Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Popup bij booten wil niet weg

Pagina: 1
Acties:
  • 122 views sinds 30-01-2008
  • Reageer

vrijdag 3 december 2004 15:28

Acties:

Verwijderd

Topicstarter
Ik heb al van alles bekeken zoals registry , startup, remove/add software, maar heb geen flauw idee wat ik verder nog kon doen.

Duss, ik heb ff hijack this gedraaid en hier is het volgende log uitgekomen :

Logfile of HijackThis v1.97.7
Scan saved at 14:57:42, on 3-12-2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\NavNT\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\NavNT\rtvscan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\loadqm.exe
C:\PROGRA~1\NavNT\vptray.exe
C:\WINNT\system32\atiptaxx.exe
C:\WINNT\system32\coERPWS.exe
C:\WINNT\system32\xpsp2fw.exe
C:\Program Files\Yahoo!\Messenger\ypager.exe
C:\WINNT\system32\wuclient.exe
C:\Program Files\Sony Ericsson\Mobile\audevicemgr.exe
C:\WINNT\webshots.scr
c:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
X:\Benjamin\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aflashcounter.com/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aflashcounter.com/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://aflashcounter.com/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/nl/nld/gen/default.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.linksummary.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://aflashcounter.com/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://aflashcounter.com/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aflashcounter.com/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://aflashcounter.com/?a=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://aflashcounter.com/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yah...gr6/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = C:\WINNT\System32\Id8525.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://searchbar.linksummary.com/
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [5DAA0566] C:\WINNT\system32\coERPWS.exe
O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINNT\system32\xpsp2fw.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Windows Update Client ] C:\WINNT\system32\wuclient.exe
O4 - HKCU\..\Run: [5DAA0566] C:\WINNT\system32\coERPWS.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O4 - Global Startup: Phone Connection Monitor.lnk = C:\Program Files\Sony Ericsson\Mobile\audevicemgr.exe
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft...-94901338C922/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ****
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ****
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ****
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = ****


Iemand enig idee wat hier de boosdoener van kan wezen ?


//edit : Ik gebruik trouwens windows 2000.

vrijdag 3 december 2004 15:34

Acties:

Verwijderd

Verwijderd schreef op vrijdag 03 december 2004 @ 15:28:
Ik heb al van alles bekeken zoals registry , startup, remove/add software, maar heb geen flauw idee wat ik verder nog kon doen.


Iemand enig idee wat hier de boosdoener van kan wezen ?
msconfig al eens bekeken?

vrijdag 3 december 2004 15:37

Acties:

Verwijderd

Misschien is dit de oplossing ?

[5DAA0566] C:\WINNT\system32\coERPWS.exe

Lijkt niet echt op een windows programma oid, deleten maar ! :)

vrijdag 3 december 2004 15:40

Acties:
  • Mozart
  • Registratie: September 2001
  • Laatst online: 21:22

Mozart

Verwijderd schreef op vrijdag 03 december 2004 @ 15:28:

C:\WINNT\system32\xpsp2fw.exe
C:\WINNT\webshots.scr

O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINNT\system32\xpsp2fw.exe
Iemand enig idee wat hier de boosdoener van kan wezen ?
Bovenstaande items zijn niet normaal. Bij Google even zoeken op xpsp2fw.exe levert al een heleboel items op waar je uit op kunt maken dat het niet pluis is. De XPSP2 Firewall wordt niet gestart vanuit het register op deze manier (laatste regel in de quote).

Verder zie je dat webshots.scr als een draaiend proces staat aangegeven. Files die eindigen op scr zijn normaal gesproken screensavers. En een screensaver die actief is als je 'normaal' aan het werk bent... lijkt me niet goed.

PSN: PcDCch

vrijdag 3 december 2004 15:41

Acties:
  • leuk_he
  • Registratie: Augustus 2000
  • Laatst online: 28-11 09:35

leuk_he

1. Controleer de kabel!

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.linksummary.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://aflashcounter.com/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://aflashcounter.com/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aflashcounter.com/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://aflashcounter.com/?a=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://aflashcounter.com/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yah...gr6/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = C:\WINNT\System32\Id8525.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://searchbar.linksummary.com/

deze:?
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [LoadQM] loadqm.exe
[kan ik niet beoordelen: ]
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
weg:
O4 - HKLM\..\Run: [5DAA0566] C:\WINNT\system32\coERPWS.exe
O4 - HKCU\..\Run: [5DAA0566] C:\WINNT\system32\coERPWS.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
heb je inderdaad sony spul geinstalleerd?
O4 - Global Startup: Phone Connection Monitor.lnk = C:\Program Files\Sony Ericsson\Mobile\audevicemgr.exe
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
[huh: verdacht]
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft...-94901338C922/wmv9VCM.CAB


in ieder geval die seachbar, en die O4 dingen in windows\system32. verder ben ik nogal ruim geweest denk ik.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

vrijdag 3 december 2004 15:42

Acties:
  • Turkish
  • Registratie: September 2002
  • Laatst online: 29-11 18:12

Turkish

zhé germans

al die dingen met aflashcounter.com lijken me ook niet echt fris :)

Maar heb je al eens een spyware removal tool geprobeerd eigenlijk :?

[ Voor 35% gewijzigd door Turkish op 03-12-2004 15:43 ]

'When you're not paying for the product, you are the product!'

vrijdag 3 december 2004 15:44

Acties:

Verwijderd

Topicstarter
Ja spyware heb ik ook al gedraaid, 2 versies zelf.
Ik zal even goed lezen wat er allemaal gepost is tot nu toe.

(het is btw zoals in de edit , windows2000! )

vrijdag 3 december 2004 15:50

Acties:
  • m3gA
  • Registratie: Juni 2002
  • Laatst online: 10:43

m3gA

Mozart schreef op vrijdag 03 december 2004 @ 15:40:
[...]


Bovenstaande items zijn niet normaal. Bij Google even zoeken op xpsp2fw.exe levert al een heleboel items op waar je uit op kunt maken dat het niet pluis is. De XPSP2 Firewall wordt niet gestart vanuit het register op deze manier (laatste regel in de quote).

Verder zie je dat webshots.scr als een draaiend proces staat aangegeven. Files die eindigen op scr zijn normaal gesproken screensavers. En een screensaver die actief is als je 'normaal' aan het werk bent... lijkt me niet goed.
webshots is een screensaver programmaatje dat de achtergrond steeds veranderd (en belachelijk veel resources gebruikt)

zaterdag 4 december 2004 11:29

Acties:
  • Korakal
  • Registratie: Oktober 2001
  • Laatst online: 11:35

Korakal

Up up up!

Internet & Telefonie > Beveiliging & Virussen
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq