Toon posts:

[Adware] Leftover traces uit register verwijderen *

Pagina: 1
Acties:
  • 196 views sinds 30-01-2008
  • Reageer

dinsdag 2 november 2004 14:48

Acties:

Verwijderd

Topicstarter
Ik heb dus onlangs spybot gebruikt om zo de nodige zooi van mn comp af te gooien. Nu heeft ie dus wat adware etc verwijderd. Nu zit ik alleen met het probleem dat ws nog een actief programma probeert te verwijzen naar een executable die er niet meer is (heeft spybot verwijderd).

Zie hier:
Afbeeldingslocatie: http://crew.scooter-freaks.nl/doif/misc/irritant.jpg


Ik heb al geprobeerd het een en ander terug te krijgen met Spybot maar zonder succes.

Weet iemand hoe ik erachter kan komen wat deze exe oproept en het zodoende verwijderen?

dinsdag 2 november 2004 14:50

Acties:
  • blizt
  • Registratie: Januari 2003
  • Laatst online: 29-09-2025

blizt

Wannabe-geek

Maak 'n log met hijack this & kijk wat er allemaal opgestart wordt. Dan kan je wel verder denk ik , links & regels etc. m.b.t. Hijack This vind je wel ergens in dit forum.

United we stand, and divided we fall

dinsdag 2 november 2004 15:17

Acties:

Verwijderd

Topicstarter
Ok, scan gedaan:

Afbeeldingslocatie: http://crew.scooter-freaks.nl/doif/misc/irritant2.jpg

Maar ik kom er nou niet uit wat het moet zijn, ik heb er al een paar verwijderd zonder succes :S

dinsdag 2 november 2004 15:25

Acties:

Verwijderd

Dat "save log" knopje zit er niet voor niets, gebruik het eens en kopieer logfile in post.(Tussen [code] tags svp) :)
Neem verder Beveiliging en Virussen - Nieuw topic starten nog eens door.

Titel wat verduidelijkt.

dinsdag 2 november 2004 16:11

Acties:

Verwijderd

Topicstarter
Ok, doorgelezen maar kom er toch niet uit..

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76

Logfile of HijackThis v1.98.2
Scan saved at 16:10:53, on 2-11-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
c:\windows\system32\explorer.exe
c:\windows\explorer.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\Support.com\bin\tgcmd.exe
C:\WINDOWS\System32\PRISMSVR.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Common\Bin\WinCinemaMgr.exe
c:\windows\system32\IEXPLORE.EXE
C:\Program Files\Winamp\winamp.exe
C:\PROGRA~1\DOWNLO~1\DAP.EXE
C:\Program Files\FlashFXP\FlashFXP.exe
C:\Program Files\FlashFXP\FlashFXP.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
c:\windows\rundll32.exe
G:\My Stuff\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.scooter-freaks.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit32.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\WINDOWS\System32\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MMSystem] c:\windows\rundll32.exe "c:\windows\system32\mmsystem.dll"", RunDll32
O4 - HKLM\..\Run: [tgcmd] "C:\PROGRA~1\Support.com\bin\tgcmd.exe" /server /startmonitor /deaf
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MMSystem] c:\windows\rundll32.exe "c:\windows\system32\mmsystem.dll"", RunDll32
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DOWNLO~1\dapextie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab
O16 - DPF: {1D185838-009D-47C8-824B-B65B4854430E} (Installer Class) - http://quickfix2.chello.nl/quickfix2/asp/chelloInstall.CAB
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {C58EFA10-2CC0-4C50-8C77-B326555EC1B7} (clsDefault Class) - http://quickfix2.chello.nl/quickfix2/asp/LaunchApp.CAB

dinsdag 2 november 2004 16:39

Acties:

Verwijderd

Topicstarter
Nu ben ik er dus achter gekomen dat het om deze gaat:

code:
1

O4 - HKLM\..\Run: [MMSystem] c:\windows\rundll32.exe "c:\windows\system32\mmsystem.dll"", RunDll32



Ik heb em al verwijderd bij msconfig uit het opstarttabblad, maar elke keer als ik opnieuw opstart krijg ik em toch weer te zien.

Iemand een idee hoe ik hier vanaf kom?

Want alle 2 de bestanden zijn nog wel aanwezig op de schijf..

[ Voor 12% gewijzigd door Verwijderd op 02-11-2004 16:41 ]

dinsdag 2 november 2004 17:07

Acties:

Verwijderd

code:
1
2
3
4
5

c:\windows\system32\explorer.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit32.exe,
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\WINDOWS\System32\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [tgcmd] "C:\PROGRA~1\Support.com\bin\tgcmd.exe" /server /startmonitor /deaf
O4 - HKCU\..\Run: [MMSystem] c:\windows\rundll32.exe "c:\windows\system32\mmsystem.dll"", RunDll32 (2x)


scan al die files eens bij virusscan.jottie.dhs.org
en verwijder de entry's waarnodig.

alle (file missing) kunnen ook weg.

vrijdag 5 november 2004 06:03

Acties:
  • chromeeh
  • Registratie: Oktober 2001
  • Laatst online: 29-01 13:49

chromeeh

the Gnome

Als je deze entries verwijdert hebt kun je altijd nog met RegCleaner de overige reg sleutels opschonen. Dus de dode links er uit halen :)

"Some day, I hope to find the nuggets on a chicken."

dinsdag 9 november 2004 02:53

Acties:

Verwijderd

Topicstarter
Niks heeft mogen baten, iemand die dit probleem misschien al gehad heeft?

dinsdag 9 november 2004 09:08

Acties:
  • PcDealer
  • Registratie: Maart 2000
  • Laatst online: 02:12

PcDealer

HP ftw \o/

chromeeh schreef op 05 november 2004 @ 06:03:
Als je deze entries verwijdert hebt kun je altijd nog met RegCleaner de overige reg sleutels opschonen. Dus de dode links er uit halen :)
Ik heb daarvoor CCleaner (zie Meuktracker) gebruikt. Haalt veel dode links weg.

Scan ook eens een keer in Safe Mode.

[ Voor 6% gewijzigd door PcDealer op 09-11-2004 09:08 ]

LinkedIn WoT Cash Converter

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq