Stukje titelbalk in beeld :? Is dit spyware? - Privacy en beveiliging

vrijdag 23 april 2004 00:34

Acties:

06-CENSORED

Topicstarter

Goedenavond mede-twiekers

ik heb sinds een dag of 2(?) dit aparte verschijnsel:
Spyware? Virus? Bug?

Ik vraag me toch echt af wat dit nou weer is....

Iemand enig idee? Ik heb het in ieder geval nog nooit eerder gezien...

Btw, sorry voor grote pic, maar anders leek het me niet duidelijk genoeg...

[edit]Ik kan het trouwens ook verslepen, rechtermuisknop haalt niks uit...

[ Voor 24% gewijzigd door AzzKickah op 09-09-2004 09:05 ]

vrijdag 23 april 2004 00:39

Acties:

Chillz

als het 'zomaar' uit het niets verschenen is,
dan moet het duidelijk iets spy-ware-achtigs zijn natuurlijk...

heb je de gebruikelijke spyware-zoekers al gedraaid?
wat waren daar de uitkomsten van?

Leeg - Sinds 20180907

vrijdag 23 april 2004 09:02

Acties:

pasta

Ondertitel

Als je erop klikt en dan ALT-F4 kiest zal het wel gesloten worden waarschijnlijk, verder ook wat Chillz zei, zie hiervoor ook Beveiliging en Virussen - Nieuw topic starten - Stappenplan. Kan je hem ook met Alt-Tab selecteren? Zo ja, wat geeft ie dan voor titel?

Signature

vrijdag 23 april 2004 11:44

Acties:

OnTracK

Draai je Ultramon, of heb je twee dagen geleden een of ander programma geinstalleerd? Het is een probleem met nvidia drivers uit een bepaalde serie icm Ultramon en sommige andere programma's (tenminste, in mijn geval)

In de nieuwere driver van nvidia is het als het goed is verholpen, zie ook dit topic op het ultramon forum http://www.realtimesoft.c...pic=3357&tmpl=UltraMonDev (Ik heb daar ook gereageerd)

Maar het kan natuurlijk ook een compleet ander iets zijn

EDIT:
het zijn dus hidden windows die door de bug in de driver tevoorschijn komen. programma's als Ultramon gebruiken hidden windows en omdat ze "te snel" opstarten komen ze tevoorschijn.

[ Voor 19% gewijzigd door OnTracK op 23-04-2004 12:14 ]

Not everybody wins, and certainly not everybody wins all the time.
But once you get into your boat, push off and tie into your shoes.
Then you have indeed won far more than those who have never tried.

vrijdag 23 april 2004 11:46

Acties:

-Mous-

En als je die spyware zoekers dan hebt uitgevoerd, installeer dan meteen die windows updates.

vrijdag 23 april 2004 11:49

Acties:

0xDEADBEEF

Kijk es met ProcExp of Dependency Walker wat het zou kunnen zijn; en in je register wat er zoal meestart

code:

1	HKLM\Software\Microsoft\CurrentVersion\Run

_{/edit ervanuitgaande dat het geen spyware is, wat natuurlijk best zou kunnen}

[ Voor 14% gewijzigd door 0xDEADBEEF op 23-04-2004 11:51 ]

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

vrijdag 23 april 2004 17:43

Acties:

Nowhereman

Ygenweis

Autoruns.exe van sysinternals, prima proggie om alles wat opstart in 1 scherm te zien.

http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml

-Pwn the day-

donderdag 9 september 2004 00:16

Acties:

AzzKickah

06-CENSORED

Topicstarter

Goedenavond,

ik kick dit topic omdat ik het probleem al die tijd nog steeds heb gehad.
Ik heb in de tussentijd Ad-Aware en Spybot gedraaid, een virus-scanner (AVG Anti-Virus, laatste update vandaag) geïnstalleerd, en Autoruns gedraaid. Van dat laatste hier een screenshot.

Verder moet ik er nog bij zeggen dat als ik alleen al op ALT druk, het balkje verdwijnt. Ik weet niet of het dan ook afsluit.

Screenshot van Task Manager, Processes.

Ik heb gezien dat het plaatje in de startpost het niet meer doet. Je zult alleen altijd zien dat net nu dat ding dus niet in beeld is. Ik kan dus nog niet een nieuwe screenshot maken.
Het is dus echt gewoon een stukje titelbak, wel met dat '3d-randje' er omheen, +/- zo lang dat er net een pictogram inpast met bijv. 'GoT - Stukje ti'. Er staat alleen geen tekst in en de rechtermuisknop doet niks. En zoals eerder gezegd, met een druk op de ALT-knop verdwijnt t.

Specs:

AMD Athlon XP 1800+ @ 1550Mhz
Asus A7V266-E
512MB SDRAM 1x 256PC2100, 1x 256 PC3200
Windows XP met SP2
nVidia GeForce4 Ti4200 (Detonator 61.77) met twee monitoren eraan

Ik had het dus hiervoor ook al. Ik had eerder altijd 256MB ram, 1 monitor en een GeForce4 MX440-SE met oudere detonators, of course...

Ik afwachting...

[ Voor 15% gewijzigd door AzzKickah op 09-09-2004 00:19 ]

donderdag 9 september 2004 09:20

Acties:

Cool_Willy

Zou je de vragen van OnTrack nog even willen beantwoorden?
Als het daar namelijk niet aan ligt, kun je HijackThis nog even proberen en kijken of daar nog iets raars in staat. Mocht je iets raars vinden maar het eerst aan anderen willen laten zien voordat je het weghaalt, dan kun je je HT-log hier neergooien.

donderdag 9 september 2004 10:12

Acties:

FlipFluitketel

Frontpage Admin

Zoals Cool_Willy zegt, scan eens met HijackThis. Mocht je het te riskant vinden om dingen te gaan verwijderen, post je log dan hier maar geef duidelijk aan waarvan je zelf denkt dat het rommel is/kan zijn. Dus niet gewoon ff HijackThis laten draaien en je logfile hier neergooien.

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

donderdag 9 september 2004 10:39

Acties:

elevator

Officieel moto fan :)

Als dat niet helpt - kijk eens met Sysinternals' process explorer naar de executable die de eigenaar is van dat schermpje

donderdag 9 september 2004 11:17

Acties:

OnTracK

Cool_Willy schreef op 09 september 2004 @ 09:20:
Zou je de vragen van OnTrack nog even willen beantwoorden?
Als het daar namelijk niet aan ligt, kun je HijackThis nog even proberen en kijken of daar nog iets raars in staat. Mocht je iets raars vinden maar het eerst aan anderen willen laten zien voordat je het weghaalt, dan kun je je HT-log hier neergooien.

Om daar even op terug te komen, Ultramon heeft tegenwoordig de functie om later op te starten dan de nview drivers. Moet je bij Start -> programs -> startup iets veranderen in de snelkoppeling. (staat in de help of op www.realtimesoft.com wat precies, iets van delay=10 ofzo, ik kan nu niet kijken want ik zit op school)

alleen zie ik geen ultramon bij processen draaien (heb je die toevalig nu uitgezet o.i.d)

andere processen kunnen dit natuurlijk ook oplossen, dus je kan een voor een je processen disablen bij het opstarten om te kijken welke het veroorzaakt.

Andere oplossing (beetje noodoplossing) is de nview desktop manager disablen. Verder had ik best vervelende problemen met dual monitor en de nieuwe forceware drivers en ben ik teruggegaan naar Forceware 53.03 WHQL. (maar dat zal je probleem niet oplossen)

[ Voor 9% gewijzigd door OnTracK op 09-09-2004 11:21 ]

Not everybody wins, and certainly not everybody wins all the time.
But once you get into your boat, push off and tie into your shoes.
Then you have indeed won far more than those who have never tried.

donderdag 9 september 2004 14:16

Acties:

AzzKickah

06-CENSORED

Topicstarter

Ik heb Ultramon NIET geinstalleerd, ook nooit gehad.
Ik had dit probleem ook al VOORdat ik twee monitoren aan had gesloten.

HiJackThis.log

Logfile of HijackThis v1.98.2
Scan saved at 14:12:44, on 9-9-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WIN2000\System32\smss.exe
C:\WIN2000\system32\winlogon.exe
C:\WIN2000\system32\services.exe
C:\WIN2000\system32\lsass.exe
C:\WIN2000\system32\svchost.exe
C:\WIN2000\System32\svchost.exe
C:\WIN2000\system32\LEXBCES.EXE PRINTER
C:\WIN2000\system32\LEXPPS.EXE PRINTER
C:\WIN2000\system32\spoolsv.exe
D:\AVG6\avgserv.exe Anti-Virus
C:\WIN2000\System32\nvsvc32.exe
D:\Serv-U\ServUDaemon.exe
C:\WIN2000\System32\tcpsvcs.exe
C:\WIN2000\System32\svchost.exe
C:\WIN2000\Explorer.EXE
C:\WIN2000\system32\wscntfy.exe Geen idee?
C:\WIN2000\System32\svchost.exe
C:\WIN2000\Mixer.exe Sound-driver
D:\Alcatel\SpeedTouch USB\Dragdiag.exe
D:\DU Meter\DUMeter.exe
C:\WIN2000\System32\ctfmon.exe
D:\Miranda IM\miranda32.exe Messenger client
D:\CommunityTSC\TSC\D2OL.exe
D:\Serv-U\ServUTray.exe
D:\AVG6\avgcc32.exe
D:\CommunityTSC\TSC\res\data\bin\DockWin.exe
D:\FireFOX\firefox.exe
E:\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - D:\Pop-Up Stopper Pro\CCHelper.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [EM_EXEC] D:\LOGITE~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WIN2000\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WIN2000\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG_CC] D:\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [DU Meter] D:\DU Meter\DUMeter.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WIN2000\system32\ctfmon.exe
O4 - HKCU\..\Run: [ServUTrayIcon] D:\Serv-U\ServUTray.exe
O4 - Startup: Alcatel Speedtouch Connection.lnk = D:\Alcatel\SpeedTouch USB\stdialup.exe
O4 - Startup: Miranda IM.lnk = D:\Miranda IM\miranda32.exe
O4 - Startup: TSC.lnk = D:\CommunityTSC\TSC\D2OL.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://J:\content\include\XPPatchInstaller.CAB
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.m...eb_site.cab?1094561010542
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://J:\Content\include\msSecUcd.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.../MessengerStatsClient.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.co...an/2,0,0,4384/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{34E51C01-7A88-4BE6-8DB9-BCC80B31CE23}: NameServer = 195.241.48.33 195.241.49.33

Ik heb bij een paar dingen erbij gezet waar het van is (PRINTER, Anti-Virus, etc.). Ik zie zelf geen dingen waarvan ik denk "wat is dat nou weer?". Alleen dat WSCNTFY.EXE weet ik niet waar dat van is.
[EDIT]Even gekeken, dit zijn de properties.

Iemand die hier nog wat mee kan? Alvast bedankt maar weer!

elevator schreef op 09 september 2004 @ 10:39:
Als dat niet helpt - kijk eens met Sysinternals' process explorer naar de executable die de eigenaar is van dat schermpje

Ehm... wat?

Ik ken Sysinternals process explorer niet?

[ Voor 7% gewijzigd door AzzKickah op 09-09-2004 14:22 ]

donderdag 9 september 2004 15:01

Acties:

ParaNoiMia

Die wscntfy.exe door Google gehaald en gaf oa deze pagina:

http://www.iamnotageek.com/a/204-p1.php

donderdag 9 september 2004 15:02

Acties:

AzzKickah

06-CENSORED

Topicstarter

ParaNoiMia schreef op 09 september 2004 @ 15:01:
Die wscntfy.exe door Google gehaald en gaf oa deze pagina:

http://www.iamnotageek.com/a/204-p1.php

OK, bedankt

, maar wat moet ik ermee? Ik had het probleem ook al voor SP2...

donderdag 9 september 2004 16:59

Acties:

FlipFluitketel

Frontpage Admin

HijackThis-log ziet er verder goed uit.
Welke versie van ad-aware heb je gebruikt? 6.x of de nieuwe SE-versie? Als je de 6.x versie gebruikt hebt, download dan even de nieuwste versie en update deze.
Download, installeer en update ook nog eens spysweeper en laat die dan ook eens scannen.

