Startpagina verandert steeds naar gore sites * - Privacy en beveiliging

zondag 11 februari 2007 16:19

Acties:

Verwijderd

Topicstarter

Zouden jullie mij bij deze even kunnen helpen ?
Mijn internet-startpagina gaat aut. steeds naar van die "gore" sites (http://www.usuc.us/2/popup/1.php?ref=john_p)
Ik heb hijackthis al eens laten lopenen ik krijg de volgende log:
Logfile of HijackThis v1.99.1
Scan saved at 16:16:44, on 11/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\D-Link AirPlus\AirPlus.exe
C:\Program Files\Microsoft Office\Office\1043\OLFSNT40.EXE
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\ACERPORT\Bureaublad\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lasupportsla.com/?Enter=Website CLICK YES TO ENTER WEBSITE
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.3:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {771868B9-B0A3-480C-A267-987760231273} - C:\WINDOWS\system32\mfm.dll (file missing)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [ExtraFilmHemmaAgent] "C:\Program Files\Spector Photo Software\Agent.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: Poort voor Symantec Fax Starter Edition.lnk = C:\Program Files\Microsoft Office\Office\1043\OLFSNT40.EXE
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net...uickTimeFullInstaller.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.c...eb_site.cab?1138375559478
O17 - HKLM\System\CCS\Services\Tcpip\..\{1BC4DAAA-8B5E-4348-ABA6-C7D1150312D4}: NameServer = 195.238.2.21,195.238.2.22
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

Alvast bedankt voor de hulp !!!

zondag 11 februari 2007 16:22

Acties:

Dj-sannieboy

Nee.... beter!

Virusscanner laten draaien?

zondag 11 februari 2007 16:25

Acties:

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lasupportsla.com/?Enter=Website CLICK YES TO ENTER WEBSITE

O2 - BHO: (no name) - {771868B9-B0A3-480C-A267-987760231273} - C:\WINDOWS\system32\mfm.dll (file missing)

Die kunnen er uit

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

zondag 11 februari 2007 16:33

Acties:

Pendaco

Vogon Poetry FTW!

en

code:

1	O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)

verder lijkt me deze entry nogal nutteloos maar kan verder geen kwaad

code:

1	O4 - Global Startup: D-Link AirPlus.lnk = ?

zondag 11 februari 2007 16:39

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

offtopic:
gryseke, welkom op GoT!
Omdat je nieuw bent even wat uitleg: ten eerste pas ik je topictitel even aan. "een trojaanspaard !!!" is erg schreeuwerig maar weinig informatief. En dat is net verkeerd om

Daarnaast is het op GoT de bedoeling om zelf ook actief mee te denken. Wat zijn volgens jou verdachte items? Waarom denk je bijvoorbeeld dat het specifiek een trojan is en niet een andere vorm van malware?
Lees ajb. Beveiliging en Virussen - Nieuw topic starten even door, net zoals het verstandig is om de andere "sticky" topics in het subforum waar je wilt posten te lezen

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 12 februari 2007 08:14

Acties:

Verwijderd

Hi, ik ben Bucket (familie van gryseke) en ik heb hen naar dit Forum "geleid".
De startpagina van IE kan niet meer ingesteld worden en af en toe krijgen ze popups (ook al staat IE niet open). Omdat ikzelf ook al eens iets gelijkaardigs (msnotify) binnen gekregen had en omdat ik het via Hijackthis en Killbox (en nog iets anders maar de naam ontglipt mij nu) heb ik hen dan ook voorgesteld om te starten met Hijackthis en de logfile eens aan de andere tweakers voor te stellen (momenteel nog zonder resultaat).
Nu ga ik hen ook voorstellen om eens (op hun gemak) alle "sticky" topics door te nemen en aan de hand daarvan (bv. met spybot) proberen het "probleem" eruit te krijgen !!!
Alvast bedankt voor de reacties !!

maandag 12 februari 2007 09:55

Acties:

Freakertje

PC schopt kont, ik nog niet...

Wat je ook zou kunnen doen (en volgens mij staat dit nog niet in de FAQ's) is de log laten analyseren op deze pagina.

Kijk wel goed en weet zeker wat je doet voordat je iets verwijderd. Als je twijfelt kun je dat natuurlijk altijd hier vragen

code:

1	R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"

Deze entry moet je volgens die site ook eens gaan napluizen wat het is. Zoek hem dus na (op GoT / Google) en gooi hem niet direct weg, het kan ook iets legitiems zijn.

Ik ga een aantal zaken even helemaal anders doen!
Totale Modjesgekte

maandag 12 februari 2007 10:13

Acties:

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Freakertje schreef op maandag 12 februari 2007 @ 09:55:
Deze entry moet je volgens die site ook eens gaan napluizen wat het is. Zoek hem dus na (op GoT / Google) en gooi hem niet direct weg, het kan ook iets legitiems zijn.

quote: http://www.liutilities.co...pro/processlibrary/msimn/
Description:
msimn.exe is the executable for Microsoft Outlook Express, the default POP3 email application included with Microsoft Windows. This process should not be removed while you have Outlook Express open.

Dus gewoon laten staan

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

maandag 12 februari 2007 22:52

Acties:

Freakertje

PC schopt kont, ik nog niet...

Waarom geeft die scanner hem dan als "moet verwijderd worden" aan?

False positive? OE bashers?

Ik vond het zelf ook al vreemd, maar voor de zekerheid even nalopen kan nooit kwaad.
Druk het bestandje maar eens door jotti heen. Verwacht zelf ook geen rariteiten, maar je _weet_ _het_ _niet_

Ik ga een aantal zaken even helemaal anders doen!
Totale Modjesgekte

dinsdag 13 februari 2007 14:25

Acties:

pasta

Ondertitel

Het zou kunnen dat het een false positive is, dat gebeurt wel vaker op HijackThis.de. Dit is dan ook de voornaamste reden dat HijackThis.de niet in de FAQ voorkomt.

Ik vind het inderdaad echter wel vreemd dat het icm met die R1 regel in je log voorkomt though, dus even controleren, zoals Freakertje hier boven mij noemt, zou dus wel handig zijn.

Signature

dinsdag 13 februari 2007 16:28

Acties:

Verwijderd

Hi, even melden dat alle tips uiteindelijk het gewenste resultaat geleverd hebben:
startpagina is terug in te stellen en (voorlopig) geen irritante poppups meer ... waarvoor dank.
Weten jullie ook toevallig geen goede virus/malware scanner die mee opstart met de PC. Geen Norton want die hebben we eraf gesmeten omdat deze heel wat vertraging teweeg bracht.
grtz

dinsdag 13 februari 2007 16:51

Acties:

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Ik heb goede ervaringen met Avast!, AVG Free, Kaspersky

Maar zelf kan ik je het beste doorverwijzen naar [Virusscanners] Discussietopic deel 3

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

dinsdag 13 februari 2007 17:52

Acties:

Bubbles

DPC-Crew

2 the resQ

Als je een legale versie van windows hebt, kan je ook gelijk Windows Defender installeren. Gratis een behoorlijk goede malware/adware scanner. Zal je ook wel wat gedonder besparen.

Vouw mee bij Fatal Error Group! - F@H: #10

vrijdag 16 februari 2007 11:50

Acties:

Clueless

Bubbles schreef op dinsdag 13 februari 2007 @ 17:52:
Als je een legale versie van windows hebt, kan je ook gelijk Windows Defender installeren. Gratis een behoorlijk goede malware/adware scanner. Zal je ook wel wat gedonder besparen.

Jup inderdaad, wellicht daarna nog iets van Hitman Pro draaien zodat je zeker weet dat je het overgrote deel er uithaalt. Daarna zou ik inderdaad eens rustig gaan kijken naar een goede anti-virus en anti-malware oplossing.

I Don't Know, So Don't Shoot Me

vrijdag 16 februari 2007 20:58

Acties:

Freakertje

PC schopt kont, ik nog niet...

