[XP] Onmogelijk om ook maar iets te openen in win xp* - Privacy en beveiliging

zondag 14 maart 2004 19:04

Acties:

Verwijderd

Topicstarter

Goeienavond

Nadat ik een progje had geinstalleerd namelijk dap,(download accelerator) moest ik men pc opnieuw opstarten.
Toen begon het niks, wilde meer autom. opstarten omdat ze een progje misten om het te openen er zou namelijk een fout in men mapopties staan alleen ik zou niet weten wat. Al men exe files zien de extensie of het progje om te openen niet meer. Kan ze natuurlijh allemaal wel opzoeken maar bij elke nieuwe start zet ie ze weer terug, dus begint het weer opnieuw.
Dacht ik dus ga dan xp maar weer installeren maar ik krijg bij elke installatie de foutmelding met een blauw scherm.

Ik weet het niet meer hopelijk jullie wel.

alvast bedankt

zondag 14 maart 2004 19:10

Acties:

elevator

Officieel moto fan :)

-Vision, dit is een beetje een vaag onsamenhangend verhaal

Je 1e beschreven probleem lijkt nogal veel op een virus - je 2e beschreven probleem kunnen we niets mee want je vertelt niet welk blauw scherm

zondag 14 maart 2004 19:13

Acties:

Verwijderd

Topicstarter

hoe kon ik nou een virus krijgen terwijl een een up to date norton antivirus heb draaien?

zondag 14 maart 2004 19:28

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 14 maart 2004 @ 19:13:
hoe kon ik nou een virus krijgen terwijl een een up to date norton antivirus heb draaien?

En daar komt bij dat ik dap al op men pc had staan en al eerder had geinstalleerd zonder problemen

Maar kan ik dan geen nieuwe extensie aanmaken voor alle progjes in 1 keer want het lijkt alsof ze allemaal rundll.exe missen maar als ik die opzoek en open dat doet ie niks.

ho foutje met quoten!!!!!

[ Voor 4% gewijzigd door Verwijderd op 14-03-2004 19:28 ]

zondag 14 maart 2004 19:30

Acties:

Mike Jarod

Geen enkele virusscanner is onfeilbaar

NAV laat wel eens een steekje vallen.

Je verhaal is echt ontzettend onduidelijk, bedoel je nou dat elk programma dat je opent, niet geopend kan worden omdat [vulnaamin].exe niet gevonden kan worden? Zo ja dan zou dat idd door een virus kunnen komen.

edit: rundll.exe zeg je? Zie hier: http://www.liutilities.co...ro/processlibrary/rundll/

Description: Added to the system as a result of the LOXOSCAM virus that is a backdoor Trojan that allows a hacker to gain access to the computer. The application is written in the Delphi programming language.

Voor details hoe te verwijderen, zie hier: http://www.symantec.com/a...ta/backdoor.loxoscam.html

[ Voor 45% gewijzigd door Mike Jarod op 14-03-2004 19:33 ]

zondag 14 maart 2004 19:35

Acties:

Verwijderd

Topicstarter

Als je wat dan ook wil openen zelfs systeemopties dan vraagt ie om een extensie.

zondag 14 maart 2004 19:38

Acties:

Verwijderd

Topicstarter

Mike Jarod schreef op 14 maart 2004 @ 19:30:
Geen enkele virusscanner is onfeilbaar NAV laat wel eens een steekje vallen.

Je verhaal is echt ontzettend onduidelijk, bedoel je nou dat elk programma dat je opent, niet geopend kan worden omdat [vulnaamin].exe niet gevonden kan worden? Zo ja dan zou dat idd door een virus kunnen komen.

edit: rundll.exe zeg je? Zie hier: http://www.liutilities.co...ro/processlibrary/rundll/

[...]

Voor details hoe te verwijderen, zie hier: http://www.symantec.com/a...ta/backdoor.loxoscam.html

Ja dan komt het leuke norton heeft hetzelfde probleem wil dus niet meer opstarten zonder extensie

zondag 14 maart 2004 19:39

Acties:

Mike Jarod

Programma's die je wilt starten kan je renamen naar .com, dan werken ze als het goed is wel. Je exe of exefile registerinstelling is nu f*cked up, zal even info voor je zoeken.

edit: kopier/plak onderstaand in kladblok, en sla op als .reg -> uitvoeren. Notepad.exe zal niet starten dus zal je moeten renamen naar notepad.com, als je windowstoets+E doet zou je gewoon een verkenner moeten krijgen en dan kan je dat bestand wel renamen.

code:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
@="\"%1\" %*"

Ik heb hier ook wel eens een fix voorbij zien komen (Schouw?) maar die vind ik zo snel niet.

