ik Hijackthis gedraait en idd komt er zooi naarvoren die volgens mij niet hoort te draaien. [code:1:7ad572ba18] Logfile of HijackThis v1.98.2 Scan saved at 9:06:50, on 15-11-2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Program Files\AVPersonal\AVWUPSRV.EXE C:\WINNT\system32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe C:\Program Files\Winamp\winampa.exe C:\WINNT\anvshell.exe C:\WINNT\system32\internat.exe C:\Program Files\Opera75\opera.exe C:\WINNT\wavdriver.exe C:\tmp\hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com* O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {E8BF8DF8-ADCD-448B-87FA-3BA2657087C4} - C:\WINNT\system32\nfl.dll O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [LanGuard] "C:\WINNT\languard.exe" O4 - HKLM\..\Run: [DigiD] "C:\WINNT\DigitalSound.exe" O4 - HKLM\..\Run: [netcom] C:\WINNT\netcom.exe O4 - HKLM\..\Run: [wavdriver] "C:\WINNT\wavdriver.exe" O4 - HKCU\..\Run: [internat.exe] internat.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll O18 - Filter: text/html - {7292D873-4411-4445-89A2-C21C3AB99CBE} - C:\WINNT\system32\nfl.dll O18 - Filter: text/plain - {7292D873-4411-4445-89A2-C21C3AB99CBE} - C:\WINNT\system32\nfl.dll [/code:1:7ad572ba18] Bijna alles onder di O4 benaming hoort niet te draaien volgens mij, behalve winampagent....die heb ik wel aan staan. Clonecd staat wel op de pc, maar wordt niet geladen en de rest ken ik allemaal niet...heb geen digitalsound of een wavdriver etc. Kunnen jullie zien welke processen hier niet thuis horen ?

[anoniem]

CWS is coolwebsearch, is een hijacker in veel varianten. Ik kijk nu NIET naar de log want ik moet naar school. :cry:

[anoniem]

Appinit.bat zal hier gelukkig niet nodig zijn... * Download [url=http://www.spywareinfo.com/~merijn/files/cwshredder.zip]CWShredder[/url], maar run het nog niet. * Download Pocket KillBox: http://www.bleepingcomputer.com/files/spyware/KillBox.zip Unzip het programma naar je bureaublad. Nog niet starten * Start hijackthis en vink volgende items aan: [b:ed97d6e889]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com* O2 - BHO: (no name) - {E8BF8DF8-ADCD-448B-87FA-3BA2657087C4} - C:\WINNT\system32\nfl.dll O4 - HKLM\..\Run: [LanGuard] "C:\WINNT\languard.exe" O4 - HKLM\..\Run: [DigiD] "C:\WINNT\DigitalSound.exe" O4 - HKLM\..\Run: [netcom] C:\WINNT\netcom.exe O4 - HKLM\..\Run: [wavdriver] "C:\WINNT\wavdriver.exe" O18 - Filter: text/html - {7292D873-4411-4445-89A2-C21C3AB99CBE} - C:\WINNT\system32\nfl.dll O18 - Filter: text/plain - {7292D873-4411-4445-89A2-C21C3AB99CBE} - C:\WINNT\system32\nfl.dll[/b:ed97d6e889] * Sluit nu [b:ed97d6e889]alle[/b:ed97d6e889] vensters behalve hijackthis en klik op 'fix checked' * Start nu je pc op in VEILIGE MODE. [url=http://users.pandora.be/marcvn/spyware/1378056.htm]Hoe start ik in veilige mode op.[/url] * Zorg ervoor dat je verborgen mappen en bestanden weergegeven zijn. [url=http://users.telenet.be/marcvn/spyware/1117602.htm]Hoe deze weer te geven.[/url] * Zoek daarna via verkenner volgende items en verwijder deze manueel: C:\WINNT\[b:ed97d6e889]wavdriver.exe[/b:ed97d6e889] C:\WINNT\[b:ed97d6e889]netcom.exe[/b:ed97d6e889] C:\WINNT\[b:ed97d6e889]DigitalSound.exe[/b:ed97d6e889] C:\WINNT\[b:ed97d6e889]languard.exe[/b:ed97d6e889] * Start CWShredder en klik op [b:ed97d6e889]FIX[/b:ed97d6e889] * Ga daarna naar start > uitvoeren en typ: [b:ed97d6e889]cleanmgr[/b:ed97d6e889] en klik op ok. Laat het je systeem scannen op bestanden die moeten verwijderd worden. Zorg er wel voor dat je daar enkel maar 'tijdelijke bestanden', 'tijdelijke internetbestanden' en 'prullenbak' staan aangevinkt. Klik daarna op ok. * Ga naar start > uitvoeren en typ: %temp% , selecteer heel die inhoud en verwijder het. Klik op killbox.exe. Selecteer de optie "Delete on reboot". In het veld "Full path of file to delete" plaats je onderstaande quote [quote:ed97d6e889]C:\WINNT\system32\nfl.dll[/quote:ed97d6e889] Wanneer het programma vraagt om te rebooten klik je op YES * Reboot je pc terug normaal, start hijackthis, 'scan', 'save log' en post hier een nieuw logje.

[anoniem]

Poehé, wat een karwei ! Nu heb ik exact gedaan wat miekiemoes heeft gezegd en na de 1ste boot zag de log er zo uit : [code:1:54cb9b2792] Logfile of HijackThis v1.98.2 Scan saved at 16:42:58, on 15-11-2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Program Files\AVPersonal\AVWUPSRV.EXE C:\WINNT\system32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe C:\Program Files\Winamp\winampa.exe C:\WINNT\anvshell.exe C:\WINNT\system32\internat.exe C:\tmp\hijack\HijackThis.exe O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKCU\..\Run: [internat.exe] internat.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll [/code:1:54cb9b2792] Tot nu toe heb ik die vage startpagina niet meer gehad, maar het systeem is wel wat trager lijkt het. Ongeloofelijk dat jullie zo precies weten welke stappen / handelingen nodig waren ! Ondertussen heb ik ook al een vermoeden waar ik deze CWS-Dinges heb opgedaan, ben namelijk bezich met java en een tijdje terug had ik een voorbeeld applet in een website die dingen heeft gedownload...daar is het vermoedelijk misgegaan... Hopelijk is alles goed nu en krijg ik er geen last meer van, ik zal binnenkort maar iets als firebird installeren ofzo voor de applets :-)

[anoniem]

[quote:f3804c16a4="Pinky & The Brain"]ik zal binnenkort maar iets als firebird installeren ofzo voor de applets :-)[/quote:f3804c16a4] Als je bedoelt Mozilla [url=http://www.mozilla.org/products/firefox]Firefox[/url]: strak plan :) .

[anoniem]

Je logje ziet er alvast weer goed uit. Well done! Enne.. inderdaad.. firefox is een goede optie. :wink:

[anoniem]

Ha ha ha, ja firefox idd :) , maar het lijkt ook allemaal op elkaar hé.....thunderbird, firebird, firefox, phoenix etc. Was firefox vroeger niet thunderbird ? In elk geval heel erg bedankt met het oplossen van dit probleem ! :D

[anoniem]

Nee, thunderbird is het broertje, een email client. (Instaleer die ook maar eens, fijne client :D)

[anoniem]

Ik heb op http://www.surfsecure.nl informatie gevonden om spyware te voorkomen, moet je maar even checken