Hoe kom ik van deze popups af? - Privacy en beveiliging

zondag 13 februari 2005 23:39

Acties:

Is een meisje!

Topicstarter

Ik kom niet meer van bepaalde popups af. Het zijn telkens dezelfde. Tot voor kort had ik er geen last van gehad. En ineens wel.
Afbeeldingslocatie: http://img.photobucket.com/albums/v674/wadaiko/popup1.jpg

Afbeeldingslocatie: http://img.photobucket.com/albums/v674/wadaiko/popup1.jpg

Afbeeldingslocatie: http://img.photobucket.com/albums/v674/wadaiko/popup3.jpg

Deze zijn ze, allemaal wijzen ze erop dat mijn comp trager loop enzo. Jah komt door iets ja.
Ik weet dus niet of het spyware is, of een trojan misschien.
In iedergeval heb ik dus van vrienden programma's gekregen.

Ik had eerst last van een about:Blank site, volgens mij door Coolwebsearch, maar door CWShredder ben ik hiervan af. Adaware gaf namelijk aan dat het CoolwebsSearch was.

Maar nu heb ik dus nog steeds last van die popups.
Ik heb adaware geprobeerd.
Afbeeldingslocatie: http://img.photobucket.com/albums/v674/wadaiko/adaware.jpg

Afbeeldingslocatie: http://img.photobucket.com/albums/v674/wadaiko/adaware.jpg

Afbeeldingslocatie: http://img.photobucket.com/albums/v674/wadaiko/hijack.jpg

En ik krijg deze maar niet weg.
Ook Spybot heb ik gerund
Afbeeldingslocatie: http://img.photobucket.com/albums/v674/wadaiko/wat.jpg

Daar komen deze uit. Als ik op repareren klik dan staat wel dat ze verwijderd worden, alleen wanneer ik klik op controleer alles dan komen ze weer terrug.

Ik heb ook hijackthis erop losgelaten.

code:

Logfile of HijackThis v1.99.0
Scan saved at 22:09:19, on 13-2-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\ASUS\Asus ChkMail\ChkMail.exe
C:\Program Files\ASUS\ASUS Hotkey\Hotkey.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Gunawan\Bureaublad\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com.tw
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = .
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Progra~1\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Gunawan\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: ASUS ChkMail.lnk = C:\Program Files\ASUS\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Hotkey.lnk = C:\Program Files\ASUS\ASUS Hotkey\Hotkey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com.tw
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {6211AC26-A1B4-422A-AC52-1E70B7D24465} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/nl/filesharingctrl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

Ik hoop dat iemand mij kan helpen. Ik heb al op GOT rondgesurft. En de programma's die werden aangeraden heb ik al geprobreerd.

Ik windows XP al geupdate.
Adaware, Spybot ook geupdate voor het runnen. Ik heb norton op losgelaten, die heeft weliswaar wel een virus gevonden. Ik heb die verwijderd, maar die popups blijven doodleuk opkomen.

Ik werk nu met Firefox ik heb Spywareblaster geinstalleerd. Crapcleaner, Regcleaner staat op mijn pc, ook allemaal gerund. Niks..

Hellup...

Seen it all done it all can't remember most of it

zondag 13 februari 2005 23:43

Acties:

Verwijderd

mischien moet je Hitman pro eens proberen.
dit werkte bij mij iig wel.
http://www.hitmanpro.nl/

zondag 13 februari 2005 23:44

Acties:

Vorkie

ah die had me buurman ook vandaag,

Ik heb het verwijderd door:
1) alle processen die niet nodig zijn uit te schakelen, dwz, alles waarbij het systeem nog blijft werken.
2) Spybot gerunt, opgeruimt
3) Hijackthis gerunt en per stuk gezocht op google naar de .exe
4) AdAware gerunt,
5) Invoegtoepassingen bekeken bij InternetExplorer
6) Nog een keertje als administrator ingelogt en alles een keertje herhaald.
7) Toen was alles weg....

zondag 13 februari 2005 23:45

Acties:

ParaNoiMia

O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Gunawan\LOCALS~1\Temp\se.dll,DllInstall

Die is zowiezo niet fris, zoek maar es op google naar se.dll

http://www.iamnotageek.com/a/se.dll.php

[ Voor 13% gewijzigd door ParaNoiMia op 13-02-2005 23:47 ]

zondag 13 februari 2005 23:46

Acties:

DoDo

Gooi het even door www.hijackthis.de dat is een online log analyser

zondag 13 februari 2005 23:47

Acties:

SimplyMe

Geestelijk Prettig Labiel

Heb je al geprobeerd deze programma's te runnen in veilige modus van windows.

weet niet of het echt helpt maar ik weet wel dat dan een hoop zooi niet draait waardoor het verwijderen gewoon wat grondiger gebeurt.

daarnaast raad ik je ook aan om een hitman pro eens tew proberen
heeft al deze programma's ook wel maar ergens heb ik tog het gevoel dat de instelling die hitman gebruikt net wat strakker zijn dan de meeste mensen in stellen.

maandag 14 februari 2005 00:04

Acties:

Hope

Is een meisje!

Topicstarter

Ik ben nu bezig met het runnen van Hitman. THX iig. Dat ding doet gewoon alles vanzelf $_/-\o_$

Maar hoe moet ik runnen in veilige modus? Jah ik heb echt geen idee. Ben maar een simpel studente

Seen it all done it all can't remember most of it

maandag 14 februari 2005 00:10

Acties:

brute51

Hope schreef op maandag 14 februari 2005 @ 00:04:
Ik ben nu bezig met het runnen van Hitman. THX iig. Dat ding doet gewoon alles vanzelf $_/-\o_$

Maar hoe moet ik runnen in veilige modus? Jah ik heb echt geen idee. Ben maar een simpel studente

tijdens het opstarten nadat het bios scherm is geweest elke halve seconde ofzo een keer op F8 drukken. In het menu dat dan verschijnt veilige modus kiezen

.

in veilige modus kan je idd een hoop zooi verwijderen (omdat die zooi nooit gestart wordt door windows en dus niet door windows wordt beveiligd) dus ga daar is aan de slag. succes!

Ik heb echt een hele goeie PC.

maandag 14 februari 2005 00:26

Acties:

Hope

Is een meisje!

Topicstarter

ParaNoiMia schreef op zondag 13 februari 2005 @ 23:45:
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Gunawan\LOCALS~1\Temp\se.dll,DllInstall

Die is zowiezo niet fris, zoek maar es op google naar se.dll

http://www.iamnotageek.com/a/se.dll.php

Ik heb op die site gekeken, via uitvoeren heb ik gezien dat ik dus dit programmaatje heb.

se.exe.
Hoe verwijder ik dat dus uit het register? Is dat het wat mij die popups oplevert?

Seen it all done it all can't remember most of it

maandag 14 februari 2005 10:46

Acties:

ParaNoiMia

Ik denk wel dat dat zo is ja. Volg de aanwijzingen op http://www.iamnotageek.com/a/395-p1.php

Om een sleutel als onderstaande te verwijderen doe je start->uitvoeren->regedit
Vervolgens zoek je binnen HKEY_LOCAL_MACHINE de sleutel op. Je kan de sleutel Win Server dus verwijderen in onderstaand voorbeeld. Dat doe je voor alle sleutels die op die site genoemd staan.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Win Server

Vervolgens voer je het stukje met MSCONFIG uit van die site en daarna ga je met je verkenner op zoek naar :
ieplugin.dll
se.dll
systb.dll
winobject.dll

Stel je vind se.dll in de map c:\windows\system32 dan kan je deze deregisteren met:

Start->Uitvoeren->regsvr32 /u c:\windows\system32\se.dll

Daarna kan je die file met je verkenner weggooien. En dat doe je voor alle 4 die files (als het niet lukt, mn emailadres staat in mn profiel)

maandag 14 februari 2005 18:56

Acties:

Hope

Is een meisje!

Topicstarter

Ik heb in veilige modus opgestart (duurde ff voordat ik doorhad wanneer ik nou op F8 moest drukken.. was altijd te laat..) vervolgens heb ik gescand met hitmanpro.
Ik denk dat ik er geen last van meer heb, tenminste zit nu al even op internet en geen popup te bekennen. Mijn comp loopt nu weer wat sneller

Ik geloof dat ik ook van die se.exe ook weg is. Ik vind hem niet meer via msconfig en opstarten.
Ook wanneer ik met Hijackthis laat analyseren op die ene site, dan krijg ik geen melding meer.
Ik vind nu wel een se.dll bestand in C:\Documents and Settings\Nadia\Local Settings\Temp
Moet ik deze nu dus deregisteren
regsvr32 /u C:\Documents and Settings\Nadia\Local Settings\Temp

Trouwens die regsvr32 is dat een aparte tool dat ik moet dlen? Of gewoon zo intypen en op enter drukken?

Echt bedankt allemaal trouwens.

Seen it all done it all can't remember most of it

maandag 14 februari 2005 19:37

Acties:

ParaNoiMia

Hope schreef op maandag 14 februari 2005 @ 18:56:

Trouwens die regsvr32 is dat een aparte tool dat ik moet dlen? Of gewoon zo intypen en op enter drukken?

Echt bedankt allemaal trouwens.

Regsvr32 zit gewoon standaard bij windows