vervelende en ongevraagde startpagina

Marc put · 21 april 2004

Ik weet niet of hier zo'n vraag mag stellen maar ik waag het toch. Ik heb vermoedelijk onlangs iets gedownlaod waarbij ik sedertdien een vervelende en ongevraagde startpagina (contexualsearch) heb. Adware, CWShredder helpen niet om de startpagina voorgoed te verwijderen. Ik weet dat Hijackthis veel kan oplossen maar wie kan me helpen om de items of andere rommel aan te duiden die mogen verwijderd worden van de onderstaande log.

Bedankt aan allen die me willen helpen.

Logfile of HijackThis v1.97.3

Scan saved at 19:49:15, on 21/04/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\System32\mqsvc.exe

C:\WINDOWS\System32\mqtgsvc.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe

C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\NsUpdate.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\PROGRA~1\seeksoftregs\Clock two.exe

C:\WINDOWS\System32\NotifyPhoneBook.exe

C:\WINDOWS\System32\41073244.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\PROGRA~1\PANICW~1\POP-UP~2\POPUPS~1.EXE

C:\Documents and Settings\Mark\Application Data\ssob.exe

C:\WINDOWS\System32\wnsintcc.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\winlogon.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\Mark\LOCALS~1\Temp\Rar$EX00.453\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://contexualsearch.com/passthrough/index.html?http://www.google.be/

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: OsbornTech Popup Blocker - {FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880} - C:\WINDOWS\System32\mshelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Lexmark X84-X85 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe

O4 - HKLM\..\Run: [Lexmark X84-X85 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe

O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NsUpdate] C:\WINDOWS\NsUpdate.exe UPDATE

O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Vidcap32driver] Vidcap32.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008

O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [bibwait] C:\PROGRA~1\seeksoftregs\Clock two.exe

O4 - HKLM\..\Run: [13090151.exe] C:\WINDOWS\System32\13090151.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [PopUpStopperProfessional] "C:\PROGRA~1\PANICW~1\POP-UP~2\POPUPS~1.EXE"

O4 - HKCU\..\Run: [Chiu] C:\Documents and Settings\Mark\Application Data\ssob.exe

O4 - HKCU\..\Run: [WNSC] C:\WINDOWS\System32\wnsintcc.exe

O4 - Startup: Autoconfigure Ella.lnk = C:\WINDOWS\system32\regsvr32.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - <a href="res://c:\program" target="_blank">res://c:\program</a> files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Sample Toolband Serach - <a href="res://C:\WINDOWS\System32\zp.dll/MENUSEARCH.HTM" target="_blank">res://C:\WINDOWS\System32\zp.dll/MENUSEARCH.HTM</a>

O8 - Extra context menu item: Backward &Links - <a href="res://c:\program" target="_blank">res://c:\program</a> files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - <a href="res://c:\program" target="_blank">res://c:\program</a> files\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: E&xporteren naar Microsoft Excel - <a href="res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000" target="_blank">res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000</a>

O8 - Extra context menu item: LimeShop Preferences - <a href="file://C:\Program" target="_blank">file://C:\Program</a> Files\LimeShop\System\Temp\limeshop_script0.htm

O8 - Extra context menu item: Si&milar Pages - <a href="res://c:\program" target="_blank">res://c:\program</a> files\google\GoogleToolbar1.dll/cmsimilar.html

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O12 - Plugin for .m3u: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin5.dll

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: Dexia Netbanking - http://netbanking.dexia.be/PC//Dynamic/Shared/Applet//DexiaIIA.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {23B7A816-3647-49D2-9756-6F41CE8F9201} (ddm_download.ddm_control) - http://bins.dynamicdesktopmedia.com/cab/ddm_control.CAB

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/19d23d80ccfe697eb915/netzip/RdxIE601.cab

O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.axis.com/products/camera_servers/AxisCamControl.ocx

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37686.5218518519

O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/2.0....0/Installer.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/ieplugin.CAB

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2577BD9B-D2E1-4DCD-91AD-2025F0610638}: NameServer = 195.238.2.21 195.238.2.22

Marc put · 21 april 2004

Al geprobeerd, maar na een herstart van pc floept "ie" weer te voorschijn.

Marc

21 april 2004

Citaat:

Kun je zo bij internet opties verwijderen, eerst je favoriete pagina opstarten, dan naar internet opties/algemeen, dan op "huidige gebruiken" klikken en klaar ben je <img src="/ubbthreads/images/graemlins/grin.gif" alt="" /> <img src="/ubbthreads/images/graemlins/xyxthumbs.gif" alt="" />

@Sjaak(k),

Ik hoop dat je gelijk hebt (ook voor Marc put) maar meestal zijn dit
soort ongenode gasten niet zo eenvoudig te verwijderen <img src="/ubbthreads/images/graemlins/frown.gif" alt="" />
En dan moet je (helaas) op Internet gaan zoeken
naar een geschikte oplossing.

Met vriendelijke groeten <img src="/ubbthreads/images/graemlins/wink.gif" alt="" />

sattaz

Ik zie net dat Marc put inderdaad bevestigt dat
verwijdering niet zo eenvoudig blijkt te zijn ... <img src="/ubbthreads/images/graemlins/biggthumpdown.gif" alt="" />

Ome Merde · 21 april 2004

hier staan 3 items daarover, allemaal van jou zeker ? <img src="/ubbthreads/images/graemlins/smile.gif" alt="" />

merDe

Marc put · 21 april 2004

Toch niet Ome Merde.

Ik zal aldaar eens rondkijken of ik daar een oplossing voor mijn probleem kan vinden.

Oplossingen blijven altijd welkom.

Morgothzz · 21 april 2004

In in iedergeval aanvinken en fixen in hijack;

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://contexualsearch.com/passthrough/index.html?http://www.google.be/

O4 - HKLM\..\Run: [13090151.exe] C:\WINDOWS\System32\13090151.exe

Afsluiten in taskmanager; C:\WINDOWS\System32\41073244.exe, C:\WINDOWS\System32\13090151.exe

en verwijderen van je HD

kbenjila · 21 april 2004

oplossing:regedit draaien..search optie gebruiken (ctrl+f). de lastpak invullen....laten zoeken....

alles verwijderen (eerst voor de zekerheid exporteren). Einde...dan zou je de spyware kwijt moeten zijn

21 april 2004

er is nog een ander mogelijkheid

als je pro hebt...

de registry key met homepage aanpassen, en rechten wijzigen

zet alles op die value op deny behalve lezen)

vervolgens audit aanzetten in je policies ( gpedit.msc )

en dan auditen van alle failures op die registry key

dan heb je hem echt <img src="/ubbthreads/images/graemlins/smile.gif" alt="" />

**Tonskidutch** · 22 april 2004

1)

zet ook maar eens in je internet options het volgende op het TABblad advanced /geavanceerd

bij security

activeer/aanvinken

empty temporary internet files when browser is closed

2)

en ga daarna ook bij

administrative tools

local security settings

local policies

security options

en wijzig deze regel

clear virtual memory when system shuts down / enable

3)

spybot search and distroy

4)

regedit

dan herstarten

slimme spyware schrijft zich in het virtual memory.

cheers

Marc put · 22 april 2004

Lang geprobeerd maar niks blijkt te lukken om de startpagina te verwijderen. Telkens na een nieuwe pc (XP-pro NL) start blijft ie tevoorschijn komen.

Advies van Tonskidutch - uitgevoerd zoals omschreven

----Maar misschien doe ik iets fout bij regedit ? Zie hier mij ondernomen stappen: Via "uitvoeren", zoeken naar regedit, kom terecht op scherm regedit-editor, ctrl-f, zoeken naar "contexualsearch", na het zoeken lees ik dat het zoeken voltooid is - zonder verder gevolg.

Advies Morgothzz - startpagina nog aanwezig

Advies JohnDoe - Nog niet geprobeerd gezien ik niet weet waar bv value en audit te vinden zijn.

Alvast hier nogmaals een recente log (Hijackthis)

Logfile of HijackThis v1.97.3

Scan saved at 20:43:34, on 22/04/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\System32\mqsvc.exe

C:\WINDOWS\System32\mqtgsvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe

C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\NsUpdate.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\PROGRA~1\seeksoftregs\Clock two.exe

C:\WINDOWS\System32\NotifyPhoneBook.exe

C:\WINDOWS\System32\9041994.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\PROGRA~1\PANICW~1\POP-UP~2\POPUPS~1.EXE

C:\Documents and Settings\Mark\Application Data\ssob.exe

C:\WINDOWS\System32\wnsintcc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\Mark\LOCALS~1\Temp\Rar$EX00.609\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://contexualsearch.com/passthrough/index.html?http://www.google.be/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: OsbornTech Popup Blocker - {FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880} - C:\WINDOWS\System32\mshelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Lexmark X84-X85 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe

O4 - HKLM\..\Run: [Lexmark X84-X85 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe

O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NsUpdate] C:\WINDOWS\NsUpdate.exe UPDATE

O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Vidcap32driver] Vidcap32.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008

O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [bibwait] C:\PROGRA~1\seeksoftregs\Clock two.exe

O4 - HKLM\..\Run: [33811587.exe] C:\WINDOWS\System32\33811587.exe