Krijg spyware ni verwijderd

[Frigobox]

Ik krijg bepaalde spyware die ik vind met spybot en adaware niet verwijderd. Mss heeft het te maken met wat ik in dit topic al vertelde en die handcufss virus. Als ik spybot en adaware laat draaien, dan vinden ze beiden spyware van IStbar (adaware) en IS Tech (Spybot)

Beide programma's kunnen het bestand niet onmiddellijk verwijderen en vragen om een reboot. Als de pc heropstart, scannen beide programma's opnieuw en is de spyware verwijderd. Maar telkens als ik een verbinding maak met internet, staan die bestandjes weer waar ze stonden

Kan iemand me helpen?? Dit zijn de bestandjes



PS: mogen die Unique Media Player ID's ook verwijderd worden?? Ik liet die altijd staan

[Sasuke2]

Gebruik eens Microsoft AntiSpyware, die is een pak beter dan ad-aware of spybot. En gratis, ok, 't is een beta ... maar het doet echt z'n werk goed. Vooral voor istbar e.d. is het een supertooltje.

[Frigobox]

Kheb hier nog een ander topic gevonden. Zien of da werk. Blijkbaar gewoon via SOFTWARE deleten

http://www.security.nl/forum/i/59629/

Heb MSCONFIG es uitgevoerd, bij opstarten, staat daar wini.exe en winis.exe

Als ik me niet vergis heb ik die bestanden gezien toen ik dat handcuffs ding geopend heb.... Wat moet ik ermee doen??

[MaRtO]

Hier heb je een removal tool voor istbar => http://securityresponse.symantec.com/av ... Istbar.exe

[Frigobox]

Kga het es teste, merci alleszins

[Frigobox]

Hopelijk blijft alles nu weg

Maar wat te doen met die wini.exe en winis.exe???

[MaRtO]

Graag gedaan

Ik las in een ander topic dat dit een virus was, dus je zou best eens scannen met je anti-virus.
Heb juist gelezen in een ander topic dat er een removal tool voor bestaat, maar hier heb je hem nog eens.

[Frigobox]

Mijn laatste scan dateert van donderdag 17-2 nadat ik op die link geklikt had. Kdenk wel dat ik safe ben maar kzal seffes nog es opnieuw starten

Merci voor de links, khad die eerste ook gevonden, maar is er geen automatische fixer want ik pruts ni zo heel graag aan die instellingen Zie dak straks alles kwijt ben e

Bropia scanner net gedaan. 2 dingen gevonden

Symantec W32.Bropia Removal Tool 1.2.0

C:\System Volume Information\_restore{274C7EAE-9415-4511-8B55-D19639739E5E}\RP288\A0050173.exe: (deleted)
C:\System Volume Information\_restore{274C7EAE-9415-4511-8B55-D19639739E5E}\RP288\A0050174.exe: (deleted)

registry: HKEY_USERS\S-1-5-21-1275210071-1767777339-682003330-1004\Software\Microsoft\OLE: win-xp (value deleted)
registry: HKEY_USERS\S-1-5-21-1275210071-1767777339-682003330-1004\Software\Microsoft\Windows\CurrentVersion\RunServices: win-xp (value deleted)
registry: HKEY_USERS\S-1-5-21-1275210071-1767777339-682003330-1004\SYSTEM\CurrentControlSet\Control\Lsa: win-xp (value deleted)
registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole: win-xp (value deleted)
registry: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: win-xp (value deleted)
registry: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: win-xp (value deleted)
registry: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa: win-xp (value deleted)

W32.Bropia has been successfully removed from your computer!

Here is the report:

The total number of the scanned files: 62979
The number of deleted threat files: 2
The number of threat processes terminated: 0
The number of registry entries fixed: 7

Hopelijk blijven ze nu weg HAd da met die wini.exe te maken eigenlijk?

[Frigobox]

Ondertussen blokkeert adaware se1.05 nog steeds e

Dus daar ligt het probleem ni aan

http://www.userbase.be/forum/viewtopic.php?t=6766

[MaRtO]

Idd dat had met wini.exe en winis.exe te maken.

Probeer dit eens (ad-aware freeze)

[Frigobox]

Ik vind die antispyware van Microsoft wel goed eigenlijk. Probleem, de spyware komen terug

Heb effe hijackthis gedaan

Logfile of HijackThis v1.99.1
Scan saved at 18:37:26, on 19/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\wini.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MessengerDiscovery\MessengerDiscovery.exe
C:\Program Files\LookNMeet\Agent.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\Axel\LOCALS~1\Temp\fkQa4Na.exe
c:\program files\180solutions\sais.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\Program Files\Microsoft AntiSpyware\GIANTAntiSpywareMain.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\Axel\LOCALS~1\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page ... _id=157983
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page ... _id=157983
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page ... _id=157983
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\PROGRA~1\ISTbar\istbar.dll (file missing)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [STOPzilla] "C:\Program Files\STOPzilla!\Stopzilla.exe" /autorun
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [lmx] C:\WINDOWS\lmx.exe
O4 - HKLM\..\Run: [UWfCY26A] C:\WINDOWS\soipsk.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [virtual-machine] wini.exe
O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [chgvmv] C:\WINDOWS\chgvmv.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\RunServices: [virtual-machine] wini.exe
O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Program Files\Microsoft AntiSpyware\gcASCleaner.exe
O4 - HKLM\..\RunOnce: [GIANTAntiSpywareCleaner] C:\Program Files\Microsoft AntiSpyware\gcASCleaner.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MessengerDiscovery] C:\Program Files\MessengerDiscovery\MessengerDiscovery.exe
O4 - HKCU\..\Run: [LookNMeet] C:\Program Files\LookNMeet\Agent.exe
O4 - HKCU\..\Run: [virtual-machine] wini.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunServices: [virtual-machine] wini.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: LookNMeet - {5D602A21-B929-11d7-A5D3-005022E14DE3} - http://www.looknmeet.be/ (file missing)
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b30149.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by20fd.bay20.hotmail.msn.com/res ... nPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b30149.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697517} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_aac.cab
O16 - DPF: {C9A703E2-3145-11D8-813C-005022E14DE2} (Installer Class) - http://www.looknmeet.be:8080/lnm_v4/age ... taller.cab
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_download/Auto ... dwnldr.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... b30149.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25C17E97-D051-409A-876B-A3793F93F248}: NameServer = 195.238.2.21 195.238.2.22
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

Help

[flamenca]

Voor de wini.exe die erin voorkomt:
=> http://securityresponse.symantec.com/av ... .04.d.html

Blijkt nog een beestje te zijn....

Anders moet je de Stinger van McAfee er eens op los laten, die vindt de meest recente beestjes terug.... => http://vil.nai.com/vil/stinger/

flamenca

[MaRtO]

Verwijder in hijackthis gewoon alles dat verdacht lijkt.
wini.exe , searchbar, istbar, ... Als er na de hijackthis toch problemen zijn gebruik dan de back-up.
Ik zie dat je messenger plus ook geïnstalleerd hebt, bij de installatie van dit kun je kiezen of je de sponser (spyware) wilt installeren of niet, zorg er zeker voor dat je dit niet hebt gekozen.

[Polleke]

Asl je hijackthis gebruikt hebt, mag je niet vergeten om eens in veilige modus op te starten, en van daaruit de bestanden die je afgevinkt hebt in Hijackthis te verwijderen. Omdat in veilige modus minder services geladen worden, kan je daar meer bestanden verwijderen.
Die veilige modus bereik je door bij het opstarten (net na de bios meldingen) op F8 te duwen, en in het menu dat dan verschijnt, veilige modus te kiezen.

Ook niet vergeten dat er al spyware bestaat die je ook langs deze weg niet meer wegkrijgt. Die tjoolders die die ongein produceren beginnen steeds betere methodes te vinden om het verwijderen ervan moeilijker te maken.