Toon posts:

[Adware] Krijg java-achtige popups niet weg *

Pagina: 1
Acties:

dinsdag 23 november 2004 17:59

Acties:
  • Animal_X
  • Registratie: Januari 2000
  • Nu online

Animal_X

Rodin

Topicstarter
Ik heb sinds een week of twee last van een erg hardnekkig virus of spyware waar ik maar niet van af kan komen. :(

De volgende problemen doen zich voort:

1. Ik heb regelmatig vreemde java-achtige pop-ups zoals deze (zie screenshot) en een andere met de titel Xscanresult Waarbij het lijkt alsof er een soort scannertje naar spyware loopt te zoeken. Wanneer ik op deze pop-up klik beland ik vaak bij heretofind.com.

Afbeeldingslocatie: http://www.silent-simon.nl/forum/upload/PresidentBush/bleh.JPG

2. Er komen steeds afhankelijk van van de tijd van de dag vreemde *.dat bestanden in mijn taskmanager bij processes te staan. Wanneer ik deze afsluit en vervolgens opzoek blijken ze in c:\windows\temp te staan. (zie screenshot)

Afbeeldingslocatie: http://www.silent-simon.nl/forum/upload/PresidentBush/bleh2.JPG

3. Ik heb ook al een aantal malen gehad dat wanneer deze *.dat bestanden actief waren, dat er soms ook nog een extra iexplore.exe of explorer.exe op de achtergrond lijkt te draaien.

Wat ik al geprobeerd heb:

1. Norton Anti-Virus
2. Trendmicro Housecall (online virusscanner)
3. Lavasoft adaware
4. Spybot Search and Destroy
5. Webroot Spy Sweeper
6. CWShredder
7. Seach/google geraadpleegd...


Hier mijn hijackthis log:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37

Logfile of HijackThis v1.98.2
Scan saved at 5:06:33 PM, on 11/23/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Hindrik\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tweakers.net/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tweakers.net
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.3:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {0A1C14E7-39F0-4C2A-B9F4-801DC6FFA562} - (no file)
O9 - Extra button: Corel Network monitor worker - {7C0D4F01-0346-4830-B15A-AFD27533936F} - (no file)
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: (no name) - {0A1C14E7-39F0-4C2A-B9F4-801DC6FFA562} - (no file) (HKCU)
O9 - Extra button: Corel Network monitor worker - {7C0D4F01-0346-4830-B15A-AFD27533936F} - (no file) (HKCU)


Verder zit ik hier achter een goede firewall en mijn Windows is verder ook helemaal up to date, dus ik weet eigenlijk ook niet meer wat ik er mee aan moet... :/ Anyone?

[ Voor 4% gewijzigd door Animal_X op 23-11-2004 18:15 . Reden: typo.. ]

"It's better to keep your mouth shut and give the impression that you're stupid than to open it and remove all doubt."

dinsdag 23 november 2004 18:02

Acties:
  • DDemolition
  • Registratie: Augustus 2003
  • Laatst online: 30-11 19:02

DDemolition

slopen is mijn lust en leven

Als het echt te erg is -> opnieuw installen
Om het niet meer te krijgen -> geen muziek, films of porno via websites downloaden. Door op de pagina te gaan word er een scipt geopend (dat doe je dus zelf) en daar kan een firewall niks aan doen.

Ik heb pas wel een adawere versie van norman gezien, iemand hier arvaringen mee??

XScan is trouwens een poortscan tool, dit is een hacktool

[ Voor 10% gewijzigd door DDemolition op 23-11-2004 18:07 ]

Specs: Server, WS boven, WS beneden

dinsdag 23 november 2004 18:02

Acties:
  • St@m
  • Registratie: December 2001
  • Laatst online: 22:03

St@m

@ Your Service

ik gooi ook nog altijd ff mijn temp-files en temporary internet files weg, hierna check ik de program files map of er nog iets is wat ik over het hoofd gezien heb.
Register al nagezocht?

En ik zou de link in de startpost ff weghalen.. van mij mag het wel, maar van de adjes niet :P

[ Voor 21% gewijzigd door St@m op 23-11-2004 18:04 ]

vuurwerk - vlees eten - tuinkachel - bbq - alcohol - voetbalwedstrijden - buitenfestivals - houtkachels

dinsdag 23 november 2004 18:07

Acties:
  • Animal_X
  • Registratie: Januari 2000
  • Nu online

Animal_X

Rodin

Topicstarter
DDemolition schreef op dinsdag 23 november 2004 @ 18:02:
Als het echt te erg is -> opnieuw installen
Om het niet meer te krijgen -> geen muziek, films of porno via websites downloaden. Door op de pagina te gaan word er een scipt geopend (dat doe je dus zelf) en daar kan een firewall niks aan doen.

Ik heb pas wel een adawere versie van norman gezien, iemand hier arvaringen mee??

XScan is trouwens een poortscan tool, dit is een hacktool
Ik kom praktisch nooit op vage porno/download sites. Dit haal ik wel op een andere manier binnen ;) En deze pop-ups verschijnen willekeurig en niet wanneer ik weer eens op een bepaalde site kom waar toevallig een kwaadaardig stukje script in staat. Ik weet dus zeker dat het NIET komt doordat ik zelf naar een wazige site surf... Verder noemde ik mijn firewall omdat ik eigenlijk denk dat er iets van een trojan op staat...

Ik ken Xscan het programma (waar jij op doelt). Maar dat is dit dus niet...
St@m schreef op dinsdag 23 november 2004 @ 18:02:
ik gooi ook nog altijd ff mijn temp-files en temporary internet files weg, hierna check ik de program files map of er nog iets is wat ik over het hoofd gezien heb.
Register al nagezocht?

En ik zou de link in de startpost ff weghalen.. van mij mag het wel, maar van de adjes niet :P
Ik gooi mijn temp dir ook regematig leeg, maar ze blijven dus terug komen.... Het register heb ik ook doorzocht en al enkele malen opgeschoond. Helaas niks kunnen vinden....

[ Voor 82% gewijzigd door Animal_X op 23-11-2004 18:23 ]

"It's better to keep your mouth shut and give the impression that you're stupid than to open it and remove all doubt."

dinsdag 23 november 2004 18:22

Acties:
  • JeroenG
  • Registratie: Juli 2002
  • Laatst online: 28-11 21:49

JeroenG

Probeer eens in veilige modus op te starten en dan nog eens te scannen met adaware/spybotS&D/cwshredder.

dinsdag 23 november 2004 18:24

Acties:
  • Animal_X
  • Registratie: Januari 2000
  • Nu online

Animal_X

Rodin

Topicstarter
JeroenG33 schreef op dinsdag 23 november 2004 @ 18:22:
Probeer eens in veilige modus op te starten en dan nog eens te scannen met adaware/spybotS&D/cwshredder.
Dat heb ik idd nog niet gedaan. Ik heb Spybot wel een keer laten scannen tijdens het opstarten.

Thanx! Ik zal het eens ff proberen.

"It's better to keep your mouth shut and give the impression that you're stupid than to open it and remove all doubt."

dinsdag 23 november 2004 18:28

Acties:
  • Pendaco
  • Registratie: Augustus 2003
  • Laatst online: 23:33

Pendaco

Vogon Poetry FTW!

niks vreemds in je hijack log, onderstaande kun je er nog even uithalen;

code:
1
2
3
4

  O9 - Extra button: (no name) - {0A1C14E7-39F0-4C2A-B9F4-801DC6FFA562} - (no file) 
  O9 - Extra button: Corel Network monitor worker - {7C0D4F01-0346-4830-B15A-AFD27533936F} - (no file) 
O9 - Extra button: (no name) - {0A1C14E7-39F0-4C2A-B9F4-801DC6FFA562} - (no file) (HKCU)
O9 - Extra button: Corel Network monitor worker - {7C0D4F01-0346-4830-B15A-AFD27533936F} - (no file) (HKCU)


de enige vreemde vind ik onderstaande;
code:
1

  R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch


het heeft met windows media player te maken, en hij wilt iets gaan laden, voor de rest kan ik er ook niets uit opmaken.
edit:
eruit gooien kan zowiezo geen kwaad, aangezien ik hem niet heb, en velen anderen waarschijnlijk met mij ;)


edit:
hij wordt er op andere fora iig ook uitgeknikkerd, zie ook bijv. hier

[ Voor 7% gewijzigd door Pendaco op 23-11-2004 18:32 ]

dinsdag 23 november 2004 19:08

Acties:
  • hessel
  • Registratie: Januari 2000
  • Laatst online: 05-11-2024

hessel

Waarom heb jij windows nooit voorzien van een service pack en of windows update... Want als ik zo kijk naar je HT log gebruik je nog standaard XP.

Terwijl Bill bijna wekelijks Updates uitgeeft van het type securitie. Mocht je bij zijn geweest met de updates, dan had je bepaalde adware/virusen kunnen voorkomen.

code:
1

  R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch


vind ik ook zeer verdacht haal dit bestand eens door http://virusscan.jotti.dhs.org/
kijk eerst ff hoe vaak dit bestand voorkomt en of ze ook verschillend van groote zijn

Grutte Pier fansels

dinsdag 23 november 2004 19:40

Acties:
  • Animal_X
  • Registratie: Januari 2000
  • Nu online

Animal_X

Rodin

Topicstarter
hessel schreef op dinsdag 23 november 2004 @ 19:08:
Waarom heb jij windows nooit voorzien van een service pack en of windows update... Want als ik zo kijk naar je HT log gebruik je nog standaard XP.

Terwijl Bill bijna wekelijks Updates uitgeeft van het type securitie. Mocht je bij zijn geweest met de updates, dan had je bepaalde adware/virusen kunnen voorkomen.

code:
1

  R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch


vind ik ook zeer verdacht haal dit bestand eens door http://virusscan.jotti.dhs.org/
kijk eerst ff hoe vaak dit bestand voorkomt en of ze ook verschillend van groote zijn
Als je mijn post iets beter had bekeken had je kunnen zien dat mijn windows versie helemaal up to date is. Dat er geen SP op staat is bewust. Maar ik update wekelijks alle beveiligingsupdates e.d.

Edit:
Als ik onder mijn snelkoppelingen van mediaplayer check zie ik het volgende staan:

"C:\Program Files\Windows Media Player\wmplayer.exe" /prefetch:1

:? Kan iemand mij zeggen wat die /prefetch:1 betekent? Dat kan weg lijkt me...

Ik heb wmplayer.exe door die scanner gehaald en dat bestand is helemaal schoon. Verder heb ik even een paar spyware scanners in safe-mode gedraait, maar die konden ook niks vinden... Wel heb ik die "wmplayer.exe //ICWLaunch" weg gehaald. Ik ben benieuwd of dit al helpt...

[ Voor 20% gewijzigd door Animal_X op 23-11-2004 20:05 ]

"It's better to keep your mouth shut and give the impression that you're stupid than to open it and remove all doubt."

dinsdag 23 november 2004 19:50

Acties:
  • ParaNoiMia
  • Registratie: Mei 2000
  • Laatst online: 27-11 12:15

ParaNoiMia

Animal_X schreef op dinsdag 23 november 2004 @ 19:40:
[...]
Als ik onder mijn snelkoppelingen van mediaplayer check zie ik het volgende staan:

"C:\Program Files\Windows Media Player\wmplayer.exe" /prefetch:1

:? Kan iemand mij zeggen wat die /prefetch:1 betekent? Dat kan weg lijkt me...
3 seconden met google: http://www.winguides.com/...view=collapsed&sb=5&part=


Blijft over dat je probleem niet weg is natuurlijk...
Kijk eens met autoruns van sysinternals wat er allemaal mee opstart als je pc start en kijk eens met process explorer van sysinterals welke processen er exact draaien en vlooi die eens uit ?

[ Voor 23% gewijzigd door ParaNoiMia op 23-11-2004 19:52 ]

dinsdag 23 november 2004 20:02

Acties:
  • Animal_X
  • Registratie: Januari 2000
  • Nu online

Animal_X

Rodin

Topicstarter
ParaNoiMia schreef op dinsdag 23 november 2004 @ 19:50:
[...]


3 seconden met google: http://www.winguides.com/...view=collapsed&sb=5&part=


Blijft over dat je probleem niet weg is natuurlijk...
Kijk eens met autoruns van sysinternals wat er allemaal mee opstart als je pc start en kijk eens met process explorer van sysinterals welke processen er exact draaien en vlooi die eens uit ?
Erg amusant altijd die bijdehante "3 seconden met google" opmerkingen.... :O

Uiteraard heb ik ook eerst ge-google'd (en die link gevonden). Maar ik vond ook de volgende:

http://www.efnetcsharp.ne...x/EFnetCSharp.MircExploit
You should check any links to wmplayer.exe, and make sure that the /prefetch:1 does not appear at the end of the target path. If there, it was probably added by a trojan.
Nogal tegenstrijdig dus... :?

Wat betreft de rest van je post:

Afbeeldingslocatie: http://www.silent-simon.nl/forum/upload/PresidentBush/3.JPG

Afbeeldingslocatie: http://www.silent-simon.nl/forum/upload/PresidentBush/2.JPG

Lijkt me toch ook niks mis mee... Ik de boel ook ff met de sysinterals tools bekeken en in de autostart en de processen zit echt niks vreemds... :?

[ Voor 20% gewijzigd door Animal_X op 23-11-2004 21:06 ]

"It's better to keep your mouth shut and give the impression that you're stupid than to open it and remove all doubt."

woensdag 24 november 2004 14:18

Acties:
  • gsteen
  • Registratie: November 2004
  • Laatst online: 13-01-2020

gsteen

Ik heb deze zeer irritante popup ook gehad.
Heb op internet gezocht naar een oplossing en kwam uiteindelijk uit bij ewido security suite http://www.ewido.net/en/.

Heb dit programma eens uitgeprobeerd (helaas maar 14 dagen trial) en de ' Realtime monitoring' optie detecteerde inderdaad deze popup (met mogelijkheid op Quarantine). Echter loste het probleem niet op (bleef terug komen).

Misschien dat jij er wat aan hebt maar omdat ie terug bleef komen heb ik uiteindelijk een reinstall van windows gedaan.

"In theory, there is no difference between theory and practice. But, in practice, there is."

donderdag 25 november 2004 02:10

Acties:
  • Animal_X
  • Registratie: Januari 2000
  • Nu online

Animal_X

Rodin

Topicstarter
Nou ik lijk er van af te zijn :) Ik heb er tenminste geen last meer van gehad sinds ik die wmplayer.exe //ICWLaunch entry heb verwijderd. :)

"It's better to keep your mouth shut and give the impression that you're stupid than to open it and remove all doubt."

donderdag 25 november 2004 11:44

Acties:
  • Pendaco
  • Registratie: Augustus 2003
  • Laatst online: 23:33

Pendaco

Vogon Poetry FTW!

ik wil t niet zeggen, maarum... ik had zoiets hierboven al genoemd :X
goed dat het probleem is opgelost ;)

vrijdag 26 november 2004 15:11

Acties:
  • Animal_X
  • Registratie: Januari 2000
  • Nu online

Animal_X

Rodin

Topicstarter
Pendaco schreef op donderdag 25 november 2004 @ 11:44:
ik wil t niet zeggen, maarum... ik had zoiets hierboven al genoemd :X
goed dat het probleem is opgelost ;)
Weet ik :) Dit was gewoon de reactie om te melden dat het geholpen heeft en waar het nou dus zeker aan lag.

"It's better to keep your mouth shut and give the impression that you're stupid than to open it and remove all doubt."

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq