[Spyware] Popup @ Windows Boot - Privacy en beveiliging

zondag 14 november 2004 14:01

Acties:

Stik er maar in!

Topicstarter

Hey

Ik heb al een aantal weken last van een popup die verschijnt als ik inlog met Windows (2K3). Deze popup verschijnt ook ongeveer om de 3 uur ofzo. Niet echt bijgehouden maar als ik thuiskom van een dagje school dan staan er meestal een stuk of 4 á 5 popups. De popup wordt geladen in I.E. Ik surf hier nooit mee aangezien FireFox veel beter werkt imo maar de popup start op, heet dan http://www.paypopup.com/ en linkt dan door naar een andere site. Site is elke keer verschillend. Verder neemt deze popup veel CPU gebruik in beslag wat erg lastig is tijdens bijvoorbeeld gamen. (Springt naar destkop ineens en popup wordt geladen.)

Wat heb ik al geprobeerd?

* Nieuwste versie van Spybot Search & Destroy aantal keer erover heen gehaald.
* Alles uitgezet bij MsConfig.
* TEMP, Cookies & History een aantal keren leeg gegooid.
* Downloaded Internet Files een aantal keren leeg gegooid.
* Google Toolbar in IE geinstalleerd.
* HijackThis 1.98.2 laten scannen en dit kwam eruit;

code:

Logfile of HijackThis v1.97.7
Scan saved at 13:57:15, on 14-11-2004
Platform: Unknown Windows (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\winmgnt.exe
F:\WINDOWS\System32\svchost.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
F:\WINDOWS\system32\winmgnt.exe
F:\WINDOWS\system32\csrs.exe
F:\WINDOWS\system32\r_server.exe
F:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\Dfssvc.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
F:\Program Files\Analog Devices\SoundMAX\smax4.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\NetLimiter\NetLimiter.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\DU Meter\DUMeter.exe
F:\WINDOWS\iexplore.exe
C:\Program Files\FlashFXP\FlashFXP.exe
F:\Program Files\Mozilla Firefox\firefox.exe
F:\Program Files\MSN Messenger\msnmsgr.exe
F:\Program Files\Windows Media Player\wmplayer.exe
F:\Documents and Settings\TommyGun\My Documents\Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\Jccatch.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - f:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - F:\WINDOWS\system32\nvms.dll
O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - F:\WINDOWS\system32\mscb.dll
O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - F:\WINDOWS\system32\msbe.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\system32\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - f:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMAXPnP] F:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "F:\Program Files\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [Explorer] F:\WINDOWS\iexplore.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://f:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Gelijkwaardige pagina's - res://f:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://f:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ontvang alles met FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Ontvang met FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://f:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Web Rebates - file://F:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Onderzoek (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by22fd.bay22.hotmail.msn.com/activex/HMAtchmt.ocx
O16 - DPF: {FCF289D4-0AC8-4ED8-BE31-E8AF09606AB5} (download_35mb_com.applet) - http://www.35mb.com/downloadapplet.cab

Download log hier: hijackthis.log

Op het moment van loggen heb ik alleen maar FlashFXP, MSN Messenger, Asus Probe, McAffee VirusScan Enterprise, DU-Meter, Remote Administrator, SoundMAX en NetLimiter draaien in mijn System Tray balk. (Dit draait altijd. Op FlashFXP na maar zonder FlashFXP krijg ik de popups ook.) In mijn werkbalk draait alleen Windows Media Player momenteel. (Allen te vinden in de log.)

In Task Manager draait het volgende;

Afbeeldingslocatie: http://members.lycos.nl/mickentommy/app.png

Afbeeldingslocatie: http://members.lycos.nl/mickentommy/app.png

Ik ben ten einde raad.

Wie o wie helpt mij?

Heel erg bedankt alvast

Edit;

Mijn probleem lijkt op die van Cyclonite maar daaruit kan ik ook geen oplossing vissen helaas.

[ Voor 12% gewijzigd door TommyGun op 14-11-2004 14:12 ]

“In a world without walls and fences, who needs Windows and Gates".

zondag 14 november 2004 14:07

Acties:

Hmmbob

Wellicht kan je ad-aware eens draaien?

Te vinden op Download.com

Sometimes you need to plan for coincidence

zondag 14 november 2004 14:08

Acties:

TommyGun

Stik er maar in!

Topicstarter

Heb niet zo'n goede ervaringen met Ad-Aware aangezien SpyBot meer vindt maar het is het proberen waard! Zal hem eens downen en installeren $_/-\o_$

“In a world without walls and fences, who needs Windows and Gates".

zondag 14 november 2004 14:10

Acties:

Verwijderd

Omfg.

Je hebt nogal wat nietbedoelde zooi draaien dan.

Waaronder Radmin.

Het volgende mag je allemaal scannen @ http://virusscan.jotti.dhs.org:

code:

F:\WINDOWS\system32\csrs.exe
F:\WINDOWS\system32\r_server.exe
F:\WINDOWS\system32\Dfssvc.exe
F:\WINDOWS\iexplore.exe
F:\WINDOWS\system32\winmgnt.exe
O2 - BHO: (no name) - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - F:\WINDOWS\system32\nvms.dll
O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - F:\WINDOWS\system32\mscb.dll
O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - F:\WINDOWS\system32\msbe.dll

En ik zal vast nog wel wat gemist hebben.
En waarom draai je een ServerOS als je daar (nog) niet aan toe blijkt te zijn?

zondag 14 november 2004 14:12

Acties:

TommyGun

Stik er maar in!

Topicstarter

Windows 2003 Enterprise Server in mijn geval draait gewoon 100x beter dan Windows XP. Stabieler, sneller en meer functies. Draait overigens op Workstation dus stuff zoals gamen enzo gaat er gewoon perfect mee. Maar Remote Administrator draait ook ja. Sorry vergeten te melden. Deze houdt verbinding met me mIRC bak een kamer verderop

Edit;

Ik zal ff scannen met jouw URL en met HouseCall $_/-\o_$

Edit 2;

Lol Ad-Aware vondt 132 infecte bestanden

Ben nog aan 't scannen met Tend Micro maar dat zal nog wel ff duren

Edit 3;

Bah alles gescand, alles is schoon en nog krijg ik 'm

[ Voor 32% gewijzigd door TommyGun op 14-11-2004 15:01 ]

“In a world without walls and fences, who needs Windows and Gates".

zondag 14 november 2004 15:06

Acties:

Blizard

Er zijn tig scanners op de markt en allemaal vinden ze nog wel nét iets anders dan de andere. Dus een beetje uitproberen is altijd nodig (en hier op GoT of google een beetje rondzien). Let wel dat je geen spy-ware removal-tools download die eigenlijk virussen zijn, want dan kan kom je van de regen in de drop.

Weet niet of je http://www.hijackthis.de al hebt gedaan ? CWShredder laat ik ook altijd even lopen.. Moet je maar ff in de faq hier kijken. Ook zorgen dat je definitie files van al je programma's up 2 date zijn !