Behoorlijk irritante startpage - Privacy en beveiliging

woensdag 30 juni 2004 02:15

Acties:

Uw advertensie hier? Mail mij!

Topicstarter

mijn probleem is het volgende: er start zich steeds een start page die verwijst naar C:\WINDOWS\SYSTEM32\IEsp.mht. volgens google: http://www.google.nl/sear...nl&btnG=Google+zoeken&lr=

hebben al meer mensen dit probleem. in die google topics vind ik dan steeds het advies om het programma'tje met hijack this weg te halen, dat lukt ook, maar zodra je je browsers voor de 2e keer opent start hij zich weer dus er moet ook een registerie value bij zitten. om het ff makkelijk te maken heb ik alles wat ik zeker wist wat goed was weg gelaten het gaat me dus alleen om wat ik van hetvolgende weg kan gooien en wat niet:

code:

Logfile of HijackThis v1.97.7
Scan saved at 2:10:02, on 30-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\System32\CTHELPER.EXE

C:\WINDOWS\System32\DSentry.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
C:\WINDOWS\System32\ctfmon.exe


O2 - BHO: (no name) - {0B519E07-7824-4adc-8890-93D5EABBF285} - C:\WINDOWS\System32\msadocm32.dll
O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: (no name) - {F11BAED7-8CDE-4574-A02A-375BCC34F8E9} - C:\WINDOWS\1088465121.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL

O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {E15111B0-95AE-4C05-B91F-F4564057990C} (MovieSystem WAY) - http://servicesv4.moviesystem.com/cabs/msway.cab

woensdag 30 juni 2004 09:00

Acties:

Verwijderd

haal:

code:

1 2	O2 - BHO: (no name) - {0B519E07-7824-4adc-8890-93D5EABBF285} - C:\WINDOWS\System32\msadocm32.dll O2 - BHO: (no name) - {F11BAED7-8CDE-4574-A02A-375BCC34F8E9} - C:\WINDOWS\1088465121.dll

even door de http://virusscan.jotti.dhs.org en verwijder deze entry's als het malware is.

verder zou ik:

code:

1
2

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {E15111B0-95AE-4C05-B91F-F4564057990C} (MovieSystem WAY) - http://servicesv4.moviesystem.com/cabs/msway.cab

als je het echt nodig hebt download je dat gewoon opnieuw.

woensdag 30 juni 2004 09:05

Acties:

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

code:

1	O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

Die moet eruit: [rml]elevator in "[ xp]System 32 map open bij startup"[/rml]

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

woensdag 30 juni 2004 10:36

Acties:

JoRuZ

Uw advertensie hier? Mail mij!

Topicstarter

ok alles verwijderd, maar ik heb er nog steeds last van.

Logfile of HijackThis v1.97.7
Scan saved at 10:34:17, on 30-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\ggviewer67-34.exe
C:\WINDOWS\BCMSMMSG.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Dell\Media Experience\PCMService.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\DSentry.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\ALCATech\BPM-Studio Profi\BPM.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\joriz\Bureaublad\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.euro.dell.com/
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0B519E07-7824-4adc-8890-93D5EABBF285} - C:\WINDOWS\System32\msadocm32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [mmtask] C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: TREND MICRO HouseCall (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Run DAP (HKLM)
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedi...wave/cabs/director/sw.cab
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft...sSecAdv.cab?1081932032046
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - https://telewerkportaal.r...CAWEB/en/ica32/wficat.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.../MineSweeper.cab28578.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn...rStatsClient.cab28578.cab
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab
O16 - DPF: {E302F157-A890-4B6F-A421-839D25055D6D} (NLSysInfo Control) - https://www.novaworld.com/NWCommunities/beta/NLSysInfo.ocx

dat is mijn hijack log als ik alles schoon heb. nu is mijn start page about:blank.
maar als ik nu mijn IE open dan gaat hij weer naar C:\WINDOWS\SYSTEM32\IEsp.mht. als ik nu weer scan met hijack this staat die key er ook weer

hoe kan dit?????

deze key bedoel ik: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\System32\IEsp.mht

woensdag 30 juni 2004 10:42

Acties:

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

• Zet compleet Internet Explorer uit dmv. control alt delete
• Draai eens een virusscan.. Kan een trojan zijn die het telkens veranderd.
• Draai een een spyware scanner -> Ad-aware / Spybot S&D / Spy Sweeper / PestPatrol
• Draai ook eens CWShredder

[ Voor 22% gewijzigd door Outerspace op 30-06-2004 10:45 ]

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

woensdag 30 juni 2004 10:45

Acties:

Miki

Nog maals ik wil geen kloothommel zijn maar zou je zelf ook niet even op onderzoek uit gaan? Ik heb tijdens het scrollen al iets gevonden wat niet 100% zuiver kan zijn: ggviewer67-34.exe in iedergeval google zelf heeft er geen info voor.
Neem alle regels stap voor stap door, zoek ze op google en laat ze scannen bij jotti.

