warning melding op bureaublad

  • henk

    ik krijg als ik de com opstart een warning melding op het bureuablad

    heb adware en spybod geprobeerd maar gaat niet weg

    hij veranderd mijn bureaublad in warning your gomputer might be infected with spyware or adware en dan staat erbij hoe ik het tegen betaling weg kan halen wie kan mij helpen b.v.d

  • Avondsmurf

    Volg eens alle stappen on der de rode link hier boven : LEES DIT EERST ……. Smurfie :)

  • henk

    Scan saved at 13:39:21, on 16-10-2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\Program Files\Common Files\Symantec Shared\ccProxy.exe

    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

    C:\Program Files\Norton Internet Security\ISSVC.exe

    C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

    C:\WINDOWS\System32\nvsvc32.exe

    C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

    C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\popuper.exe

    C:\WINDOWS\system32\msole32.exe

    C:\WINDOWS\system32\shnlog.exe

    C:\WINDOWS\SOUNDMAN.EXE

    C:\WINDOWS\Dit.exe

    C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe

    C:\Program Files\Browser mouse\1.3\mouse32a.exe

    C:\WINDOWS\system32\intmonp.exe

    C:\Program Files\Common Files\Symantec Shared\ccApp.exe

    C:\Program Files\Real\RealPlayer\RealPlay.exe

    C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

    C:\Program Files\Medion\PowerCinema\My_TV\Agent.exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\Program Files\MSN Messenger\MsnMsgr.Exe

    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

    C:\Program Files\Logitech\SetPoint\KEM.exe

    C:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe

    C:\Program Files\Medionkeyboard\1.3\KbdAp32A.exe

    C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE

    C:\WINDOWS\system32\intmon.exe

    C:\WINDOWS\DitExp.exe

    c:\program files\internet explorer\iexplore.exe

    C:\Nieuwe map (2)\hijackthis.exe

    C:\Program Files\Messenger\msmsgs.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.home.nl/

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.home.nl/

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door @Home

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localhost;

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

    O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hpA567.tmp

    O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll (file missing)

    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing)

    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

    O4 - HKLM\..\Run: SOUNDMAN.EXE

    O4 - HKLM\..\Run: RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

    O4 - HKLM\..\Run: nwiz.exe /install

    O4 - HKLM\..\Run: Dit.exe

    O4 - HKLM\..\Run: C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe

    O4 - HKLM\..\Run: C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: C:\Program Files\Browser mouse\1.3\mouse32a.exe

    O4 - HKLM\..\Run: C:\Program Files\Medionkeyboard\1.3\MMKEYBD.EXE

    O4 - HKLM\..\Run: “C:\Program Files\Common Files\Symantec Shared\ccApp.exe”

    O4 - HKLM\..\Run: C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

    O4 - HKLM\..\Run: C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

    O4 - HKLM\..\Run: C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

    O4 - HKLM\..\Run: C:\Program Files\Medion\PowerCinema\My_TV\Agent.exe

    O4 - HKLM\..\Run: C:\WINDOWS\system32\msmsgs.exe

    O4 - HKLM\..\Run: C:\Program Files\P.S.Guard\PSGuard.exe

    O4 - HKCU\..\Run: C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: “C:\Program Files\MSN Messenger\MsnMsgr.Exe” /background

    O4 - HKCU\..\Run: C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

    O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe

    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

    O4 - Global Startup: Microsoft Works Calendar Reminders.lnk = ?

    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

    O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

    O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

    O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O14 - IERESET.INF: START_PAGE_URL=http://start.home.nl/

    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

    O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe

    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

    O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe

    O23 - Service: Norton AntiVirus Auto-Protect-service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

  • Avondsmurf

    Henk,

    Er zitten een paar trojanen op je compie doe eens een online scan bij bitdefender of trent: http://www.virushelp.nl/ je kan deze scanners links in de kantlijn vinden……. vertel daarna even wat er gevonden is etc tec……….. :)

  • Wheel

    1. Ga in de verkenner naar Extra - Mapopties - Weergave

    - Haal het vinkje weg bij ‘Extensies voor bekende bestandstypen verbergen’

    - Markeer de optie ‘Verborgen bestanden en mappen weergeven’

    Klik daarna op ‘Toepassen’ en ‘OK’.

