Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

ongewenste toolbar door onbekend bestand

M@rc
8 antwoorden
  • Op een pc met win98se heb ik een ongewenste toolbar opgelopen, die zich niet liet verwijderen. De boosdoener bleek uiteindelijk een bestand met de naam [i:47b507f1c6]grim bash.exe[/i:47b507f1c6] in een submap van windows te zijn. Heb even gegoogled, maar niets over dat bestand kunnen vinden (spybot, adaware en diverse virusscanners keken er ook overheen, cwsshredder hielp evenmin.
    Weet iemand wat dat voor ding is en of ik wellicht nog verwante bestanden moet verwijderen (de tookbar is nu wel weg, maar je weet maar nooit)?
    De toolbar verwees zijn zoekacties overigens naar de zoeksite lop.com.

    Peter
  • Ik weet precies wat het is.
    Download HijackThis.
    Run het programma. Klik op scan, save log en sla het log op als een .txt bestand.
    Kopieer en plak de inhoud in je volgende bericht.
    Dan halen wij de sleutels eruit voor je.
  • Logfile of HijackThis v1.98.0
    Scan saved at 21:31:30, on 14-8-04
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\PROGRAM FILES\AVAST4\ASHSERV.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SBMX.EXE
    C:\WINDOWS\SYSTEM\RPCSS.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\PROGRAM FILES\AVAST4\ASHMAISV.EXE
    C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\WINDOWS\SYSTEM\INTERNAT.EXE
    C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS_LAST.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [SBMX] C:\WINDOWS\SYSTEM\sbmx.exe
    O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\AVAST4\ashmaisv.exe
    O4 - HKLM\..\Run: [warnflapplaykeep] C:\WINDOWS\Application Data\beep active warn flap\grim bash.exe
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [ICH Synth] eusexe.exe
    O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Avast4\ashServ.exe
    O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
    O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
    O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = Nl
    O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 62.251.0.6,62.251.0.7
  • De sleutel met grim bash.exe heb ik dus inmiddels al verwijderd, maar ik ben benieuwd of er nog meer bagger in zit.

    Peter
  • Deze had je al gefixt:
    O4 - HKLM\..\Run: [warnflapplaykeep] C:\WINDOWS\Application Data\beep active warn flap\grim bash.exe

    Oorzaak van jou probleem is dat je Messenger Plus geïnstalleerd hebt met sponsor.
  • [quote:ef4fe08c2d="M@rc"]Deze had je al gefixt:
    O4 - HKLM\..\Run: [warnflapplaykeep] C:\WINDOWS\Application Data\beep active warn flap\grim bash.exe

    Oorzaak van jou probleem is dat je Messenger Plus geïnstalleerd hebt met sponsor.[/quote:ef4fe08c2d]

    Dat klopt, maar ik had die versie al gedeïnstalleerd en opnieuw geïnstalleerd zonder sponsors. Daarbij werd dit dus niet verwijderd.
    Bij de speurtocht naar de oorzaak stuitte ik in het register in de HKCU\software\microsoft\windows\current version\internet settings\zonemap\domains (ik kan de volgorde verkeerd hebben) op een heleboel verwijzingen naar bijna 2.000 dubieuze sites (vnl. sex en gok).
    Ik neem aan dat ik die mag verwijderen. Kan ik die hele map domains in één keer verwijderen? of is er een progje waarmee ik die sleutels in één keer kan verwijderen? Het zijn er schat ik bijna 2000.

    Peter
  • Neen niet verwijderen. Dit zijn de websites met beperkte toegang.
    (in IE ook te bereiken via Interopties - tabblad Beveiliging - websites met beperkte toegang)
  • Dan laat ik ze dus lekker staan.

    Bedankt!

    Peter

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.