alleen maar probleem

michris

15-11-2005 01:49

Hallo mensen,
Ik krijg constant de volgende foutmelding"
JPG-processing (GDI=1) security
En dan zou ik volgens mijn pc een tool moeten downloaden"
JPEG-tool.m.spx2.pt=true
De pc loopt bij elke link die ik aanklik vast (bevriest)
Ik plaats mijn log, wie wil hier naar kijken. Ik heb alle stappen
die jullie adviseren inmiddels gedaan.
Logfile of HijackThis v1.99.1
Scan saved at 1:43:26, on 15-11-05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\PROGRAM FILES\COMMON FILES\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\COMMON FILES\SYSTEM\MOSEARCH\BIN\MOSDMN.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAM FILES\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAM FILES\MSN APPS\UPDATER\01.03.0000.1005\NL\MSNAPPAU.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAM FILES\LOGITECH\ITOUCH\ITOUCH.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\NIKON\NKVIEW5\NKVMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\OUTLOOK EXPRESS\MSIMN.EXE
C:\MIJN DOCUMENTEN\ANIMATIES\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.michris.startbewijs.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.smilehits.com/sp.php?id=2194
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = www22.brinkster.com/mpie81/msn
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost195.7.156.*;
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
F1 - win.ini: run=hpfsched
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\NL\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\NL\MSNTB.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1043,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: SysTray.Exe
O4 - HKLM\..\Run: loadqm.exe
O4 - HKLM\..\Run: C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: C:\PROGRAM FILES\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: LOGI_MWX.EXE
O4 - HKLM\..\Run: RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: “c:\program files\MSN Apps\Updater\01.03.0000.1005\nl\msnappau.exe”
O4 - HKLM\..\Run: C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\RunServices: Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: mstask.exe
O4 - HKLM\..\RunServices: C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: “C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE”
O4 - HKLM\..\RunServices: “C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe” -reg
O4 - HKLM\..\RunServices: C:\PROGRA~1\COMMON~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O4 - HKLM\..\RunServices: C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: “C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE” /background
O4 - Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Add to filterlist (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .MTD: C:\PROGRA~1\INTERN~1\Plugins\npmusicn.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2005102501/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/SharedContent/sc/bin/cabsa.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.picturestrip.net/_ps_ocx/xupload/xupload.ocx
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} - http://www.oyunfabrikasi.com/mv/nl/100222nl.exe
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} - http://stream.pussyharem.com/stream/mmp.cab
O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) - http://download.zonelabs.com/bin/promotions/spywaredetector/WebAAS.cab
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.5 Combo Control) - http://www.pixdiscount.nl/clients/ImageUploader3.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/spsp29953.01noopt/spyspottercabinstall.cab
O16 - DPF: FreedomAudio - http://www.radiowestenwind.nl/plugins/freedominstall.cab
O21 - SSODL: fgsrv - {44360860-4FCE-11DA-AA21-0000C55DE076} - fgsrv.dll (file missing)
lucas

15-11-2005 08:31

Hoi Michris,
2. Klik op Deze computer. In de menubalk selecteer je Extra en dan Mapopties.
Selecteer de tab Weergave.Bij Verborgen bestanden en mappen selecteer je Verborgen bestanden en mappen weergeven. Haal het vinkje weg bij Beveiligde besturingssysteembestanden verbergen (aanbevolen). Klik op Ja om dit te bevestigen. Klik op OK.
3. Verbreek nu tijdelijk de internetverbining.
4. Beeindig middels taakbeheer (ctra-alt-del) de volgende processen: MOSEARCH.EXE
Print onderstaande instruktie's uit of kopieer ze naar een text bestand, de rest van de fix is in veilige modus, je kan deze pagina dus niet meer gebruiken om te spieken
5. Start op in veilige modus (uitleg )
6. Start allÃƒÂ©ÃƒÂ©n hijack,vink alleen de onderstaande regels aan en klik op “fix checked”
R3 - Default URLSearchHook is missing
O4 - HKLM\..\RunServices: C:\PROGRA~1\COMMON~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - www.drivershq.com/DD_v4.CAB
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - download.spyspotter.com/spyspotter/spsp29953.01noopt/spyspottercabinstall.cab
7. Verwijder de volgende mappen.
C:/WINDOWS/MADOPEW.DLL <–deze .dll
C:/windows/TEMP/sp.html <–deze sp.htm
C:/PROGRAMFILES/COMMONFILES/SYSTEM/MOSEARCH/ <–DEZE MAP MOSEARCH
8. Leeg je temp file's,de mappen vet gedrukt leegmaken, niet verwijderen!:
C:\Windows\Geschiedenis\
C:\Windows\History\
C:\Windows\Temp\
C:\Windows\Temporary Internet Files\Content.ie5\
9. Start opnieuw op in normale modus en plaats een nieuw hijack logje ter controle. Geef tevens aan hoe het met je problemen is en of je nog problemen bent tegen gekomen bij het uitvoeren van de fix.
Lucas
pablo

15-11-2005 15:00

mosearch is legitiem ( microsoft office ) en moet je laten staan
http://www.liutilities.com/products/wintaskspro/processlibrary/mosearch/
paul
pablo

15-11-2005 15:12

dit zijn dialers:
O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} - www.oyunfabrikasi.com/mv/nl/100222nl.exe
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} - stream.pussyharem.com/stream/mmp.cab
deze moet er ook uit
O21 - SSODL: fgsrv - {44360860-4FCE-11DA-AA21-0000C55DE076} - fgsrv.dll (file missing)
http://www.bleepingcomputer.com/startups/fgsrv.dll-13050.html
deze mag ook weg ( _bak wil zeggen dat het een oude startpagina is ):
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = www.smilehits.com/sp.php?id=2194
waar zie jij deze?
C:/WINDOWS/MADOPEW.DLL <–deze .dll
C:/windows/TEMP/sp.html <–deze sp.htm
deze is ook legitiem:
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - www.drivershq.com/DD_v4.CAB
http://www.drivershq.com/
het bestand ( JPEG-tool.m.spx2.pt ) wat michris noemt is volgens mij niet legitiem,ik denk dat hij beter zijn IE kan updaten naar 6.0sp1
paul
michris

15-11-2005 17:46

Ik ga me erin verdiepen en uitproberen. Jullie horen van me.
ps. michris is een zij ;-)
lucas

15-11-2005 19:35

Denk je dat je er uit kunt komen michris ? Zo ja vergeet dan de correcties van Paul niet in de fix mee te nemen. Of wil je nog graag een definitieve fix?
Lucas
michris

15-11-2005 23:19

Ik moet je zeggen dat ik het wel een ingewikkelde materie vind.
Een definitieve log? Als het kan….ontzettend graag.
Wat geweldig overigens wat jullie hier allemaal doen
en iedereen helpen. Petje af!
michris
lucas

15-11-2005 23:24

Is goed ik doe dat morgen vroeg voor je
Ik ga nu op 1 oor :z
Bedankt voor het compliment.
Lucas
lucas

16-11-2005 07:21

Hoi Michris,
Hierbij de definitieve fix inclusief de aanvullingen van Paul Het lijkt ingewikkelder dan het is, neem de tijd en als je vragen hebt kun je ze natuurlijk altijd stellen
1. Klik op Deze computer. In de menubalk selecteer je Extra en dan Mapopties.
Selecteer de tab Weergave.Bij Verborgen bestanden en mappen selecteer je Verborgen bestanden en mappen weergeven. Haal het vinkje weg bij Beveiligde besturingssysteembestanden verbergen (aanbevolen). Klik op Ja om dit te bevestigen. Klik op OK.
2. Verbreek nu tijdelijk de internetverbining.
3. Beeindig middels taakbeheer (ctra-alt-del) het volgende proces: MOSEARCH.EXE
Print onderstaande instruktie's uit of kopieer ze naar een text bestand, de rest van de fix is in veilige modus, je kan deze pagina dus niet meer gebruiken om te spieken
4. Start op in veilige modus (uitleg )
5. Start allÃƒÂ©ÃƒÂ©n hijack,vink alleen de onderstaande regels aan en klik op “fix checked”
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = www.smilehits.com/sp.php?id=2194
R3 - Default URLSearchHook is missing
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} - www.oyunfabrikasi.com/mv/nl/100222nl.exe
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} - stream.pussyharem.com/stream/mmp.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - download.spyspotter.com/spyspotter/spsp29953.01noopt/spyspottercabinstall.cab
O21 - SSODL: fgsrv - {44360860-4FCE-11DA-AA21-0000C55DE076} - fgsrv.dll (file missing)
6. Leeg je temp file's,de mappen vet gedrukt leegmaken, niet verwijderen!:
C:\Windows\Geschiedenis\
C:\Windows\History\
C:\Windows\Temp\
C:\Windows\Temporary Internet Files\Content.ie5\
7. Start opnieuw op in normale modus, update je windows en plaats een nieuw hijack logje ter controle. Geef tevens aan hoe het met je problemen is en of je nog problemen bent tegen gekomen bij het uitvoeren van de fix.
8. Kun je ook aangeven waar de foutmelding vandaan komt? Ik zou graag willen weten waar dit bestand staat: JPG-processing (GDI=1) security
of deze JPEG-tool.m.spx2.pt=true zoek anders eens op JPEG-tool of andere combinaties van de “string”. Dit kun je o.a. met de verkenner doen
Lucas
lucas

16-11-2005 08:51

pablo schreef:
>
> waar zie jij deze?
>
> C:/WINDOWS/MADOPEW.DLL <–deze .dll
> C:/windows/TEMP/sp.html <–deze sp.htm
>
No where copy/paste problem
Bedankt voor de belangrijke aanvullingen.
Lucas

alleen maar probleem

michris

lucas

pablo

pablo

michris

lucas

michris

lucas

lucas

lucas