Startpagina veranderd steeds

Antoinette
14 Apr, 2007 07:48

Mij vaste startpagina .nl (Internet Explorer )veranderd steeds naar http://runonce.msn.com/runonce2.aspx.

Wat kan hier de oorzaak van zijn!!

Ik heb Ad-Aware SE Professional gedraaid en CWShredder en AVG.

Ook in veilige modus.

Wie heeft voor mij de oplossing!!

Hartelijk dank

sijlvia
14 Apr, 2007 08:42

http://www.virushelp.nl/partners/hijackthis/hijackthislog.htm

Antoinette
14 Apr, 2007 10:35

Ik heb al veel geprobeert helaas,wie kan mij verder helpen !!

joop
14 Apr, 2007 10:46

Antoinette schreef:

>

> Ik heb al veel geprobeert helaas,wie kan mij verder helpen !!

jij als je doet wat er onder de link staat

joop

sijlvia
14 Apr, 2007 12:18

ohhh je wilt dat iemand de kolen uit het vuur haald??

verkeerde pb meid.

lucas
14 Apr, 2007 15:55

Antoinette schreef:

>

> Ik heb al veel geprobeert helaas,wie kan mij verder helpen !!

Met de weinige informatie die je verstrekt kunnen we je niet helpen :(

Download Hijackthis-setup

Dubbelklik op Hijackthis-setup

Hijackthis wordt nu op je PC geïnstalleerd, een snel koppeling wordt op je bureaublad geplaatst

Dubbelklik op het Icoontje van Hijackthis.

Klik op “Do a systemscan and save a logfile”.

Er opent een Kladblok venster, hou gelijktijdig de CTRL en A toets ingedrukt, nu is alles geselecteerd.

Houd gelijktijdig de CTRL en C toets ingedrukt, nu is alles gekopieerd.

Plak nu het HJT logje in je bericht door CTRL-V

Lucas :)

Antoinette
18 Apr, 2007 19:11

Hoi Lucas Hier zijn mijn gegevens.

Logfile of HijackThis v1.99.1

Scan saved at 19:05:35, on 18-4-2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\TomTom HOME\TomTomHOME.exe

C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\system32\ctfmon.exe

c:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

c:\windows\system\hpsysdrv.exe

C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe

C:\Program Files\Grisoft\AVG7\avgcc.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Xi\NetTransport 2\NetTransport.exe

C:\Program Files\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll

O4 - HKLM\..\Run: c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe

O4 - HKLM\..\Run: C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: “C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe” /run

O4 - HKLM\..\Run: C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

O4 - HKLM\..\Run: C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: Logi_MwX.Exe

O4 - HKLM\..\Run: “C:\Program Files\TomTom HOME\TomTomHOME.exe” -s

O4 - HKLM\..\Run: “C:\Program Files\Common Files\Symantec Shared\ccApp.exe”

O4 - HKLM\..\Run: C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: “C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe”

O4 - HKLM\..\Run: “C:\Windows\Creator\Remind_XP.exe”

O4 - HKCU\..\Run: “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Ontvang alle bestanden door Net Transport - C:\Program Files\Xi\NetTransport 2\NTAddList.html

O8 - Extra context menu item: Ontvangst door Net Transport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)

O9 - Extra button: Verbindingshelp - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra ‘Tools’ menuitem: Verbindingshelp - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: International*

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://scan.safety.live.com/resource/download/scanner/wlscbase969.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153735797679

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

lucas
18 Apr, 2007 19:53

Hoi Antoinette,

In je logje is zo niets te zien.

1. * Clean de Cache and Cookies in IE:

Sluit Internet Explorer.

Ga naar Configuratiescherm > Internet Opties > tab Algemeen

Klik de Cookies verwijderen knop

Klik op de Bestanden verwijderen knop ernaast

Vink aan: Ook alle off line items verwijderen, klik OK

* Clean de Cache and Cookies in Firefox (In geval Firefox geïnstalleerd is):

Go to Extra > Opties.

Klik Privacy in het menu.

Klik op de knop wissen (Geschiedenis, Cookies, Cache).

Klik OK om het venster opnieuw te sluiten.

* Clean andere Temporary files + Prullenbak

Ga naar Start > Uitvoeren en typ: cleanmgr en klik ok.

Laat het je systeem scannen op bestanden die moeten verwijderd worden

Zorg er wel voor dat je daar alleen ‘tijdelijke bestanden’, ‘tijdelijke internetbestanden’ en ‘prullenbak’ hebt aangevinkt.

Klik daarna op OK.

2. Start HijackThis kies voor “do a systemscan only”, vink alleen de volgende regel aan:

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

Klik op fix checked en sluit HijackThis.

3. * Download target="_blank">Dr.Web CureIt naar je bureaublad.

Dubbelklik drweb-cureit.exe en sta het toe om de express scan te starten.

Dit zal de bestanden scannen die momenteel in het geheugen geladen zijn en wanneer er iets gevonden wordt, klik de Yes to all knop bij de vraag ‘cure it?’. Dit is een korte scan.

Als eenmaal de korte scan is beeïndigd, Klik Options > Change Settings

Kies de “Scan”-tab en verwijder het vinkje bij “Heuristic analyse”

Terug in het hoofdvenster kun je de drives selecteren die je wilt laten scannen.

Selecteer hier alle drives. Een rood bolletje zal dan tevoorschijn komen op de drives die je laat scannen.

Klik daarna de groene pijl rechts om de scan te starten.

Klik 'Yes to all' wanneer er gevraagd wordt om cure of move uit te voeren.

Wanneer de scan beëindigd is, kijk je of je op het icoontje naast de gevonden bestanden kunt klikken.

Indien er bestanden zijn gevonden klik vervolgens op het icoontje er juist onder en selecteer Move incurable.

Dit zal de bestanden verplaatsen naar volgende map %userprofile%\DoctorWeb\quarantaine-folder indien het niet gedesinfecteerd kan worden. (dit in het geval dat we samples nodig hebben)

Na bovenstaande te selecteren, in het menu bovenaan van Dr.Web CureIt, klik file en kies save report list. Bewaar de log op je bureaublad.

Sluit daarna Dr.Web Cureit.

Herstart je computer!! Belangrijke stap, want het kan zijn dat Dr.Web Cureit bestanden zal verplaatsen/verwijderen tijdens herstart.

NB Negeer popups over Buy of 50% korting !!

4. Download Combofix naar je Bureaublad.download alternatief

Dubbelklik Combofix.exe

Volg de instructies, accepteer de disclaimer door “y” of “Y” te typen.

Tijdens het runnen van de fix, NIET in het venster klikken, want dan zal je pc gaan “hangen”.

NB Indien je virusscanner reageert met een melding van een scriptuitvoering, kun je dit negeren.

Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen.

Plaats deze log in je volgende post samen met de inhoud van Dr. Web Curelt (zie bureaublad) en een nieuw HijackThis log even hier.

Lucas :)