Toon posts:

[spyware/popup] Irritante popups

Pagina: 1
Acties:

maandag 12 april 2004 16:28

Acties:
  • jellywoods
  • Registratie: December 2001
  • Laatst online: 07-05-2024

jellywoods

Topicstarter
Poging 2.. sorry van daarnet |:( (hopelijk is t nu goed)

Wat ik tot het slotje gedaan had:

- gezocht naar software in de lijst die me verdacht leek, en uninstalled (1 programma Ink)
- via taskmanager verdachte services uitgeschakeld (hielp niets)
- ad aware gedownload, 46 dingen (!!) die hij tegenkwam laten verwijderen en gereboot
- toen dit ook niet werkte, heb ik mn divxbundle weggedaan (helpt ook niets)
- kan me niet iets te binnen halen dat ik heb geinstalleerd wat dit zou kunnen veroorzaken, ben nl ontzettend voorzicht met die pruttel
- popupkiller van Google werkt ook niet (normaal wel met alles)
- server van de popup = http://www.belgiandip.com

Dingen die ik heb gedaan ná het slotje :) :
- Stappenplan gevolgd, Spybot geinstalleerd, alle programma's laten weghalen en gereboot (werkte niet)
- HiJackThis geopend, en 2 verdachte programma's weg laten halen.. (deze 2 stonden niet in de lijst van Processlibrary)
- Met google gezocht naar de processes die ik niet kende...

Zie hieronder de file (*** is weggehaald)

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113

Logfile of HijackThis v1.97.7
Scan saved at 16:06:57, on 12-4-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\Common Files\TerraTec\Scheduler\TTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Serv-U\ServUTray.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\CoolMon\CoolMon.exe
C:\Program Files\Winamp\winamp.exe
C:\mysql\bin\winmysqladmin.exe
C:\Program Files\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\System32\gearsec.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\le2dispo.exe
C:\mysql\bin\mysqld-nt.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\PROGRA~1\Serv-U\SERVUD~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\Fast.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
D:\Mijn Documenten\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://swing.student.utwente.nl/cgi-bin/index
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\WINDOWS\system\BrowserHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Program Files\Common Files\TerraTec\Scheduler\TTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
***O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe 
***O4 - HKLM\..\Run: [le2dispo] C:\WINDOWS\System32\le2dispo.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ServUTrayIcon] C:\Program Files\Serv-U\ServUTray.exe
O4 - Startup: CoolMon.lnk = C:\Program Files\CoolMon\CoolMon.exe
O4 - Startup: Snelkoppeling naar kabel.lnk = D:\Mijn Documenten\Downloads\Progs\kabel.bat
O4 - Startup: Winamp.lnk = C:\Program Files\Winamp\winamp.exe
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Research (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.bmw.com/generic/nl/nl/products/highlights/5series/sedan/phase_5/vet.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1408.g.akamai.net/7/1408/9955/20031218/akamai.info.apple.com/iTunes4/WW/win/019-0123.20031218.zes4d/iTunesSetup.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/nl/win/QuickTimeFullInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38041.1665856481
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/activedata/SymAData.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - http://www.symantec.com/techsupp/activedata/ActiveData.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{01ADA2E8-F0B5-49D2-B3F9-4567578CCB61}: NameServer = 130.89.1.2,130.89.1.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{01ADA2E8-F0B5-49D2-B3F9-4567578CCB61}: NameServer = 130.89.1.2,130.89.1.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{01ADA2E8-F0B5-49D2-B3F9-4567578CCB61}: NameServer = 130.89.1.2,130.89.1.3
O17 - HKLM\System\CS3\Services\Tcpip\..\{01ADA2E8-F0B5-49D2-B3F9-4567578CCB61}: NameServer = 130.89.1.2,130.89.1.3


Hierna heb ik weer gereboot (uiteraard), maar het probleem is er nog steeds |:(
Oja, dit lijkt me ook wel nuttige informatie: Als ik iexplorer open (net na opstarten) zegtie dat ie offline is, na een herkansing gaat hij wel online..

Kan iemand me aub helpen?

http://www.jellywoods.net

maandag 12 april 2004 16:46

Acties:
  • Werkbouwtuig
  • Registratie: Juli 2003
  • Niet online

Werkbouwtuig

Ik vind de volgende enties iig verdacht:

O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{01ADA2E8-F0B5-49D2-B3F9-4567578CCB61}: NameServer = 130.89.1.2,130.89.1.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{01ADA2E8-F0B5-49D2-B3F9-4567578CCB61}: NameServer = 130.89.1.2,130.89.1.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{01ADA2E8-F0B5-49D2-B3F9-4567578CCB61}: NameServer = 130.89.1.2,130.89.1.3
O17 - HKLM\System\CS3\Services\Tcpip\..\{01ADA2E8-F0B5-49D2-B3F9-4567578CCB61}: NameServer = 130.89.1.2,130.89.1.3

Twaintec.dll staat verder niet zoveel op google, al wordt het op een ander forum wel als spyware aangemerkt. Mischien kan iemand anders dit even bevestigen.

maandag 12 april 2004 16:50

Acties:
  • jellywoods
  • Registratie: December 2001
  • Laatst online: 07-05-2024

jellywoods

Topicstarter
Ja klopt inderdaad over die .dll dat had ik ook gevonden. Oa le2dispo.exe kan alleen geinstalleerd worden als die .dll zich op de hdd bevindt.. maar of hij ook echt de oorzaak is?

http://www.jellywoods.net

maandag 12 april 2004 16:57

Acties:

Verwijderd

Ik heb precies hetzelfde probleem sinds een paar dagen.
De lege popup Ad verwijst in de bron naar een of andere gare site :
===================================================
<script language='JavaScript' type='text/javascript'>
<!--
if (!document.phpAds_used) document.phpAds_used = ',';
document.write ("<" + "script language='JavaScript' type='text/javascript' src='");
document.write ("http://www.undergroundlair.net/adjs.php?n=a5577e47");
document.write ("&what=zone:31");
document.write ("&exclude=" + document.phpAds_used);
if (document.referer)
document.write ("&referer=" + escape(document.referer));
document.write ("'><" + "/script>");
//-->
</script><noscript><a href='http://www.undergroundlair.net/adclick.php?n=a5577e47' target='_blank'>[img]'http://www.undergroundlair.net/adview.php?what=zone:31&amp;n=a5577e47'[/img]</a></noscript>

<html>
<head>
<title>Ad</title>
</head>
<body>
</body>
</html>
<!-- 0021 -->
===================================================

Hoe kom ik er van af?

[ Voor 76% gewijzigd door Verwijderd op 12-04-2004 16:59 ]

maandag 12 april 2004 16:59

Acties:
  • WimB
  • Registratie: Juli 2001
  • Laatst online: 30-03-2024

WimB

Dit zou ik allemaal eens nakijken als ik jou was (wat niet wil zeggen dat ze zeker slecht zijn):
code:
1
2
3
4
5
6
7

O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\WINDOWS\system\BrowserHelper.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

En dit mag zeker weg:
code:
1
2
3
4

O17 - HKLM\System\CCS\Services\Tcpip\..\{01ADA2E8-F0B5-49D2-B3F9-4567578CCB61}: NameServer = 130.89.1.2,130.89.1.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{01ADA2E8-F0B5-49D2-B3F9-4567578CCB61}: NameServer = 130.89.1.2,130.89.1.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{01ADA2E8-F0B5-49D2-B3F9-4567578CCB61}: NameServer = 130.89.1.2,130.89.1.3
O17 - HKLM\System\CS3\Services\Tcpip\..\{01ADA2E8-F0B5-49D2-B3F9-4567578CCB61}: NameServer = 130.89.1.2,130.89.1.3

maandag 12 april 2004 17:07

Acties:

Verwijderd

code:
1
2
3
4

O17 - HKLM\System\CCS\Services\Tcpip\..\{01ADA2E8-F0B5-49D2-B3F9-4567578CCB61}: NameServer = 130.89.1.2,130.89.1.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{01ADA2E8-F0B5-49D2-B3F9-4567578CCB61}: NameServer = 130.89.1.2,130.89.1.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{01ADA2E8-F0B5-49D2-B3F9-4567578CCB61}: NameServer = 130.89.1.2,130.89.1.3
O17 - HKLM\System\CS3\Services\Tcpip\..\{01ADA2E8-F0B5-49D2-B3F9-4567578CCB61}: NameServer = 130.89.1.2,130.89.1.3

Dit is echt wel legit hoor, laat die aub staan.

Ik neem aan dat sql/ftp server bewust draaien?
code:
1

O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll

Die mag weg.
code:
1
2
3

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

Nvidia zut.
code:
1

O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe

Fast user switching gedoe iirc, iig windowsding.
code:
1

O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe

Dat is van de XP powertoys.
code:
1

O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\WINDOWS\system\BrowserHelper.dll

Twijfelachtig..maar zeer waarschijnlijk ook troep.

maandag 12 april 2004 17:22

Acties:
  • jellywoods
  • Registratie: December 2001
  • Laatst online: 07-05-2024

jellywoods

Topicstarter
code:
1
2
3
4

O17 - HKLM\System\CCS\Services\Tcpip\..\{01ADA2E8-F0B5-49D2-B3F9-4567578CCB61}: NameServer = 130.89.1.2,130.89.1.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{01ADA2E8-F0B5-49D2-B3F9-4567578CCB61}: NameServer = 130.89.1.2,130.89.1.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{01ADA2E8-F0B5-49D2-B3F9-4567578CCB61}: NameServer = 130.89.1.2,130.89.1.3
O17 - HKLM\System\CS3\Services\Tcpip\..\{01ADA2E8-F0B5-49D2-B3F9-4567578CCB61}: NameServer = 130.89.1.2,130.89.1.3

Dit is echt wel legit hoor, laat die aub staan.
Haha, thanx, ik had m al weggehaald, toen kwam iexplorer helemaal niet meer online. Die sql/ftp staan inderdaad gewoon online met een reden!

Verder heb ik net twaintec.dll weggehaald, en tot nu toe heb ik nog geen popup gehad.. dus misschien ook tip voor ReinBijlsma??

Alvast bedankt voor de reacties _/-\o_

http://www.jellywoods.net

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq