ww92(dot)js(dot)6bb5337c(dot)info browser hijjack

Beste tweakers,

Gister werd ik tijdens het surfen enkele malen doorverwezen naar ww92(dot)js(dot)6bb5337c(dot)info (punten even weggehaald zodat je er niet per ongeluk op klikt) ipv de site. Er kwam dan een wit scherm (niks erop). Toen ik de link googlede kwam ik erachter dat het een browser hijacker is en dat je het virus liever niet op de pc hebt. Heb op andere sites gekeken (oa http://www.safebro.com/ww92-js-6bb5337c-info-virus-remove ) , maar als ik de dingen opzoek die ze zeggen in de browser vind ik niks. Ook is er geen programma wat zo heet en dat met die registry settings lukt me niet zelf om dat te achterhalen. Ook de virusscan (Symantec) vind niks, maar dit schijnt wel vaker voor te komen. Hoe kom ik er zeker achter of er wat is of dat mijn pc nog gewoon veilig is (staan op verschillened sites programmatjes maar weet niet welke ik kan vertrouwen). Heb nu nog geen dingen zoals popups of andere rare dingen (wel NoScript gedownload, schijnt zoiets in de toekomst te kunnen voorkomen als je oplet). Ik gebruik mozilla.

Alvast bedankt,

Truus

[ Voor 5% gewijzigd door Verwijderd op 03-12-2013 15:58 ]

Kan die gewoon lopen terwijl Symatec Endpoint Protection aanwezig is? Heb in het verleden eens problemen gehad met meerdere virusscanners langs elkaar.

Edit:

Heb eerst een snelle scan gedaan, dit kwam eruit:


3-12-2013 18:30:17
MBAM-log-2013-12-03 (18-40-19).txt

Scan type: Snelle scan
Ingeschakelde scan opties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM
Uitgeschakelde scan opties: P2P
Objecten gescand: 344302
Verstreken tijd: 9 minuut/minuten, 10 seconde(n)

Geheugenprocessen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Geheugenmodulen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registersleutels gedetecteerd: 1
HKCU\Software\1ClickDownload (PUP.Optional.1ClickDownload.A) -> Geen actie ondernomen.

Registerwaarden gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registerdata gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Mappen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Bestanden gedetecteerd: 1
C:\Users\<user>\AppData\Local\Temp\pVizj_Yd.exe.part (PUP.Optional.Installex) -> Geen actie ondernomen.

(einde)


Weet niet wat voor bestanden het zijn, ze staan nu in quarantaine, wegdoen?

Doe nu een volledige scan.


EDIT #2:

Scan type: Volledige scan (C:\|D:\|)
Ingeschakelde scan opties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM
Uitgeschakelde scan opties: P2P
Objecten gescand: 692307
Verstreken tijd: 2 uur/uren, 6 minuut/minuten, 43 seconde(n)

Geheugenprocessen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Geheugenmodulen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registersleutels gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registerwaarden gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registerdata gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Mappen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Bestanden gedetecteerd: 1
D:\Downloads\VipBoxSportsAppsInstall92.exe (PUP.BundleInstaller.DW) -> Geen actie ondernomen.

(einde)


De Kaspersky TDSSKiller heeft niks gevonden.


Ook Hijackthis laten lopen en ingevoerd op http://www.hijackthis.de/ .


R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
Nasty
Should be fixed if you do not know this application. This entry was classified from our visitors as bad.


Deze verwijderen?


En verder staat er nog safe bij een hoop, waar dan wel achter staat: Possibly nasty! According to our database this process runs normally in c:\windows\system32\! Check if you know this process and arrange a viruscheck where required. This entry was classified from our visitors as good.


Wat kan ik nu het beste doen? Is mijn pc nu veilig of moet ik nog iets laten scannen of dat ene bestand verwijderen. Volgens mij gewoon iets van een toolbar die ik nooit gebruik, kan dus net zo goed de hele map weg doen denk ik.

[ Voor 122% gewijzigd door Verwijderd op 03-12-2013 21:40 ]

Heb nooit de symptomen van de hijack gezien terwijl ik wel een paar keer op dat adres ben geweest. Wist niet zeker of ik het nu wel of niet had en er werd overal gezegt dat het lastig te vinden was, dus wilde zeker zijn. Er zijn wel een paar dingen gevonden, weet niet of dat er iets mee te maken had. Maar ik kan nu ervan zeker zijn dat alles safe is?

In ieder geval bedankt voor de tijd en moeite als dit het was!