[ Voor 22% gewijzigd door Miki op 30-06-2004 10:50 ]

woensdag 30 juni 2004 10:50

Acties:

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Miki schreef op 30 juni 2004 @ 10:45:
Nog maals ik wil geen kloothommel zijn maar zou je zelf ook niet even op onderzoek uit gaan? Ik heb tijdens het scrollen al iets gevonden wat 100% niet in windows map thuis hoort: x
Neem alle regels stap voor stap door, zoek ze op google en laat ze scannen bij jotti.

TS heb je toevallig een inbel modem ? zoiets als een 56k oid.
want dan is die bcmsmmsg.exe een modem driver.

bcmsmmsg - bcmsmmsg.exe - Process Information
Process File: bcmsmmsg or bcmsmmsg.exe
Process Name: BCMSMMSG
Description: Background task used as a BCM voice modem driver and required for dial-up modems.
Company: Broadcom Corporation.
System Process: No
Security Risk ( Virus/Trojan/Worm/Adware/Spyware ): No
Common Errors: N/A

http://www.liutilities.co.../processlibrary/bcmsmmsg/

[ Voor 18% gewijzigd door Outerspace op 30-06-2004 10:52 ]

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

woensdag 30 juni 2004 10:51

Acties:

Miki

outerspace schreef op 30 juni 2004 @ 10:50:
[...]

verhaal

Al aangepast, had de verkeerde genomen.... je lap tekst mag weg

Het ging dus om: ggviewer67-34.exe

[ Voor 11% gewijzigd door Miki op 30-06-2004 10:53 ]

woensdag 30 juni 2004 10:52

Acties:

JoRuZ

Uw advertensie hier? Mail mij!

Topicstarter

ben ik zelf al op onderzoek uit gegaan? nee tuurlijk niet

heb het antwoord trouwens hier gevonden: knip

een shit load moest ik verwijderen in register, was echt een lastige. toch bedankt

[ Voor 16% gewijzigd door elevator op 30-06-2004 12:22 ]

woensdag 30 juni 2004 11:00

Acties:

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Ik zou op passen met download accelerator.. wil nog wel eens spyware meenemen!

code:

1	O2 - BHO: (no name) - {0B519E07-7824-4adc-8890-93D5EABBF285} - C:\WINDOWS\System32\msadocm32.dll

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

woensdag 30 juni 2004 11:01

Acties:

Verwijderd

JoRuZ schreef op 30 juni 2004 @ 10:52:
ben ik zelf al op onderzoek uit gegaan? nee tuurlijk niet

heb het antwoord trouwens hier gevonden: -

een shit load moest ik verwijderen in register, was echt een lastige. toch bedankt

handig zo'n site

.
ik hoop dat je ook beseft dat je de meeste spyware binnenhaalt dmv zulke sites?

[ Voor 7% gewijzigd door elevator op 30-06-2004 12:22 ]

woensdag 30 juni 2004 11:15

Acties:

JoRuZ

Uw advertensie hier? Mail mij!

Topicstarter

Verwijderd schreef op 30 juni 2004 @ 11:01:
[...]

handig zo'n site .
ik hoop dat je ook beseft dat je de meeste spyware binnenhaalt dmv zulke sites?

had eerlijk gezegt niet eens gekeken naar de rest van de site.....
wel een beetje vaag ja, zo'n bugtrack site die zelf vol zit met warez links....

maarja de oplossing werkt.

woensdag 30 juni 2004 11:16

Acties:

JoRuZ

Uw advertensie hier? Mail mij!

Topicstarter

outerspace schreef op 30 juni 2004 @ 11:00:
Ik zou op passen met download accelerator.. wil nog wel eens spyware meenemen!
code:
1
O2 - BHO: (no name) - {0B519E07-7824-4adc-8890-93D5EABBF285} - C:\WINDOWS\System32\msadocm32.dll

ja dat weet ik, maar ik heb geen zin om van DAP de permium versie te kopen en ben erg tevreden over deze versie, die spyware laat ik dan maar ff.

woensdag 30 juni 2004 12:23

Acties:

elevator

Officieel moto fan :)

Ik heb even de verwijzing naar de warezpagina weggehaald - probeer hier aub wel mee op te passen door dit soort zaken te posten op GoT

Pagina: 1

Reageer