Archief - Internet openen --> pop-up

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
U

Ulukai5

Legacy Member
Hallo,

sinds enkele dagen heb ik iets eigenaardigs voor met IE. Telkens ik IE open van op bureaublad, opent er vanzelf ook een pop-up. Die is meestal verschillend, maar heb ook al paar keer dezelfde zien terugkomen. Als ik een nieuw venster open vanuit IE zelf, heb ik het ni. Homepage is google.be en PC was altijd heel clean tot daarvoor blijkbaar dus.

Ik gebruik win2k. Specs vind je in sig. Om PC clean te houden scan ik regelmatig met ad-aware en Ace Utilities op allerhande rommel en die gaat er onmiddellijk af dan. Rgelmatig temp en temp inet files uitkuisen doe ik ook. als ik iets installeer is het altijd in bepaalde mappen, ik zorg ervoor dat alles er ook terug mooi afgaat etc en dan opeens gebeurt dit.

Het is denk ik begonnen toen ik aan het surfen was en op een of andere site kreeg ik een venstertje waarin ze vroegen of ik het een of het ander wou installeren, zoals er ook vanalles van GAIN en Whenu bestaat enzo, kendet? In de rapte heb ik per ongeluk 1 keer op yes geduwd ( :doh: ) en denk dat het toen allemaal is begonnen ma ben ni zeker.

Heb de laatste 10 dagen al zeker 10 keer gescand met AU en Ad-aware maar niks helpt. Ook als ik scan met NAV 2004 die volledig up-to-date is, krijg ik geen virussen, maar wel een paar at-risk bestanden. Die heb ik allemaal verwijderd en op inet opgezocht. De meesten bleken hardnekkige spyware te zijn. Toch heeft het ni geholpen aan die pop-ups.

Is er nu een goed programma waarmee ik spyware kan verwijderen en mijn register goed proper kan krijgen? Of stellen jullie iets anders voor? Pop-up killer installeer ik liever ni, kwil gewoon da het terug is zoals vroeger.

Bedankt,

Ulu.
U

Ulukai5

Legacy Member
LSD-ProZac zei:
download eerst en vooral 'hijack this' , een klein progje om te scannen vanop deze link http://209.133.47.12/~merijn/files/HijackThis.exe

scan en post je log...
Klik om te vergroten...

Bedankt, hier is de log:

Logfile of HijackThis v1.98.2
Scan saved at 22:19:52, on 11/10/2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\loadqm.exe
C:\Program Files\Winamp\Winampa.exe
C:\WINNT\System32\RunDLL32.exe
C:\WINNT\System32\WinSys.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINNT\System32\internat.exe
C:\Program Files\TransText\TransText.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Jonathan\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINNT\localNRD.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINNT\2_0_1browserhelper2.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1043,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinSys] C:\WINNT\System32\WinSys.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [hdwdnauuua] C:\WINNT\System32\twfrbx.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Poort voor Symantec Fax Starter Edition.lnk = C:\Program Files\Microsoft Office\Office\1043\OLFSNT40.EXE
O4 - Global Startup: TransText.lnk = C:\Program Files\TransText\TransText.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.nl
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.nl
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...e08139a2080b:c7857c068f27d7cc50f91b20c15a3e0e
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Als jullie dan zeggen "doe diet weg en doe dat weg", is dat dan met hijackthis zelf? Dus opnieuw scannen en "fix checked" kiezen?
U

Ulukai5

Legacy Member
Heb ook snel ff startuplist laten lopen, want zag vanalles staan van syncroad enzo ma dacht nochtans da het volledig weg was :( Anyway: hier is het:

StartupList report, 11/10/2004, 22:23:50
StartupList version: 1.52
Started from : C:\Jonathan\StartupList.EXE
Detected: Windows 2000 SP2 (WinNT 5.00.2195)
Detected: Internet Explorer v5.00 SP2 (5.00.2920.0000)
* Using default options
==================================================

Running processes:

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\loadqm.exe
C:\Program Files\Winamp\Winampa.exe
C:\WINNT\System32\RunDLL32.exe
C:\WINNT\System32\WinSys.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINNT\System32\internat.exe
C:\Program Files\TransText\TransText.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Jonathan\StartupList.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten]
Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
Poort voor Symantec Fax Starter Edition.lnk = C:\Program Files\Microsoft Office\Office\1043\OLFSNT40.EXE
TransText.lnk = C:\Program Files\TransText\TransText.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Synchronization Manager = mobsync.exe /logon
SoundMan = SOUNDMAN.EXE
NVCLOCK = rundll32 nvclock.dll,fnNvclock
LoadQM = loadqm.exe
NeroFilterCheck = C:\WINNT\system32\NeroCheck.exe
WinampAgent = "C:\Program Files\Winamp\Winampa.exe"
NvCplDaemon = RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
NvMediaCenter = RunDLL32.exe NvMCTray.dll,NvTaskbarInit

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

internat.exe = internat.exe

--------------------------------------------------

Shell & screensaver key from C:\WINNT\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\WINNT\localNRD.dll - {00320615-B6C2-40A6-8F99-F1C52D674FAD}
(no name) - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\WINNT\2_0_1browserhelper2.dll (file missing) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2}
NAV Helper - C:\Program Files\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[Checkers Class]
InProcServer32 = C:\WINNT\Downloaded Program Files\msgrchkr.dll
CODEBASE = http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab

[{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}]
InProcServer32 = C:\WINNT\Downloaded Program Files\SyncroAdX.dll
CODEBASE = http://public.windupdates.com/get_f...e08139a2080b:c7857c068f27d7cc50f91b20c15a3e0e

[MessengerStatsClient Class]
InProcServer32 = C:\WINNT\Downloaded Program Files\messengerstatsclient.dll
CODEBASE = http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab

[ActiveScan Installer Class]
InProcServer32 = C:\WINNT\Downloaded Program Files\asinst.dll
CODEBASE = http://www.pandasoftware.com/activescan/as5/asinst.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINNT\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\WINNT\System32\spool\DRIVERS\COLOR\New|||o

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
WebCheck: C:\WINNT\System32\webcheck.dll
SysTray: stobject.dll

--------------------------------------------------
End of report, 6.178 bytes
Report generated in 0,062 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

Bedankt,

Ulu.
L

LSD-ProZac

Legacy Member
hmm... blijkbaar zou er een worm op je PC zitten

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_LOLOL.D

C:\WINNT\System32\WinSys.exe = process


en dan... te verwijderen...

O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINNT\2_0_1browserhelper2.dll (file missing)
O4 - HKLM\..\Run: [WinSys] C:\WINNT\System32\WinSys.exe
O4 - HKLM\..\Run: [hdwdnauuua] C:\WINNT\System32\twfrbx.exe



lijkt me verdacht
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINNT\localNRD.dll

en inderdaad, als we zeggen dit te verwijderen is dit met hijack this zelf. Voor sommige dingen moet je echter in veilige modus met netwerk opstarten...

Hijack This maakt echter back up bestanden aan voor het geval je per ongeluk iets zou verwijderen...
U

Ulukai5

Legacy Member
LSD-ProZac zei:
hmm... blijkbaar zou er een worm op je PC zitten

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_LOLOL.D

C:\WINNT\System32\WinSys.exe = process


en dan... te verwijderen...

O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINNT\2_0_1browserhelper2.dll (file missing)
O4 - HKLM\..\Run: [WinSys] C:\WINNT\System32\WinSys.exe
O4 - HKLM\..\Run: [hdwdnauuua] C:\WINNT\System32\twfrbx.exe



lijkt me verdacht
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINNT\localNRD.dll

en inderdaad, als we zeggen dit te verwijderen is dit met hijack this zelf. Voor sommige dingen moet je echter in veilige modus met netwerk opstarten...

Hijack This maakt echter back up bestanden aan voor het geval je per ongeluk iets zou verwijderen...
Klik om te vergroten...

Dankjewel, heb die 4 bestanden verwijderd en alles bolt weer zoals vroeger :)

tyvm!

Ulu.
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan