Razende irritantie internet explorer pop up - Privacy en beveiliging

dinsdag 4 januari 2005 11:45

Acties:

Verwijderd

Topicstarter

Op de één of andere manier heb ik een gigantisch irritant stukje spy/ad-ware binnengekregen.
Het gaat hier om een pop up die ook up popt;) als ik niet eens i-net explorer gebruik (ik gebruik mozilla btw). Ik heb zo'n beetje alle anti ad/spyware progje's gebruikt die ik ken, waaronder
Hitman pro (en alle progjes die hitman pro gebruikt afzonderlijk ook nog es)
Hijack this
Pest patrol
Maar geen van de programma's krijgt het voor elkaar om het te verwijderen.
Het is een search results pop up waar leningen, viagra en het andere bekende werk instaat.
De pop verschijnt zo'n beetje elke 3 min.
Is iemand misschien bekend met de pop up en nog beter weet iemand mischien hoe je dit verwijdert?

Alvast bedankt!

dinsdag 4 januari 2005 11:48

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Welke site precies? <-- ebst kans dat je die hier al in de search terugvindt. Als je het geeft: graag niet klikbaar. Bijvoorbeeld door [norml ] www.etc [/] tags te gebruiken (zonder de spaties dan).

Los daarvan: check de Beveiliging en Virussen - Nieuw topic starten even: probeer HJT ook even, interpreteer het resultaat zelf en geef het dan evt. aan ons zodat we mee kunnen denken

Trouwens welkom op GoT

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 4 januari 2005 11:51

Acties:

TheBorg

Resistance is futile.

Post ook even de Hijack This log, dan kunnen we zien welke .exe files het zijn. Ik heb laatst ook zoiets gehad, misschien is het dezelfde rotzooi.

dinsdag 4 januari 2005 11:58

Acties:

Verwijderd

Topicstarter

mm de site weet ik eigenlijk niet, tis al een weekje terug, :x. En de progjes die de howto gebruikt heb ik al gebruikt.
Ik zal wel nog ff de processen bekijken voor iets wat er niet bijhoort
Hier de HJT log:
Logfile of HijackThis v1.99.0
Scan saved at 10:21:38, on 4-1-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\r_server.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\MMTrayLSI.exe
C:\WINDOWS\System32\MMTray2k.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\COMMON~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Sitecom\Bluetooth Software\BTTray.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Palm\HOTSYNC.EXE
C:\PROGRA~1\Sitecom\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\explorer.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\mozilla.org\Mozilla\mozilla.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Michel\LOCALS~1\Temp\Rar$EX00.566\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fok.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yah.../su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [OWCCardbusTray] ocbtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\COMMON~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvhmu32.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Verzenden naar &Bluetooth - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Program Files\Autodesk Architectural Desktop 3\AcDcToday.ocx
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Program Files\Autodesk Architectural Desktop 3\InstBanr.ocx
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/...r/CAB/RealArcadeRdxIE.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Program Files\Autodesk Architectural Desktop 3\InstFred.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Program Files\Autodesk Architectural Desktop 3\AcPreview.ocx
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Program Files\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Remote Administrator Service - Unknown - C:\WINDOWS\System32\r_server.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

dinsdag 4 januari 2005 12:02

Acties:

Super_ik

haklust!

nou even hier kopieren,plakken: www.hijackthis.de

8<------------------------------------------------------------------------------------
Als ik zo door ga haal ik m'n dood niet. | ik hou van goeie muziek

dinsdag 4 januari 2005 12:05

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Hmja, ik zou niet blindelings vertrouwen op www.hijackthis.de maar het zelf regel voor regel interpreteren. Al is het natuurlijk wel handig voor een 'eerste ronde', maar die is er met de spywarescanners al geweest.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 4 januari 2005 12:08

Acties:

Verwijderd

Topicstarter

mm ik zal ff het lijstje nog een keer bij langs lopen, mét en zonder de hulp van HJT.de
Daarnaast nog ff de processen bij langs...
iig alvast bedankt voor de hulp!..als het probleem nog niet is opgelost zal ik dat aangeven.

dinsdag 4 januari 2005 12:13

Acties:

Atomsk

Ik weet bijna zeker dat deze het is:

O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"

Ik heb ook eens een keer een adwarebesmetting gehad die heel sneaky zo'n programma installeerde in een Creative subdir (heb helemaal geen Creative geluidskaart). [google=StartupCPL] Hiermee kun je makkelijk programma's die gestart worden bij het booten uitschakelen via het configuratiescherm. Altijd handig om al die overbodige "managers" die programma's als WinDVD installeren te verwijderen.

Verder zou ik met regedit nog ff door de registry gaan en alle IE start- en zoekpagina's terug op de originele sites zetten.

[ Voor 24% gewijzigd door Atomsk op 04-01-2005 12:19 ]

_██_
(ಠ_ృ)

dinsdag 4 januari 2005 12:22

Acties:

Verwijderd

Topicstarter

thnx zal ik dat ook nog ff proberen

[ Voor 74% gewijzigd door Verwijderd op 04-01-2005 12:23 ]

dinsdag 4 januari 2005 12:23

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

ADGJDet.exe: "helaas", volgens http://www.2-spyware.com/file-adgjdet-exe.html hoort ADGJDet op die locatie te staan. Ik zie er op het eerste gezicht niets staan dat er zeker niet hoort cq. waar je zeker niet zelf voor hebt gekozen.

Bah

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 4 januari 2005 12:24

Acties:

Coca-Cola

hmm wat is dat:

O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvhmu32.exe ?

ik krijg geen hits op google, dus dat klinkt niet al te pluis en op dat [kalvsys] krijg ik allemaal spyware/virus hits
Draai je trouwens bewust r_server.exe ?

O23 - Service: Remote Administrator Service - Unknown - C:\WINDOWS\System32\r_server.exe

Moet trouwens een aardige computer zijn om al die software teglijk draaiend te krijgen

Ik geloof dat mijn hijackthis log ongeveer 15 regels is

[ Voor 42% gewijzigd door Coca-Cola op 04-01-2005 12:29 ]

dinsdag 4 januari 2005 12:28

Acties:

Atomsk

F_J_K schreef op dinsdag 04 januari 2005 @ 12:23:
ADGJDet.exe: "helaas", volgens http://www.2-spyware.com/file-adgjdet-exe.html hoort ADGJDet op die locatie te staan. Ik zie er op het eerste gezicht niets staan dat er zeker niet hoort cq. waar je zeker niet zelf voor hebt gekozen.

Bah

Ja, zag die link net ook. Wanneer je echter geen Audigy geluidskaart in je systeem hebt, is het wel degelijk mogelijk dat het spyware is. Ik heb deze zelf, zoals gezegd, namelijk wel eens op m'n systeem gehad. Je kun het altijd ff uitschakelen. "headphone detection" is nu niet bepaad een vitaal onderdeel van je systeem.

edit: maar wel een SB geluidskaart blijkbaar, dus laat maar..

[ Voor 7% gewijzigd door Atomsk op 04-01-2005 12:30 ]

_██_
(ಠ_ృ)

dinsdag 4 januari 2005 12:31

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Inderdaad kan je als test het overgrote deel uitschakelen en zien wat er gebeurd. <--- natuurlijk zorgen dat je alles terug kan inschakelen, dus geen HJT gebruiken om te verwijderen maar zelf aanpassen via services.msc, regedit, verkenner.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 4 januari 2005 12:41

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Een hoop werk maar haal anders alle bestanden door een andere virusscanner - het makkelijkst te doen door te kopieren naar CDRW / USB stick / oid en dan scannen bij iemand anders met een andere virusscanner: bijv. Kaspersky of McAfee.

Trouwens was je de site vergeten omdat het een week geleden voor het laatst kwam. Is de troep nog wel actief?

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 4 januari 2005 12:42

Acties:

Coca-Cola

O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvhmu32.exe is volgens google wel verantwoordelijk voor popups enzo, dus ik denk toch dat dat 'm is.
Het schijnt ook nogal hardnekkig te zijn en wordt (nog?) niet verwijderd door anti spyware tools

Zoek ff op files die beginnen met kalv* in je windows\system32 dir en gooi die zooi weg (reboot, start in safe mode, open geen internet dingen etc) en verwijder dan ook die reg keys, dan zou het weg moeten zijn. Anders ff googlen op kalvsys, staat genoeg over online.

[ Voor 37% gewijzigd door Coca-Cola op 04-01-2005 12:46 ]

dinsdag 4 januari 2005 12:45

Acties:

Verwijderd

Topicstarter

mm de troep is zeer actief, maar ik ben een kleine week niet op deze cpu geweest, ivm het teruggaan naar mijn ouderlijk huis rond de feestdagen. De pop up verschijnt op dit moment zeker rond de 3 min. Het probleem is echter ook dat dit wel variabel is, soms verschijnt ie 2 x achter elkaar en soms ook met een tussenpoos van 5 min (minimaal). En dat is geen leuk gezicht als je smorgens je nest uit komt terwijl je je cpu aan hebt latens staan 's nachts
Maar ik zal nog es ff achter dat kalvsys aangaan

[ Voor 6% gewijzigd door Verwijderd op 04-01-2005 12:46 ]

dinsdag 4 januari 2005 12:48

Acties:

Atomsk

Als niets helpt, kun je altijd nog je OS opnieuw installeren. Vervolgens IE uitschakelen en Firefox als standaardbrowser installeren. Ben je tenminste af van spyware die via fouten in IE (iedere keer opnieuw) op je systeem geinstalleerd wordt.

Heb dit zelf ook moeten doen. Virusscanners helpen onvoldoende tegen spyware.

_██_
(ಠ_ృ)

dinsdag 4 januari 2005 12:50

Acties:

Opa

Nu Multifocaal!

Verwijderd schreef op dinsdag 04 januari 2005 @ 11:58:

Running processes:

C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\r_server.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
C:\PROGRA~1\COMMON~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\Program Files\eMule\emule.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe

O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\COMMON~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvhmu32.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Remote Administrator Service - Unknown - C:\WINDOWS\System32\r_server.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

Ik zou al deze EXE's even door google halen, als je niet 100% zeker weet wat het doet. Winfast en ustorsrv klinken niet leuk.
R_server.exe is Radmin, maar dat kan ook zonder je medeweten geinstalleerd zijn. (waarmee iemand op afstand je pc overneemt)

Hyundai ioniq Electric 8/2020 > Zeekr X Long Range 8/2024

dinsdag 4 januari 2005 12:51

Acties:

Verwijderd

Topicstarter

Name: Rick Anstine
Date: December 11, 2004 at 01:49:44 Pacific
Subject: Kalvsys virus? Spyware? Help please
Reply:

I have the dam thing too! Thanks to the Kids. Like reply #3 said it re-writes itself to the regestry in two places every 3 seconds. It's in HKEY_LOCAL_MACHINE\software\microsoft\windows\currentVersion\run & run- I tried deleteing it both places and pulling the plug several times but it's too fast. Anyone that pays money to get rid of this s--- is a fool. And do not pay those phone bills either it just incourages them.

Dit staat in een andere community, dus volgens mij ligt het hieraan, helemaal omdat ie zich weer terug zet, ik ga nu ff kijken of ik hem kan verwijderen. Dus ik denk dat dat het is coca cola (is overigens beter te zuipen dan pepsi)

dinsdag 4 januari 2005 13:00

Acties:

J2pc

UT Tux Edition

euh, wat een maffe reply.
als je weet waar ie in je reg staat, weet je toch zeker ook wel welk proces 't is?
proces killen, reg verwijderen klaar..?

Ik heb af en toe een ie-popup, terwijl ik altijd FF gebruik..

Ik verdenk m'n vriending

Maja, kan IE er ook niet helemaal afknikkeren. Sommige sites zijn nog steeds IE-only (meer de schuld van de site dan van FF)

"The computer is incredibly fast, accurate, and stupid. Man is unbelievably slow, inaccurate, and brilliant. The marriage of the two is a challenge and opportunity beyond imagination." © Stuart G. Walesh

dinsdag 4 januari 2005 13:00

Acties:

Sassie

Ook even je log doorgelopen (mbv hijackthis.de en google), dit zijn de dingetjes die ik vreemd vind:

• C:\WINDOWS\system32\UStorSrv.exe
Ik vind dit: http://www.anti-spy.info/process/ustorsrv.exe.html , maar verder allemaal HijackThis-logs in diverse fora. Een beetje vreemd.

• C:\DOCUME~1\Michel\LOCALS~1\Temp\Rar$EX00.566\HijackThis.exe
Ik zie dat je HijackThis in een temp-folder hebt staan, dat is niet handig ivm backups bij het verwijderen van zaken. Het is beter om HijackThis een eigen 'vaste map' te geven.

• O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
Deze kan weg (nutteloos volgens hijackthis.de).

• O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvhmu32.exe
Deze was al eerder genoemd in het topic (-> Coca-Cola in "Razende irritantie internet explorer pop..."). Check die file anders eens even bij http://www.kaspersky.com/remoteviruschk.html of bij http://virusscan.jotti.dhs.org/

• O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe
Zie ook hierboven, vind niks op google met "UStorage Server Service" of "UStorage Server". Als ik op "UStorage" zoek vond ik wel http://www.ustorage.ucsb.edu/. Als je daar niks mee van doen heb is het ook wel verdacht (misschien is het slim om die exe dan ook maar ff te laten checken).

Edit: Oti + UStorage levert wel hits in google op: heb je een USB stick van Oti (Ustorage model)?

[ Voor 24% gewijzigd door Sassie op 04-01-2005 13:07 ]

dinsdag 4 januari 2005 13:05

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Die reply is een quote van een andere pagina

Maar inderdaad waarschijnlijk Kalvsys/EliteBar/SearchMiracle, dat ik dat miste

Installeer anders een nieuwe, schone, virusscanner: kijk eerst met http://virusscan.jotti.dhs.org/ of/welke scanner het herkent (en dan hopelijk kan verwijderen).

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 4 januari 2005 13:15

Acties:

Verwijderd

Topicstarter

Ok ik heb het volgende gedaan, (dit naargelang het advies van Coca Cola en die gast van de andere community)
Heb alle bestanden verwijdert (voor de zoveelste maal) in de windows/system en system32 map alles verwijdert wat begint met kalv. Daarna heb ik de cpu opnieuw opgestart in veilige modus en heb alles in het registerverwijdert wat begint met kalv, dus kalvsys, kalvwbi32. Nu ben ik ongeveer weer 10 min in normale modus (of mijn cpu dan) en nog geen pop ups,. Ik wil jullie allen bedanken met het oplossen van mijn probleem. Volgens mij ligt het dus hieraan, dus niet op
google gaan zoeken naar koetjes en kalvjes want dan heb je een probleem

oh ja en die U storage is van mijn externe hd volgens mij..
Als virusscanner gebruik ik avg7

[ Voor 9% gewijzigd door Verwijderd op 04-01-2005 13:31 ]

vrijdag 7 januari 2005 01:52

Acties:

Alex)

Atomsk schreef op dinsdag 04 januari 2005 @ 12:48:
Als niets helpt, kun je altijd nog je OS opnieuw installeren. Vervolgens IE uitschakelen en Firefox als standaardbrowser installeren. Ben je tenminste af van spyware die via fouten in IE (iedere keer opnieuw) op je systeem geinstalleerd wordt.

En wat als je nou software installeert waar het bij zit? Dan heb je net zo goed een probleem hoor... FF wordt populairder én ondersteunt extensies, het is een kwestie van tijd voordat spywaremakers ook FF-plugins (BHO's) gaan schrijven, en dan?

Heb dit zelf ook moeten doen. Virusscanners helpen onvoldoende tegen spyware.

Daarom heet het een virusscanner... een spywarescanner kijkt toch ook niet even of je systeem besmet is met weet-ik-veel-welk-virus? Of dat er spam in je mailbox zit?

We are shaping the future

vrijdag 7 januari 2005 01:56

Acties:

pasta

Ondertitel

Alex schreef op vrijdag 07 januari 2005 @ 01:52:
[...]
En wat als je nou software installeert waar het bij zit? Dan heb je net zo goed een probleem hoor... FF wordt populairder én ondersteunt extensies, het is een kwestie van tijd voordat spywaremakers ook FF-plugins (BHO's) gaan schrijven, en dan?

Dat zal lastig gaan zonder directe toestemming van de gebruiker. Momenteel worden er alleen extensies toegestaan van updates.mozilla.org en deze worden gecontroleerd.

[...]
Daarom heet het een virusscanner... een spywarescanner kijkt toch ook niet even of je systeem besmet is met weet-ik-veel-welk-virus? Of dat er spam in je mailbox zit?

Virusscanners horen IMO ook spyware te detecteren, vaak heeft spyware namelijk nog een ander effect ten gevolg, naast toolbars installeren en startpagina's veranderen.

Signature

vrijdag 7 januari 2005 02:25

Acties:

Alex)

pasta schreef op vrijdag 07 januari 2005 @ 01:56:
[...]
Dat zal lastig gaan zonder directe toestemming van de gebruiker. Momenteel worden er alleen extensies toegestaan van updates.mozilla.org en deze worden gecontroleerd.

En wat als de malware nou faked dat ie van updates.mozilla.org komt? Of kan dat niet?

We are shaping the future

vrijdag 7 januari 2005 02:40

Acties:

pasta

Ondertitel

Dat lijkt me sterk inderdaad.

Dan zou je het dusdanig serverside moeten aanpassen dat je de hostname faket, en dat lijkt me vrij lastig.

edit:

Vanaf nu weer ontopic graag.

[ Voor 22% gewijzigd door pasta op 07-01-2005 02:42 ]

Signature

vrijdag 7 januari 2005 09:02

Acties:

Verwijderd

Die alg.exe had ik ook draaien, die was voor mij onbekend namelijk en ik heb hem ook lomp verwijderd van mijn HD

vrijdag 7 januari 2005 12:19

Acties:

Verwijderd

Verwijderd schreef op vrijdag 07 januari 2005 @ 09:02:
Die alg.exe had ik ook draaien, die was voor mij onbekend namelijk en ik heb hem ook lomp verwijderd van mijn HD

Dat is een Windowsfile hoor - in die directory(sysdir) in elk geval.
Network related - met XP/SP2 draait ie standaard altijd.

Het zomaar verwijderen van files is _nooit en te nimmer_ aan te raden, in zulke gevalllen is het beter om ze door een 3e te laten analyseren.