ADWCleaner. Alles weg? Heb geen Antivir Webguard denk ik. Bij Roguekiller is de scan knop grijs, kan er niet op klikken.


***** [ Files / Folders ] *****

File Found : C:\Users\<user>\AppData\Roaming\Mozilla\Firefox\Profiles\zlsjtzit.default\searchplugins\Askcom.xml
File Found : C:\Windows\System32\Tasks\Scheduled Update for Ask Toolbar
Folder Found : C:\Users\<user>\AppData\Roaming\Mozilla\Firefox\Profiles\zlsjtzit.default\Extensions\toolbar@ask.com
Folder Found C:\Program Files (x86)\Ask.com
Folder Found C:\ProgramData\Ask
Folder Found C:\Users\<user>\AppData\Local\Temp\AskSearch
Folder Found C:\Users\<user>\AppData\LocalLow\AskToolbar
Folder Found C:\Windows\installer\{86d4b82a-abed-442a-be86-96357b70f4fe}

***** [ Shortcuts ] *****


***** [ Registry ] *****

Key Found : HKCU\Software\APN
Key Found : HKCU\Software\APN PIP
Key Found : HKCU\Software\AppDataLow\Software\AskToolbar
Key Found : HKCU\Software\Ask.com
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
Key Found : HKCU\Software\YahooPartnerToolbar
Key Found : [x64] HKCU\Software\APN
Key Found : [x64] HKCU\Software\APN PIP
Key Found : [x64] HKCU\Software\Ask.com
Key Found : [x64] HKCU\Software\YahooPartnerToolbar
Key Found : HKLM\Software\APN
Key Found : HKLM\Software\AskToolbar
Key Found : HKLM\SOFTWARE\Classes\AppID\{0A18A436-2A7A-49F3-A488-30538A2F6323}
Key Found : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Key Found : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Key Found : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{007EFBDF-8A5D-4930-97CC-A4B437CBA777}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Found : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Key Found : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Key Found : HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Key Found : HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Key Found : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Key Found : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Key Found : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Key Found : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASAPI32
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASMANCS
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\apntoolbarinstaller_RASAPI32
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\apntoolbarinstaller_RASMANCS
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\askpartnercobrandingtool_rasapi32
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\askpartnercobrandingtool_rasmancs
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\TaskScheduler_RASAPI32
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\TaskScheduler_RASMANCS
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Key Found : HKLM\Software\PIP
Key Found : [x64] HKLM\SOFTWARE\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Key Found : [x64] HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Key Found : [x64] HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Key Found : [x64] HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Key Found : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Value Found : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
Value Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Value Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]

***** [ Browsers ] *****

-\\ Internet Explorer v11.0.9600.16428


-\\ Mozilla Firefox v25.0.1 (nl)

[ File : C:\Users\<user>\AppData\Roaming\Mozilla\Firefox\Profiles\zlsjtzit.default\prefs.js ]

Line Found : user_pref("browser.search.defaultengine", "Ask.com");
Line Found : user_pref("browser.search.order.1", "Ask.com");
Line Found : user_pref("extensions.asktb.ff-original-keyword-url", "");
Line Found : user_pref("keyword.URL", "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=FXTV5&o=101699&locale=en_NL&apn_uid=9b69c4e0-9beb-4ae1-9665-a195315b3e88&apn_ptnrs=%5EF4&apn_sauid=C17D96D3-005A-4F45-BC[...]

*************************

AdwCleaner[R0].txt - [5850 octets] - [04/12/2013 13:07:11]

########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [5910 octets] ##########

Gedaan, en de nieuwere versie deed het wel. Heeft ook 3 dingen eruit gegooid. Ga er maar vanuit dat nu alles goed is, bedankt voor de hulp


Operating System : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Started in : Normal mode
User : <user> [Admin rights]
Mode : Scan -- Date : 12/05/2013 09:17:25
| ARK || FAK || MBR |

¤¤¤ Bad processes : 0 ¤¤¤

¤¤¤ Registry Entries : 4 ¤¤¤
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[SCREENSVR][SUSP PATH] HKCU\[...]\Desktop : SCRNSAVE.EXE (C:\Windows\CSY_scre.scr [-]) -> FOUND

¤¤¤ Scheduled tasks : 0 ¤¤¤

¤¤¤ Startup Entries : 0 ¤¤¤

¤¤¤ Web browsers : 0 ¤¤¤

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver : [NOT LOADED 0x0] ¤¤¤

¤¤¤ External Hives: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts

[ Voor 81% gewijzigd door Verwijderd op 05-12-2013 09:34 ]