Iets verandert mijn IE startpagina steeds naar Google, wat? - Privacy en beveiliging

zaterdag 2 december 2006 14:06

Acties:

Topicstarter

Het probleem:
Mijn startpagina staat standaard ingesteld op http://www.tweakers.net. Maar sinds vanmorgen wordt dit elke keer ingesteld op http://www.google.nl.

Als ik http://www.tweakers.net weer als startpagina instel dan is de eerste keer dat ik IE opstart dit ook daadwerkelijk de startpagina. Start ik IE daarna echter weer op, is http://www.google.nl weer de startpagina.

Als ik met Google ga zoeken en dan een resultaat open in een nieuw venster, krijg ik in dat nieuwe venster hetzelfde venster met de resultaten van de zoekopdracht. Open ik het resultaat dan weer, dan krijg ik wel de goede pagina.

Ik heb de volgende programma's laten controleren en opruimen:
- AdAware SE: Afgezien van wat cookies niets bijzonders. Alles opgeruimd.
- Spybot S&D: 3 Resultaten die ik allen kan verklaren en niets met mijn probleem hebben te maken.
- HijackThis: Geen onbekende resultaten.
- TrendMicro Housecall: TSPY_BZUB.AW, WORM_LOCKSKY.CF. Verwijdert/schoongemaakt.
- Process Explorer: Geen onverklaarbare processen.
- Taakbeheer: Geen onverklaarbare processen.
- Schijfopruiming: De boel mee opgeruimd.
- Internet Explorer: Cookies en tijdelijke bestanden gedelete.
- TweakXP: Geheugen geoptimaliseerd.

Na elk programma uiteraard gekeken of het probleem nog aanwezig was; ja dus

Wat ik nog niet gedaan heb:
- Een andere browser proberen.
- In veilige modus opstarten.
- De schijf formatteren en Windows herinstalleren.

Mijn OS en browser:
WindowsXP SP2 volledig geupdate.
IE 6.0 volledig geupdate.

Wat denk ik zelf?
Omdat het probleem is ontstaan direct na het installeren van de laatste update voor ZoneAlarm Free, vermoed ik dat dit de boosdoener moet zijn geweest. Helaas heeft het verwijderen van dit programma niets opgeleverd. Ik heb overigens geen Google Toolbar of soortgelijke zooi op mijn systeem.

Ik hoop dat iemand dit probleem bekend in de oren klinkt en de oplossing heeft.

Graphene; a material that can do everything, except leave the lab. - Asianometry

zaterdag 2 december 2006 14:09

Acties:

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

• MSN wil ook nog wel iets instellen, jij hebt geen programma verder geinstalleerd die dat kan (behalve ZoneAlarm)?
• Hijackthis - Geen onbekende resultaten? Dat heb jij ook getest? Post eventueel het log toch maar

• Nou weet ik ook dat je IE gebruikt, maar heb je het probleem ook met andere browsers? Dan kan je het een en ander uitsluiten.
• Buffer ook leeggemaakt?

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

zaterdag 2 december 2006 14:32

Acties:

NitroX infinity

Topicstarter

- MSN wordt al weken niet meer gebruikt. Dat is het hoogstwaarschijnlijk niet.
- Opera 9.02, Firefox 2.0 en Netscape 8.1 vertonen het gedrag niet.
- HijackThis log:

Logfile of HijackThis v1.99.1
Scan saved at 14:17:42, on 2-12-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\WinBar\WinBar.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Mark\Mijn documenten\HijackThis.exe

O2 - BHO: Microsoft Explorer - {3657900C-451D-8645-8CBA-C735910FA104} - C:\WINDOWS\system\brwctl32.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6mons.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E8D5997-E1CC-4E3E-8003-E1476082E126} - C:\WINDOWS\system32\ojbaojb.dll
O2 - BHO: (no name) - {B46C7B96-05A6-480F-88E7-66BEFAE212FD} - C:\WINDOWS\system32\ojbaojb.dll
O2 - BHO: (no name) - {E79FDC20-C99C-4E4D-822B-A5B6C6B92720} - C:\WINDOWS\system32\ojbaojb.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [igndlm.exe] C:\Program Files\IGN\Download Manager\DLM.exe /windowsstart /startifwork
O4 - Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game05.zylom.com/activex/zylomgamesplayer.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\wmfhotfix.dll
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing)

De drie 'ojbaojb.dll' entries kan ik niet verklaren maar deze staan er al langer in dan vanmorgen. Overigens geven zowel Google als AltaVista geen resultaten over dit bestand, dus ik verwijder 'm liever niet voordat ik zeker weet wat het is.

Graphene; a material that can do everything, except leave the lab. - Asianometry

zaterdag 2 december 2006 14:37

Acties:

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

brwctl32.dll kan eruit.
ojbaojb.dll is een niet bekend bestand idd. Ik zou hem er juist wel uithalen, want als men niet weet dat het een virus is dan zit men met de gebakken peren (bij wijze van).

[ Voor 4% gewijzigd door Outerspace op 02-12-2006 14:37 ]

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

zaterdag 2 december 2006 14:40

Acties:

markvt

Peppi Cola

submit deze dan eens hierin:
C:\WINDOWS\system32\ojbaojb.dll

http://www.kaspersky.com/scanforvirus

en kijk of die hem als kwaadaardig identificeerd

van-tilburg.info -=- meka (sega emulator) - Proud MEDION fanclub member - KOPPIG VOLHOUDEN !

zaterdag 2 december 2006 14:40

Acties:

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Idd, en anders kan je altijd nog de jottiscan gebruiken

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

zaterdag 2 december 2006 15:10

Acties:

NitroX infinity

Topicstarter

Kaspersky kent ojbaojb.dll niet en geeft 'm als veilig aan.
Ik heb 'm in veilige modus verwijdert (en brwctl32.dll ook) en daarna in normale modus de register entries gedelete. Vervolgens de drie entries met HijackThis gefixt.

Het probleem bestaat nog steeds.

En jottiscan? Linkje misschien?

Graphene; a material that can do everything, except leave the lab. - Asianometry

zaterdag 2 december 2006 15:13

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Linkje: [google=jotti scan]

=> http://virusscan.jotti.org

Verwijderd; geen backup gemaakt? Niet altijd handig.

Ik verwacht omdat het steeds Google wordt geen malware, maar omdat de manier van vinden hetzelfde is: CSA ->BV. En zet even Google in de titel zodat duidelijk is dat het geen gewone malware is die naar de eigen spampagina gaat

Pak Sysinternal's Regmon er even bij, filter op alleen de regkey waar de startpagina wordt gezet en zie welk proces het aanpast. Welk regkey: geen idee, maar is te vinden via Google en/of door het met de hand om te zetten terwijl je regmon laat lopen.
Edit: Google -> HKCR\Software\Microsoft\Internet Explorer\Main\Start Page dus.

[ Voor 32% gewijzigd door F_J_K op 02-12-2006 15:16 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zaterdag 2 december 2006 15:14

Acties:

I-King

Vaak heb je in die anti spyware programma's een optie zitten die de startpagina beschermd. Zoiets had Windows Defender tenminste. Misschien dat in één van deze programma's google.nl als standaardwaarde wordt gezien? Als je in veilige modus opstart, verandert de startpagina dan ook keer op keer?

zaterdag 2 december 2006 16:40

Acties:

NitroX infinity

Topicstarter

Wat meer info;

- Regmon snap ik niet veel van dus kan ik er ook niet veel zinnige data mee verzamelen.
- In veilige modus is het probleem niet aanwezig.
- Ook als m'n LAN verbinding is uitgeschakeld blijft het probleem aanwezig.

Graphene; a material that can do everything, except leave the lab. - Asianometry

zaterdag 2 december 2006 16:58

Acties:

Verwijderd

Is deze nog steeds aanwezig?

O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6mons.dll

zaterdag 2 december 2006 17:04

Acties:

NitroX infinity

Topicstarter

Ja, maar dat is regulier spull om IP 6.0 adressen te ondersteunen als ik me niet vergis.

Ik ben er overigens al achter, hoop ik. De zoekresultaten van Google verwijzen nu naar hotwebfinder.com welke kennelijk niet zo zuiver is

Heb ook een tweede spyware scanner geinstalleerd; SpyBouncer, en die vindt heel wat meer spul dan al die andere programma's die ik heb. Ik hoop nu binnen een uur de boel schoon te hebben

Graphene; a material that can do everything, except leave the lab. - Asianometry

zaterdag 2 december 2006 17:07

Acties:

3dfx

NitroX infinity schreef op zaterdag 02 december 2006 @ 17:04:
Ja, maar dat is regulier spull om IP 6.0 adressen te ondersteunen als ik me niet vergis.

Zeker weten?

http://www.sophos.com/security/analyses/trojcimuzaj.html
http://www.mwti.net/virus_info/virusalertd.asp?vid=860

[ Voor 8% gewijzigd door 3dfx op 02-12-2006 17:08 ]

zaterdag 2 december 2006 17:10

Acties:

NitroX infinity

Topicstarter

Crap

Kun je zien hoe slecht sommige programma's zijn.
Housecall en Ad-Aware zijn dus prut.

Graphene; a material that can do everything, except leave the lab. - Asianometry

zaterdag 2 december 2006 17:18

Acties:

Verwijderd

Pas op met SpyBouncer, dat staat op de lijst met verkeerde anti-spyware programma's.
Ruimt misschien iets op, maar laat ook zeker wat achter...

zaterdag 2 december 2006 17:21

Acties:

NitroX infinity

Topicstarter

't Moet niet gekker worden. Ik doe morgen wel mooi een verse install. dan is 't meteen goed.
Bah, ben er helemaal zat van.

Graphene; a material that can do everything, except leave the lab. - Asianometry

zaterdag 2 december 2006 17:46

Acties:

Verwijderd

Niet opgeven, dan hebben de slechterikken gewonnen.

Scan je hele systeem met de online virusscanners van Kaspersky en BitDefender.
Dan bijv. Spybot Search & Destroy en Prevx1 er achteraan.

Ondertussen fijn tv kijken en af en toe eens iets aanklikken wanneer dat nodig is.

Formatteren kan altijd nog.

zaterdag 2 december 2006 20:07

Acties:

Verwijderd

NitroX infinity schreef op zaterdag 02 december 2006 @ 17:21:
't Moet niet gekker worden. Ik doe morgen wel mooi een verse install. dan is 't meteen goed.
Bah, ben er helemaal zat van.

Vergeet je wachtwoorden dan niet te veranderen.

zaterdag 2 december 2006 22:39

Acties:

NitroX infinity

Topicstarter

Ter afsluiting. De boel is eindelijk 'schoon' (dat wil zeggen, geen spul meer dat echt kwaad kan) en m'n startpagina blijft gelukkig weer staan waar ik 'm op instel.

Maar 't voelt niet helemaal meer veilig. Schrik je toch van als je merkt dat de software die je gebruikt een paar ergere dingen over het hoofd ziet. Binnenkort maar die verse installatie erop gooien.

Graphene; a material that can do everything, except leave the lab. - Asianometry