Ik krijg pop ups van netvenda niet weg. - Privacy en beveiliging

dinsdag 1 maart 2005 18:34

Acties:

Verwijderd

Topicstarter

Sinds een maand of zo heb ik last van IE pop ups die zomaar opstarten, terwijl ik mozilla draai. Ad aware en S&D al geprobeerd, maar ze zijn er nog steeds. de pop ups zijn van netvenda en games of zo.

Ik heb normaal nooit last van virussen of zo (draai geen eens een scanner), dus ben ook geen removal expert. Ik moet zon hijackthis posten of zo? Snap er niets van, maar goed hier is t:

code:

Logfile of HijackThis v1.99.1
Scan saved at 18:29:30, on 1-3-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\Razer\razertra.exe
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Documents and Settings\AnTz0r\Application Data\urwm.exe
C:\WINDOWS\system32\r?ndll.exe
C:\Program Files\Creative\MediaSource\GO\CTCMSGo.exe
e:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
E:\OpenOffice\program\soffice.exe
E:\VPN Client\cvpnd.exe
E:\Nero\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\notepad.exe
E:\Python24\pythonw.exe
C:\PROGRA~1\mozilla.org\Mozilla\Mozilla.exe
C:\Documents and Settings\AnTz0r\Desktop\hijackthis\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0848801B-6CFC-3F02-83DD-1234935EB2B3} - C:\WINDOWS\system32\pieuqllb.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [razertra] C:\Program Files\Razer\razertra.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [Clock] C:\WINDOWS\spoolsv.exe
O4 - HKCU\..\Run: [Aabt] C:\Documents and Settings\AnTz0r\Application Data\urwm.exe
O4 - HKCU\..\Run: [Jolyrk] C:\WINDOWS\system32\r?ndll.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Program Files\Creative\MediaSource\GO\CTCMSGo.exe /SCB
O4 - Startup: OpenOffice.org 1.1.3.lnk = E:\OpenOffice\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - e:\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - e:\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - E:\VPN Client\cvpnd.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - E:\Nero\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

hopelijk kan iemand me hiermee helpen...

dinsdag 1 maart 2005 18:40

Acties:

Mike Jarod

Jij bent het schoolvoorbeeld waarom je WEL een virusscanner moet gebruiken

Hieronder wat files die verdacht zijn. Heb ze niet gechecked, en misschien is er nog wel meer.

Beter doe je gewoon een herinstallatie...

razertra.exe
r?ndll.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\pieuqllb.dll
C:\WINDOWS\spoolsv.exe
C:\Documents and Settings\AnTz0r\Application Data\urwm.exe

dinsdag 1 maart 2005 18:44

Acties:

kromme

Doe hubs slaag in het koffer..

probeer de beta versie van microsoft eens te runnen(spyware programma). Werkt best fijn!

Keep it calm...en lek mig de zuk

dinsdag 1 maart 2005 18:47

Acties:

Verwijderd

Topicstarter

ik scan wel af en toe met housecall, maar die doet het vandaag niet. als ik een losse file niet vertrouw (een keer in de 2 maanden of zo) gooi ik antivir er even overheen.

maar geen permanente protectie dus. is dat zo slecht? ik gebruik geen email client (altijd webmail), gezond verstand erbij en dan hou je t meeste wel buiten. zelf ook geen rare dingen gemerkt of zo, tot nu toe dan.

razertra is van mn muis
spools heb ik al veel langer (herken m van me processes), lijkt me dus niet.

die andere weet ik niet.

opnieuw installeren heb ik nog niet zo'n trek in.

dinsdag 1 maart 2005 18:49

Acties:

kromme

Doe hubs slaag in het koffer..

http://www.microsoft.com/...F62EDA9671&displaylang=en

Keep it calm...en lek mig de zuk

dinsdag 1 maart 2005 18:50

Acties:

Verwijderd

Topicstarter

heb m al geinstalleerd

__________________________-

ironisch, een bedrijf dat zelf van spy-en wordt beschuldigd heeft een anti spy programma...

edit: is dit trouwens dat ding dat startpagina blokkeerde?

[ Voor 18% gewijzigd door Verwijderd op 01-03-2005 18:50 ]

dinsdag 1 maart 2005 18:53

Acties:

kromme

Doe hubs slaag in het koffer..

Verwijderd schreef op dinsdag 01 maart 2005 @ 18:50:
heb m al geinstalleerd

__________________________-

ironisch, een bedrijf dat zelf van spy-en wordt beschuldigd heeft een anti spy programma...

edit: is dit trouwens dat ding dat startpagina blokkeerde?

Volgens mij niet. Ik heb hem laatst gebruikt om de hele zooi eens op te schonen. Zou je moeten proberen.

Keep it calm...en lek mig de zuk

dinsdag 1 maart 2005 18:54

Acties:

Verwijderd

Een huisvoorbeeld van iemand die geen virusbeschermer gebruikt zal hij wel niet wezen. Ik gebruik Norton Antivirus, een webversie van Microtrend, AdAware en Search en Destroy. Na twee maanden irritante popups, crashes van de browser, etc. heb ik maar weer eens een clean install gedaan van XP.
Al die tijd kwam ik er gewoon niet uit hoe ik netvenda de nek om kon draaien. Er staan overigens wel tig links als je naar netvenda googled. Ik werd er zelf alleen niet wijzer van.

dinsdag 1 maart 2005 18:57

Acties:

Verwijderd

S&D had overigens in de setup een aantal opties welke je kon uitschakelen, zodat die spyware ook weggehaald werd (zo werd iig verteld in een van de duizenden eliminatiehandleidingen). Dit heb ik een keer kunnen doen. Het gevolg was dat m'n pc nog instabieler werd dan een tirolse skilift...

woensdag 2 maart 2005 18:21

Acties:

Verwijderd

Topicstarter

dat windows ding had nog een hoop dingen weggehaald. net toch weer een pop up

nieuwe hijackthis:

code:

Logfile of HijackThis v1.99.1
Scan saved at 18:20:19, on 2-3-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
e:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
E:\VPN Client\cvpnd.exe
E:\Nero\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\Razer\razertra.exe
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
E:\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\mozilla.org\Mozilla\Mozilla.exe
C:\Program Files\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Documents and Settings\AnTz0r\Application Data\urwm.exe
C:\WINDOWS\system32\r?ndll.exe
C:\Program Files\Creative\MediaSource\GO\CTCMSGo.exe
E:\OpenOffice\program\soffice.exe
E:\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\mIRC\mirc.exe
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\AnTz0r\Desktop\hijackthis\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0848801B-6CFC-3F02-83DD-1234935EB2B3} - C:\WINDOWS\system32\pieuqllb.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [razertra] C:\Program Files\Razer\razertra.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [gcasServ] "E:\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [Clock] C:\WINDOWS\spoolsv.exe
O4 - HKCU\..\Run: [Aabt] C:\Documents and Settings\AnTz0r\Application Data\urwm.exe
O4 - HKCU\..\Run: [Jolyrk] C:\WINDOWS\system32\r?ndll.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Program Files\Creative\MediaSource\GO\CTCMSGo.exe /SCB
O4 - Startup: OpenOffice.org 1.1.3.lnk = E:\OpenOffice\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - e:\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - e:\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - E:\VPN Client\cvpnd.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - E:\Nero\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

woensdag 2 maart 2005 18:31

Acties:

Bulleteater

Mike Jarod schreef op dinsdag 01 maart 2005 @ 18:40:
Jij bent het schoolvoorbeeld waarom je WEL een virusscanner moet gebruiken

beetje offtopic maar toch:
Ik heb al ruim een jaar deze pc lopen zonder virusscan !! nooit problemen !! ik heb alleen de firewall van Sygate erop staan...

woensdag 2 maart 2005 18:39

Acties:

grhmpf

Android <3

Hoe weet je nou dat je geen virus hebt als je geen checker draait

woensdag 2 maart 2005 21:01

Acties:

Sassie

Ik vind dit allemaal verdachte processen:

code:

1 2	C:\Documents and Settings\AnTz0r\Application Data\urwm.exe C:\WINDOWS\system32\r?ndll.exe

Laat ze eens analyseren door Jotti's virusscan

En deze entries vind ik verdacht:

code:

O2 - BHO: (no name) - {0848801B-6CFC-3F02-83DD-1234935EB2B3} - C:\WINDOWS\system32\pieuqllb.dll
O4 - HKCU\..\Run: [Clock] C:\WINDOWS\spoolsv.exe 
O4 - HKCU\..\Run: [Aabt] C:\Documents and Settings\AnTz0r\Application Data\urwm.exe
O4 - HKCU\..\Run: [Jolyrk] C:\WINDOWS\system32\r?ndll.exe

Laat de bestanden waarnaar ze verwijzen ook analyseren door Jotti's virusscan

Normaal gesproken is spoolsv.exe ok (zie: http://www.liutilities.co...o/processlibrary/spoolsv/), maar ik vind spoolsv hier wel verdacht omdat ie onder 'Clock' vermeld staat. Ook staat ie niet in de system32 dir wat ook al een beetje vreemd is.
Zie ook: http://securityresponse.s.../adware.findwhatever.html,
http://castlecops.com/startuplist-6535.html en http://startup.iamnotageek.com/srch-clock.html.

PS: heb je Ad-aware, Spybot S&D, MS Antispyware en je viruscanner ook al eens in de veilige modus geprobeerd? In de veilige modus worden als het goed is alleen essentiele windows processen opgestart, en als het goed is zouden sneaky spyware procesjes (die jouw opruim acties weer ongedaan maken) dan niet moeten draaien.

[ Voor 7% gewijzigd door Sassie op 02-03-2005 21:04 ]

woensdag 2 maart 2005 23:21

Acties:

Verwijderd

Topicstarter

als ik hijackthis draai vind ie r?ndll en urwm, maar in de verkenner ziet ie m niet, kan ik m dus ook niet opsturen

donderdag 3 maart 2005 00:08

Acties:

pasta

Ondertitel

De ? in r?ndll kan staan voor een teken als ü, welke door sommige lettertypes niet helemaal wordt ondersteund, daarnaast moet je natuurlijk ook 'Beveiligde bestanden weergeven' en 'Verborgen mappen en bestanden' tonen.

Signature

donderdag 3 maart 2005 12:16

Acties:

Verwijderd

Topicstarter

ja dat snap ik ook wel, maar t zit er gewoon niet in! alleen de gewone rundll, en urwm helemaal niet.

woensdag 9 maart 2005 10:59

Acties:

Bulleteater

grhmpf schreef op woensdag 02 maart 2005 @ 18:39:
Hoe weet je nou dat je geen virus hebt als je geen checker draait

omdat ik dit wellus online check ofzo

Pagina: 1

Reageer