Die wscntfy.exe is dus gewoon een nieuw proces (van security center) dat draait na installatie van SP2. Is verder niks om je zorgen over te maken.

[ Voor 21% gewijzigd door FlipFluitketel op 09-09-2004 17:01 ]

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

vrijdag 10 september 2004 00:51

Acties:

AzzKickah

06-CENSORED

Topicstarter

FlipFluitketel schreef op 09 september 2004 @ 16:59:
HijackThis-log ziet er verder goed uit.
Welke versie van ad-aware heb je gebruikt? 6.x of de nieuwe SE-versie? Als je de 6.x versie gebruikt hebt, download dan even de nieuwste versie en update deze.
Download, installeer en update ook nog eens spysweeper en laat die dan ook eens scannen.

Die wscntfy.exe is dus gewoon een nieuw proces (van security center) dat draait na installatie van SP2. Is verder niks om je zorgen over te maken.

Ik heb Ad Aware SE geïnstalleerd en een full scan gedaan. Resultaat:

Scanning results - Summary
Status na scan

Iemand die nu wat herkent? Ik heb dus alles eraf gegooid wat-ie heeft gevonden. Nu afwachten of ik het balkje weerzie? Heb zo'n vermoeden dat dat niet erg lang zal duren maar goed.

Verder heb ik Spy-bot nog gedraaid. Waren geen updates voor available.

Uitslag Spy-Bot S&D

Registry change in Windows MediaPlayer. Jah, heb net SP2 geinstalleerd en toen ik daarna WMP opstartte kreeg ik eerst de wizard voor of je WMP standaard wilt maken, en aan welke extensies ie gekoppeld moet zijn

Vond ik al vreemd. Maar dit laat ik dus wel staan. Of niet?

Nou, ik hoop maar weer dat iemand me naar aanleiding van dit nog weer verder kan helpen...

$_/-\o_$

vrijdag 10 september 2004 09:11

Acties:

AzzKickah

06-CENSORED

Topicstarter

Heb ook nog even zo'n Smart Scan gedaan in Ad-Aware SE, dit is de uitslag.

Dit zijn allemaal dingen die geen kwaad kunnen lijkt me....

vrijdag 10 september 2004 19:29

Acties:

AzzKickah

06-CENSORED

Topicstarter

Is er dan niemand die nog enig idee heeft?

Dit moet toch op te lossen zijn?

Wat misschien ook nog handig is om te vermelden: Als ik mijn PC op slot zet via CTRL-ALT-DEL + ENTER en het balkje verschijnt, verdwijnt het inlog-scherm. Balkje weg met ALT --> inlog scherm verschijnt weer...

zaterdag 11 september 2004 17:13

Acties:

AzzKickah

06-CENSORED

Topicstarter

absoluut niet cool, dit.

zaterdag 11 september 2004 17:20

Acties:

Alfa Novanta

VRRROOOAAARRRP

'k Zou eens kijken wat er gebeurt als je keihard ALLE services gaat lopen afsluiten met je Taskmanager .. dus ZOVEEL MOGELIJK afsluiten! En na ieder dingetje kijken of het wat uitmaakt.

Verder kun je iig met diezelfde Taskmanager ook explorer.exe een keer afsluiten en met Bestand >> Nieuwe Taak (uitvoeren...) hem opnieuw opstarten. Kijken wat dat doet ..

Je kunt met Start >> Uitvoeren.. >> msconfig kijken welke onzinnige dingen tijdens het booten geladen worden en deze zoveel mogelijk uitvinken (misschien wel ff opschrijven welke je uitvinkt!)

Kun je eerst wel weer ff vooruit denkik ..

Suc6

[ Voor 10% gewijzigd door Alfa Novanta op 11-09-2004 17:22 ]