    2. Druk dit af of sla het op als tekstbestandje.

    3. Herstart de computer in de veilige modus.

    4. Sluit alle openstaande vensters en start HijackThis. Scan en vink alleen de onderstaande regels aan. Klik daarna op ‘fix checked’:

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localhost;

    O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hpA567.tmp

    O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll (file missing)

    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing)

    O4 - HKLM\..\Run: C:\WINDOWS\system32\msmsgs.exe

    O4 - HKLM\..\Run: C:\Program Files\P.S.Guard\PSGuard.exe

    O4 - HKCU\..\Run: C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

    5. Zoek met de verkenner naar de volgende bestanden en/of mappen en verwijder ze:

    C:\WINDOWS\popuper.exe

    C:\WINDOWS\system32\msole32.exe

    C:\WINDOWS\system32\shnlog.exe

    C:\WINDOWS\system32\intmonp.exe

    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

    C:\WINDOWS\system32\intmon.exe

    6. Maak de prullenbak ook leeg.

    7. Herstart de computer en plaats een controlelogje. Vertel ook welke problemen je bent tegengekomen.

    Wheel. ;)

  • Erik

    1. Download smitRem.zip en sla dit op op het Bureaublad. http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

    Klik met de rechtermuis op het bestand en pak het uit naar een eigen map op het Bureaublad.

    2. Start op in Veilige modus http://www.virushelp.nl/partners/modus/index.htm

    3. Open de SmitRem- map en dubbelklik op RunThis.bat om het programma uit te voeren.

    je bureaublad zal waarschijnlijk even verdwijnen, maar dat is normaal

    Volg de instrukties op het scherm. Wacht tot hij helemaal klaar is! Het kan even duren dus geduldig afwachten.

    4. Start alleen hijackthis en vink alleen de volgende regels aan:

    O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hpA567.tmp

    O4 - HKLM\..\Run: C:\WINDOWS\system32\msmsgs.exe

    O4 - HKLM\..\Run: C:\Program Files\P.S.Guard\PSGuard.exe

    Klik op fix checked.

    Verwijder de volgende mappen indien aanwezig:

    C:\WINDOWS\system32\msmsgs.exe

    C:\Program Files\P.S.Guard <== Map

    Herstart in normale modus en doe een online scan bij Panda, bewaar het logje: http://www.pandasoftware.com/products/activescan.htm

    Plaats het logje van Panda & het logje van smitfraud d.i. ; C:\smitfiles.txt & Plaats een nieuw logje van Hijackthis svp :-)

  • Erik

    Met z'n drieen gaat het niet werken waarschijnlijk, het is een smitfraud variant dus hou daar rekening mee aub, ik laat het aan jullie :D

  • Avondsmurf

    Gaan we nu met z'n 3en verwarring scheppen?????????????

    Gaan jullie maar samen verder……. dit wordt te verwarrend voor henk

    Geef dan in ieder geval nog even het advies om wachtwoorden te veranderen:

    intmon.exe is:

    Process File: Intmonp or Intmonp.exe

    Process Name: Puper-D Trojan

    Description:

    Intmonp.exe is a process which is registered as the Puper-D Trojan. This Trojan allows attackers to access your computer, stealing passwords and personal data. It is a registered security risk and should be removed immediately. Please see additional details regarding this process

    Smurfie

  • Wheel

    Je hebt helemaal gelijk. :)

    Ik zei vanmorgen al tegen Btalman op 571 dat ik nog niet helemaal wakker was, maar ik denk dat ik er nu toch echt achter vandaan ga. :D:z

    Wheel, die stukje gaat fietsen. :D

  • Erik

    Henk moet maar ff laten weten wat ie gedaan heeft.