Pasta: Dank je voor de info waarom het niet in de FAQ staat.

Bucketp: Wil je ons ook even laten weten of mijn genoemde entry hebt laten staan / hebt onderzocht / hebt verwijderd?

Ik ga een aantal zaken even helemaal anders doen!
Totale Modjesgekte

vrijdag 16 februari 2007 22:03

Acties:

Pendaco

Vogon Poetry FTW!

Clueless schreef op vrijdag 16 februari 2007 @ 11:50:
[...]
Jup inderdaad, wellicht daarna nog iets van Hitman Pro draaien zodat je zeker weet dat je het overgrote deel er uithaalt.

brrrr... blijf alsjeblieft ver weg van die bagger.

maandag 19 februari 2007 08:48

Acties:

Verwijderd

@ Freakertje
Die entry is erin gebleven

Ik ben uiteindelijk voor NOD32 gegaan (op aanraden van een vriend die hiermee goede ervaringen heeft). Voorlopig geen problemen meer.

Verder nog bedankt voor alle reacties ...

Voor mij mag dit draadje op slot hoor.

dinsdag 20 februari 2007 13:40

Acties:

scartsjer

hitman pro werkt bij mij meestal wel voor dit soort problemen... maybe ook handig om uit te voeren....

woensdag 21 februari 2007 13:04

Acties:

Bubbles

DPC-Crew

2 the resQ

Pendaco schreef op vrijdag 16 februari 2007 @ 22:03:
[...]

brrrr... blijf alsjeblieft ver weg van die bagger.

Fijn dat je ook eventjes objectief fundeert waarom het bagger zou zijn...

Vouw mee bij Fatal Error Group! - F@H: #10

woensdag 21 februari 2007 13:12

Acties:

Miglow

smss.exe is ook een malware programma, die had ik er ook tussen zitten op m'n pa's pc. Er kwamen elke keer popups naar voren en in IE (die ik eigelijk nooit gebruik, maar kwam toevallig zo uit) stond een BMW-X5 reclame pagina als startpagina.

Let wel, om hem te verwijderen moet je command-prompt starten, explorer.exe killen, smss.exe killen en dan via command-prompt verwijderen. Good old days of DOS-commando's

woensdag 21 februari 2007 13:20

Acties:

remco_k

een cassettebandje was genoeg

Miglow schreef op woensdag 21 februari 2007 @ 13:12:
smss.exe is ook een malware programma, die had ik er ook tussen zitten op m'n pa's pc. Er kwamen elke keer popups naar voren en in IE (die ik eigelijk nooit gebruik, maar kwam toevallig zo uit) stond een BMW-X5 reclame pagina als startpagina.

Let wel, om hem te verwijderen moet je command-prompt starten, explorer.exe killen, smss.exe killen en dan via command-prompt verwijderen. Good old days of DOS-commando's

Tja... vooral doen.
smss.exe is gewoon een onderdeel van ms windows.
Je bent een belgisch virus. Je sloopt je eigen (of in dit geval) je pa's pc.

Het kán natuurlijk zijn dat in een specifiek geval smss.exe is vervangen door malware. Maar verder heeft iedereen smss.exe op zijn systeem draaien.

[ Voor 10% gewijzigd door remco_k op 21-02-2007 13:22 ]

Alles kan stuk.

woensdag 21 februari 2007 13:27

Acties:

pasta

Ondertitel

quote: http://www.liutilities.co...spro/processlibrary/smss/
Description:
smss.exe is a process which is a part of the Microsoft Windows Operating System. It is called the Session Manager Subsystem and is responsible for handling sessions on your system. This program is important for the stable and secure running of your computer and should not be terminated.

smss.exe kan dus volkomen legit zijn, alleen als deze niet op de standaard locatie (c:\Windows\System32\smss.exe) zou ik het even controleren op Jotti's online malware scan. Malware selecteren op filename alleen is meestal niet echt al te nuttig en kan potentieel je systeem om zeep helpen.

Signature