[ Voor 67% gewijzigd door Mike Jarod op 14-03-2004 19:46 ]

zondag 14 maart 2004 19:47

Acties:

Verwijderd

Mike Jarod schreef op 14 maart 2004 @ 19:30:
Geen enkele virusscanner is onfeilbaar NAV laat wel eens een steekje vallen.

heel vaak zelfs

rundll.exe hoeft niet altijd een virus te zijn maar toch beter ff extra scannen denk ik..

http://virusscan.nl.nu/

zondag 14 maart 2004 19:59

Acties:

Verwijderd

Topicstarter

Mike Jarod schreef op 14 maart 2004 @ 19:39:
Programma's die je wilt starten kan je renamen naar .com, dan werken ze als het goed is wel. Je exe of exefile registerinstelling is nu f*cked up, zal even info voor je zoeken.

edit: kopier/plak onderstaand in kladblok, en sla op als .reg -> uitvoeren. Notepad.exe zal niet starten dus zal je moeten renamen naar notepad.com, als je windowstoets+E doet zou je gewoon een verkenner moeten krijgen en dan kan je dat bestand wel renamen.
code:
1
2
3
4
5
6
7
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
@="\"%1\" %*"
Ik heb hier ook wel eens een fix voorbij zien komen (Schouw?) maar die vind ik zo snel niet.

ja maar hij wil em, niet in het register zetten

het opgegeven bestand is geen registerbestand

zondag 14 maart 2004 20:00

Acties:

Mike Jarod

Die regelnummers moeten er niet bij he

Voor de rest alles.

zondag 14 maart 2004 20:01

Acties:

Verwijderd

Probeer deze file eens aan de gang te krijgen:
ftp://ftp.avp.ru/utils/clrav.com

zondag 14 maart 2004 20:03

Acties:

Nulnulnix

BOFH

Dan pas je het register toch even handmatig aan??? Een beetje eigeninitiatief mag ook wel...

We have just one world, but we live in different ones...

zondag 14 maart 2004 20:03

Acties:

elevator

Officieel moto fan :)

Windows Operated Systems >> Beveiliging & Virussen

zondag 14 maart 2004 20:05

Acties:

Verwijderd

Topicstarter

Nulnulnix schreef op 14 maart 2004 @ 20:03:
Dan pas je het register toch even handmatig aan??? Een beetje eigeninitiatief mag ook wel...

niet als ik em niet kan openen zonder extensie

zondag 14 maart 2004 20:06

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 14 maart 2004 @ 20:01:
Probeer deze file eens aan de gang te krijgen:
ftp://ftp.avp.ru/utils/clrav.com

geen virussen gevonden. in ieder geval bedankt

zondag 14 maart 2004 20:07

Acties:

Verwijderd

Nulnulnix schreef op 14 maart 2004 @ 20:03:
Dan pas je het register toch even handmatig aan??? Een beetje eigeninitiatief mag ook wel...

Ik heb dit probleem eerder gehad.. je kan regedit.EXE niet starten want .exe bestanden kunnen niet meer gestart worden..
Ik heb destijds een komplete herinstallatie uitgevoerd..

Suc6

zondag 14 maart 2004 20:07

Acties:

Nulnulnix

BOFH

Verwijderd schreef op 14 maart 2004 @ 20:05:
[...]
niet als ik em niet kan openen zonder extensie

Hernoem de regedit.exe naar regedit.com. Start het daarna op, browse naar de keys en pas aan waar nodig.

We have just one world, but we live in different ones...

zondag 14 maart 2004 20:07

Acties:

Verwijderd

Verwijderd schreef op 14 maart 2004 @ 20:06:
[...]

geen virussen gevonden. in ieder geval bedankt

Kun je nu wel wat openen?
Het gaat erom dat de 'extensie handling' restored wordt.

Heb je toevallig nog de malware die dit heeft veroorzaakt?

zondag 14 maart 2004 20:09

Acties:

Verwijderd

Nulnulnix schreef op 14 maart 2004 @ 20:07:
[...]
Hernoem de regedit.exe naar regedit.com. Start het daarna op, browse naar de keys en pas aan waar nodig.

ik hoop dat dat gaat lukken.. bij mij was ook de .com extentie uit de registry verdwenen..

zondag 14 maart 2004 20:13

Acties:

Verwijderd

Topicstarter

Nulnulnix schreef op 14 maart 2004 @ 20:07:
[...]

Hernoem de regedit.exe naar regedit.com. Start het daarna op, browse naar de keys en pas aan waar nodig.

Sorry geen .com of .exe meer als extensie .

Ik zag net dat je in de mapopties ook dingen kunt veranderen bij bestandstypen alleen is dat een beetje te moeilijk voor mij zo ver gaat mijn kennis niet.

zondag 14 maart 2004 20:13

Acties:

Nulnulnix

BOFH

Verwijderd schreef op 14 maart 2004 @ 20:09:
[...]

ik hoop dat dat gaat lukken.. bij mij was ook de .com extentie uit de registry verdwenen..

Dan heb je heel veel pech gehad

We have just one world, but we live in different ones...

zondag 14 maart 2004 20:15

Acties:

Verwijderd

Verwijderd schreef op 14 maart 2004 @ 20:13:
[...]

Sorry geen .com of .exe meer als extensie .

Ik zag net dat je in de mapopties ook dingen kunt veranderen bij bestandstypen alleen is dat een beetje te moeilijk voor mij zo ver gaat mijn kennis niet.

Hoe heb je die com van mij dan aan de praat gekregen?

Kijk ook nog eens naar mijn vorige post.

zondag 14 maart 2004 20:17

Acties:

Mike Jarod

Verwijderd schreef op 14 maart 2004 @ 20:13:
Sorry geen .com of .exe meer als extensie .

Wat bedoel je hier nu mee

Dat zowel HKCR\exefile als HKCR\com niet meer bestaan in je register? Die registerexport die ik gaf werkt bij mij gewoon goed, dus vertel eens hoe je 'm geimporteerd hebt (welke tekst). De tip van regedit starten zou in dit geval ook gewoon moeten werken als je 'm renamed naar .com. Wacht eens, heb je wel "bekende extensies verbergen" oid uitstaan bij mapopties in de verkenner?

zondag 14 maart 2004 20:25

Acties:

Verwijderd

Topicstarter

mensen ik ga gewoon win xp opnieuw installeren want hier kom niet meer uit. Alleen kreeg ik toen ik dat daarstraks probeerde een foutmelding met heel veel nullen en weet ik het nu echt niet meer.

zondag 14 maart 2004 20:28

Acties:

elevator

Officieel moto fan :)

-Vision,

Als je wilt dat mensen je helpen, moet je echt proberen zo duidelijk mogelijk te communicere in de posts die je maakt.

Je posts bestaan lijken op dit moment veelal op een conversatie in harde wind - we vangen maar restjes op, maar veel informatie ontbreekt een beetje

zondag 14 maart 2004 20:29

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 14 maart 2004 @ 20:25:
mensen ik ga gewoon win xp opnieuw installeren want hier kom niet meer uit. Alleen kreeg ik toen ik dat daarstraks probeerde een foutmelding met heel veel nullen en weet ik het nu echt niet meer.

setup vanaf de cd wil niet opstarten zeker ook omdat de extensies het niet doen?

Ik kan het ook niet anders uitleggen dan zo, mijn kennis is niet zo groot op dit gebied en het spijt me als het niet duidelijk is

[ Voor 15% gewijzigd door Verwijderd op 14-03-2004 20:31 ]

zondag 14 maart 2004 20:35

Acties:

Mike Jarod

Verwijderd schreef op 14 maart 2004 @ 20:29:
Ik kan het ook niet anders uitleggen dan zo, mijn kennis is niet zo groot op dit gebied en het spijt me als het niet duidelijk is

Dat geeft niet, zo zijn we allemaal begonnen. Als je iets niet begrijpt wat we melden zeg dat dan duidelijk.

Ik denk dat je met mijn registerexport een heel eind komt. Als je alle tekst uit die tabel selecteert (zonder de regelnummers 1, 2 etc) en dat plakt in kladblok, dan opslaat als jouwnaam.reg, en dan uitvoert denk ik dat het over is. Wat lukt daar nou niet aan?

zondag 14 maart 2004 20:38

Acties:

Verwijderd

Topicstarter

Mike Jarod schreef op 14 maart 2004 @ 20:35:
[...]
Dat geeft niet, zo zijn we allemaal begonnen. Als je iets niet begrijpt wat we melden zeg dat dan duidelijk.

Ik denk dat je met mijn registerexport een heel eind komt. Als je alle tekst uit die tabel selecteert (zonder de regelnummers 1, 2 etc) en dat plakt in kladblok, dan opslaat als jouwnaam.reg, en dan uitvoert denk ik dat het over is. Wat lukt daar nou niet aan?

Dat heb ik gedaan en dat werkte want het register nam hem op alleen blijft het probleem hetzelfde dus denk ik dat het niet daaraan lag.

zondag 14 maart 2004 20:46

Acties:

Mike Jarod

Lukt het om regedit te starten? Zo niet lukt het om 'm te hernoemen naar regedit.com?

Ga dan eens naar de sleutel HKEY_CLASSES_ROOT\exefile\shell\open\command ?

Zie je daar een waarde (standaard) staan? Heeft die de waarde "%1" %* ?

zondag 14 maart 2004 20:50

Acties:

Verwijderd

Topicstarter

Ik merk ook dat als een bestand wil openen dat de vraag komt dat het opgegeven bestand iets zoekt in het mapbestand.

Deze foutmelding krijg ik.

Er is voor deze bewerking geen programma aan het opgegeven bestand gekoppeld.

Maak een koppeling via het onderdeel mapopties van het configuratiescherm.

zondag 14 maart 2004 20:54

Acties:

Mike Jarod

Dus bij het uitvoeren van .exe files krijg je de melding dat rundll.exe ontbreekt?

En bij het uitvoeren van welk(e) bestand(en) krijg je bovenstaande foutmelding?

zondag 14 maart 2004 20:56

Acties:

Verwijderd

Topicstarter

Mike Jarod schreef op 14 maart 2004 @ 20:54:
Dus bij het uitvoeren van .exe files krijg je de melding dat rundll.exe ontbreekt?

En bij het uitvoeren van welk(e) bestand(en) krijg je bovenstaande foutmelding?

Bijna bij alle programm,s die rundll.exe gebruiken omdat rundll de extensie exe niet meer ziet in mapopties denk ik

zondag 14 maart 2004 21:12

Acties:

Mike Jarod

Verwijderd schreef op 14 maart 2004 @ 20:56:
Bijna bij alle programm,s die rundll.exe gebruiken omdat rundll de extensie exe niet meer ziet in mapopties denk ik

Dat klopt, maar dat wisten we al.

Doe:
- windowstoets + E
- ga naar c:\windows
- zoek het bestand regedit.exe
- als er alleen regedit staat (zonder .exe) moet je eerst de optie "extensies voor bekende bestandstypes verbergen" uitvinken in de verkenner > extra > mapopties.> weergave
- selecteerd deze en hernoem deze (F2 toets) regedit.com
- start regedit

Kijk naar de dingen die ik vroeg in mijn vorige post. Als de waarden afwijken dan moet je deze veranderen in wat ik zei ("%1" %*).

zondag 14 maart 2004 21:30

Acties:

Verwijderd

Topicstarter

Mike Jarod schreef op 14 maart 2004 @ 21:12:
[...]
Dat klopt, maar dat wisten we al.

Doe:
- windowstoets + E
- ga naar c:\windows
- zoek het bestand regedit.exe
- als er alleen regedit staat (zonder .exe) moet je eerst de optie "extensies voor bekende bestandstypes verbergen" uitvinken in de verkenner > extra > mapopties.> weergave
- selecteerd deze en hernoem deze (F2 toets) regedit.com
- start regedit

Kijk naar de dingen die ik vroeg in mijn vorige post. Als de waarden afwijken dan moet je deze veranderen in wat ik zei ("%1" %*).

hij opent helemaal niks en hij is veranderd in regedit.com exact zoals je beschreef

zondag 14 maart 2004 21:32

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 14 maart 2004 @ 21:30:
[...]

hij opent helemaal niks en hij is veranderd in regedit.com exact zoals je beschreef

Maar ik probeerde net xp gewoon opnieuw te installeren maar dan geeft hij deze foutmelding.

xxx stop ox0000007b (0xf898963c,0x0000034,0x00000000,0x00000000)

zondag 14 maart 2004 21:33

Acties:

Verwijderd

Verwijderd schreef op 14 maart 2004 @ 21:30:
[...]

hij opent helemaal niks en hij is veranderd in regedit.com exact zoals je beschreef

Hoe heb je die clrav.com van mij dan aan de gang gekregen?

zondag 14 maart 2004 21:37

Acties:

Mike Jarod

http://members.home.nl/kav/bla.com _{bedankt Schouw voor de link}

Download die, start 'm, druk op scan, druk op save log, en plak de inhoud van dat log hier neer (liefst tussen [code] tags).

edit: owja dit is het programma HijackThis, maar dan hernoemd.

[ Voor 16% gewijzigd door Mike Jarod op 14-03-2004 21:38 ]

zondag 14 maart 2004 21:37

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 14 maart 2004 @ 21:33:
[...]

Hoe heb je die clrav.com van mij dan aan de gang gekregen?

Ja daar gaf hij geen fouten aan en geen andere gekke dingen

zondag 14 maart 2004 21:39

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 14 maart 2004 @ 21:37:
[...]

Ja daar gaf hij geen fouten aan en geen andere gekke dingen

code:

Logfile of HijackThis v1.97.7
Scan saved at 21:38:38, on 14-3-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\javaw.exe
C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\KX67KXEF\bla[1].com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchexe.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchexe.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = searchexe.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchexe.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchexe.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchexe.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchexe.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
O2 - BHO: (no name) - {8A7CBFF9-7040-F016-B173-49E569C331E4} - C:\PROGRA~1\METAAC~1\errornurb.dll
O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem216.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem214.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Part chin - {BD234A8A-0130-DD40-A758-4AD0DBD8B704} - C:\PROGRA~1\METAAC~1\errornurb.dll
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [EnsoniqMixer] C:\WINDOWS\system32\starter.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [msbb] C:\progra~1\ddm\0\msbb.exe
O4 - HKLM\..\Run: [AGNTDKQXE] C:\WINDOWS\AGNTDKQXE.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SysUpd.exe
O4 - HKLM\..\Run: [winactive] C:\Program Files\Window Active\winactive.exe
O4 - HKLM\..\Run: [LOADITCH] C:\PROGRA~1\GPLLIT~1\oozekeepbleh.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: gwum.lnk = C:\Program Files\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DCF0768D-BA7A-101A-B57A-0000C0C3ED5F} - http://203.199.200.61/ads/shareit/da/cab/SysUpd.CAB

Edit: even je log in code tags gemikt. :)

[ Voor 2% gewijzigd door Verwijderd op 14-03-2004 21:45 ]

zondag 14 maart 2004 21:44

Acties:

Mike Jarod

code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchexe.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchexe.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = searchexe.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchexe.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchexe.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchexe.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchexe.com/searchbar.html
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
O2 - BHO: (no name) - {8A7CBFF9-7040-F016-B173-49E569C331E4} - C:\PROGRA~1\METAAC~1\errornurb.dll
O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem216.dll
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem214.dll
O3 - Toolbar: Part chin - {BD234A8A-0130-DD40-A758-4AD0DBD8B704} - C:\PROGRA~1\METAAC~1\errornurb.dll
O4 - HKLM\..\Run: [msbb] C:\progra~1\ddm\0\msbb.exe
O4 - HKLM\..\Run: [AGNTDKQXE] C:\WINDOWS\AGNTDKQXE.exe
O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SysUpd.exe
O4 - HKLM\..\Run: [winactive] C:\Program Files\Window Active\winactive.exe
O4 - HKLM\..\Run: [LOADITCH] C:\PROGRA~1\GPLLIT~1\oozekeepbleh.exe
O16 - DPF: {DCF0768D-BA7A-101A-B57A-0000C0C3ED5F} - http://203.199.200.61/ads/shareit/da/cab/SysUpd.CAB

Deze allemaal aanvinken in HijackThis en op fix drukken. Daarna herstarten, en nog een keer die .reg uitvoeren.

zondag 14 maart 2004 22:01

Acties:

Verwijderd

Topicstarter

Mike Jarod schreef op 14 maart 2004 @ 21:44:

code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchexe.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchexe.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = searchexe.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchexe.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchexe.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchexe.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchexe.com/searchbar.html
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
O2 - BHO: (no name) - {8A7CBFF9-7040-F016-B173-49E569C331E4} - C:\PROGRA~1\METAAC~1\errornurb.dll
O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem216.dll
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem214.dll
O3 - Toolbar: Part chin - {BD234A8A-0130-DD40-A758-4AD0DBD8B704} - C:\PROGRA~1\METAAC~1\errornurb.dll
O4 - HKLM\..\Run: [msbb] C:\progra~1\ddm\0\msbb.exe
O4 - HKLM\..\Run: [AGNTDKQXE] C:\WINDOWS\AGNTDKQXE.exe
O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SysUpd.exe
O4 - HKLM\..\Run: [winactive] C:\Program Files\Window Active\winactive.exe
O4 - HKLM\..\Run: [LOADITCH] C:\PROGRA~1\GPLLIT~1\oozekeepbleh.exe
O16 - DPF: {DCF0768D-BA7A-101A-B57A-0000C0C3ED5F} - http://203.199.200.61/ads/shareit/da/cab/SysUpd.CAB

Deze allemaal aanvinken in HijackThis en op fix drukken. Daarna herstarten, en nog een keer die .reg uitvoeren.

Alles gedaan maar nog steeds hetzelfde probleem.
Ligt het eigelijk wel aan de reg maar niet ergens anders.
Omdat als ik de spellen toewijs aan de exe die ze gebruiken doen de spellen het wel alleen moet ik dat elke keer weer opnieuw doen als de pc opnieuw heb opgestart.

zondag 14 maart 2004 22:04

Acties:

Mike Jarod

Kan je nu wel regedit.com starten om te kijken naar die waarden?

Zijn er na het herstarten in HijackThis nog regels bijgekomen die je in eerste instantie had verwijderd? Het is zowiezo handig eerst alle Internet Explorer schermen te sluiten voordat je fixt ivm de BHO's in de lijst die weggehaald worden.

Kan je nog eens een log maken en hier neerzetten, om uit te sluiten dat ik iets over het hoofd gezien heb, of dat er gewoon iets teruggezet is na de herstart?

zondag 14 maart 2004 22:09

Acties:

Verwijderd

Topicstarter

Mike Jarod schreef op 14 maart 2004 @ 22:04:
Kan je nu wel regedit.com starten om te kijken naar die waarden?

Zijn er na het herstarten in HijackThis nog regels bijgekomen die je in eerste instantie had verwijderd? Het is zowiezo handig eerst alle Internet Explorer schermen te sluiten voordat je fixt ivm de BHO's in de lijst die weggehaald worden.

Kan je nog eens een log maken en hier neerzetten, om uit te sluiten dat ik iets over het hoofd gezien heb, of dat er gewoon iets teruggezet is na de herstart?

Logfile of HijackThis v1.97.7
Scan saved at 22:09:08, on 14-3-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\User\Bureaublad\bla.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [EnsoniqMixer] C:\WINDOWS\system32\starter.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: gwum.lnk = C:\Program Files\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab

zondag 14 maart 2004 22:14

Acties:

Mike Jarod

code:

1 2	R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe

Die kunnen nog weg. Raar want die belt.exe had ik net ook al aangegeven.

Kijk na een herstart of ie er weer tussen staat. Kan je hierna wel regedit starten? Beter nog voer de file uit die Spk0 geeft, dat is nog makkelijker.

[ Voor 18% gewijzigd door Mike Jarod op 14-03-2004 22:19 ]

zondag 14 maart 2004 22:17

Acties:

Verwijderd

ik heb niet zoveel gelezen, alleen de eerste en wat laatste posts, maar probeer deze eens te runnen:

http://home.earthlink.net...ted/4IE_Only/EXEfix08.com

zondag 14 maart 2004 22:19

Acties:

Verwijderd

Ik zou toch eens graag die rundll.exe zien eigenlijk.
Die behoor je op een XP systeem namelijk niet te hebben.
Ik denk dat dat de trojan is die dit op z'n geweten heeft.

Mocht je de file weten te vinden: zie sig voor mail.

zondag 14 maart 2004 22:20

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 14 maart 2004 @ 22:17:
ik heb niet zoveel gelezen, alleen de eerste en wat laatste posts, maar probeer deze eens te runnen:

http://home.earthlink.net...ted/4IE_Only/EXEfix08.com

Man je bent een geschenk uit de hemel alles doet het weer.

helemaal te gek

iedereen bedankt
hoop dit niet nog eens te krijgen wat een ellende

[ Voor 10% gewijzigd door Verwijderd op 14-03-2004 22:23 ]

zondag 14 maart 2004 22:24

Acties:

Mike Jarod

Even voor de search:

standaard instellingen HKEY_CLASSES_ROOT\exefile

code:

REGEDIT4 
  
  
[HKEY_CLASSES_ROOT\.exe] 
@="exefile" 
"Content Type"="application/x-msdownload" 
 
[HKEY_CLASSES_ROOT\exefile] 
"EditFlags"=hex:d8,07,00,00 
@="Application" 
 
[HKEY_CLASSES_ROOT\exefile\DefaultIcon] 
@="%1" 
 
[HKEY_CLASSES_ROOT\exefile\shell] 
@="" 
 
[HKEY_CLASSES_ROOT\exefile\shell\open] 
@="" 
"EditFlags"=hex:00,00,00,00 
 
[HKEY_CLASSES_ROOT\exefile\shell\open\command] 
@="\"%1\" %*" 
 
[HKEY_CLASSES_ROOT\exefile\shellex] 
 
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers] 
 
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{86F19A00-42A0-1069-A2E9-08002B30309D}] 
@="" 
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe] 
"Content Type"="application/x-msdownload" 
@="exefile" 
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile] 
@="Application" 
"EditFlags"=hex:d8,07,00,00 
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\DefaultIcon] 
@="%1" 
  
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell] 
@="" 
  
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open] 
@="" 
"EditFlags"=hex:00,00,00,00 
  
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command] 
@="\"%1\" %*" 
  
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex] 
  
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\PropertySheetHandlers] 
  
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\PropertySheetHandlers\{86F19A00-42A0-1069-A2E9-08002B30309D}

zondag 14 maart 2004 22:26

Acties:

Verwijderd

TS:
Je hebt nu de gevolgen bestreden, ik raad je aan naar de oorzaak te zoeken.
Het is duidelijk dat je virusscanner de trojan niet heeft kunnen vinden, dus ik zou op z'n minst een grondige check van het systeem uitvoeren.

zondag 14 maart 2004 22:29

Acties:

Mike Jarod

Verwijderd schreef op 14 maart 2004 @ 22:20:
iedereen bedankt
hoop dit niet nog eens te krijgen wat een ellende

Even preken

Je had dus last van malware (verzamelnaam voor virussen/spyware/trojans/etc).

Alle regels die je weggehaald hebt met HijackThis waren dat soort dingen. Je had echt veel troep op je pc staan (staat er nu nog maar wordt niet meer gestart).

Tips:
- scan vaker op spyware (met bv Ad-Aware of Spybot Search & Destroy)
- een andere browser zoals Mozilla Firefox zorgt ervoor dat je bijna immuun bent voor dit soort troep.
- druk niet zomaar op "JA" als je een installeer schermpje krijgt bij Internet Explorer.

zondag 14 maart 2004 22:32

Acties:

Verwijderd

Misschien heb je exefix wat vaker nodig...

geen probleem..vond wel leuk om te helpen =p

alleen..heb zelf een probleem...

[rml][ XP & Mandrake 10] Opstartprobleem na installeren Mandrake[/rml]

neem alstublieft even een kijkje...

alvast bedankt...

zondag 14 maart 2004 22:39

Acties:

Verwijderd

Topicstarter

Dank aan iedereen en ik zal eens een kijkje nemen met wat andere progjes om zo alle rotzooi te verwijderen.

Ik kijk wel even naar je probl;eem

zondag 14 maart 2004 23:15

Acties:

Verwijderd

Over die ene .cab file uit je eerste log

This is dropper for TrojanSpy.Win32.Agent.h.
Will be added to the next daily update as TrojanSpy.Win32.Agent.h.

Dus er wordt, of iig werd meegekeken met wat je op je pc deed, waarschijnlijk keylogger.

Dus scan je bak maar eens met een virusscanner die wél goed is met backdoors/trojans.

Pagina: 1

Reageer