Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Sex-popup and Hijacklog

None
32 antwoorden
  • Al Ad-Aware en Spybot gedraaid. Veel verwijderd, maar de sex-popup komt hardnekkig terug.
    Wie zou dit Hijack-logje even willen nalopen?
    Ik vertrouw RO en O16 niet.

    Logfile of HijackThis v1.98.2
    Scan saved at 10:21:38, on 19-10-2004
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v5.00 (5.00.2614.3500)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\SPOOL32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\WINDOWS\RunDLL.exe
    C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    D:\HIJJACKTHIS\HIJACKTH.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yohoo.com.br/homepage.asp
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
    O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
    O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
    O4 - Startup: Microsoft Office Shortcut Bar.Lnk = D:\Office\MSOFFICE.EXE
    O4 - Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O4 - Startup: F-STOPW.lnk = C:\Program Files\FSI\F-StopW\F-STOPW.exe
    O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe
  • Perloc,
    Je hebt toch CWShredder. Run dat even. Je hebt gelijk de 2 sleutels deugen niet.
    En zet toch SpywareBlaster op je PC. Dan komt niet alles binnen..

    groetjes
    Falco
  • Waarom krijg ik virusmeldingen als ik deze thread open:

    Exploit-mhtredir-gen?

    Peter.
  • Komt doordat hier register-sleutels vermeld worden die schadelijk zijn voor je pc, [b:d0165bb589]als je ze zelf hebt[/b:d0165bb589], maar dat is niet zo, dus maak je geen zorgen.
  • OK, bedankt, ik snap 'm.
  • Ga naar start -> uitvoeren -> tik in [b:ce66bf4506]msconfig[/b:ce66bf4506] -> ok -> tabblad opstarten -> klik op [b:ce66bf4506]alles inschakelen[/b:ce66bf4506] -> toepassen -> ok

    Als hij vraagt om te herstarten dan herstart je de pc en daarna plaats je een nieuwe hijackthislog, even kijken of cwshredder geholpen heeft. :wink:
  • Wat doet die meneer P. Sanders hier?

    Falconetti:
    Ik heb alle spyware killers gedraaid die ik kon vinden o.a.
    -Ad Adware
    -Spybot
    -CWShredder
    -Spyblaster
    -Spy doctor
    Die dokter heeft er nog twee uitgehaald maar helaas niet degene die ik er in eerste instantie uit wilde hebben, die sex-popup, onmiddelijk als ik W98 heb opgestart.
    Uiteindelijk besloten om een vorig jaar gemaakt DI terug te zetten die toen zeker niet deze sex toestand had.
    En wat kwam vrolijk op nadat de zaak was teruggezet? Juist, die sex-popup.
    De fysieke HD is verdeeld in 5 partitie's, C,D voor Win98 en E,F en G voor Win XP. Daar, in XP, komt die sex-popup niet voor.
    (Tussen twee haakjes, dit is niet mijn eigen computer waar dit voorkomt, die heeft alleen maar dat inbelscherm dat opkomt, maar een computer op mijn werk) Dus het lijkt erop dat de link ergens van de D drive vandaan komt.
    Ik denk dat ik alle data save, de 2 partitie's C,D format, Win98 installeer en stukje bij beetje de data terugzet en controleer wanneer die popup weer verschijnt. How about that!

    Groet, perloc
  • Post even een nieuwe hjt log
  • pcguy, hier komt ie!
    Volgens mij is er iets mis met de nummers 03 en de nummers 09.
    Maar ik ben geen expert!
    Dank voor nakijken en reactie.
    perloc

    Logfile of HijackThis v1.98.2
    Scan saved at 8:33:31, on 22-10-2004
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v5.00 (5.00.2614.3500)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\SPOOL32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\WINDOWS\RunDLL.exe
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
    C:\PROGRAM FILES\IOMEGA\TOOLS\IMGICON.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\WINDOWS\SYSTEM\TAPISRV.EXE
    C:\WINDOWS\SYSTEM\RNAAPP.EXE
    C:\WINDOWS\SYSTEM\PSTORES.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    E:\SPYWARE\HIJJACKTHIS\HIJACKTH.EXE

    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
    O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
    O4 - Startup: Microsoft Office Shortcut Bar.lnk = E:\Office\MSOFFICE.EXE
    O4 - Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O4 - Startup: Iomega Watch.lnk = C:\Program Files\Iomega\Tools\IOWATCH.EXE
    O4 - Startup: F-STOPW.lnk = C:\Program Files\FSI\F-StopW\F-STOPW.exe
    O4 - Startup: Iomega Startup Options.lnk = C:\Program Files\Iomega\Tools\IMGSTART.EXE
    O4 - Startup: Iomega Disk Icons.lnk = C:\Program Files\Iomega\Tools\IMGICON.EXE
    O4 - Startup: Refresh.lnk = C:\Program Files\Iomega\Tools\REFRESH.EXE
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
  • Deze twee mag je laten fixen, is alexa.
    [list:a4454df4b1][b:a4454df4b1]O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm[/b:a4454df4b1][/list:u:a4454df4b1]

    Daarna deze file verwijderen:
    [list:a4454df4b1]C:\WINDOWS\web\[b:a4454df4b1]related.htm[/b:a4454df4b1][/list:u:a4454df4b1]

    Verder zie ik echt niks illegaals in de log.
  • Dank je pcguy.
    Dat wordt dus maandag, want nu is het vrijdag-avond en het is een computer op mijn werk. (Groot ziekenhuis)

    Groet, perloc
  • En download meteen de nieuwste Internet Explorer 6 SP1, 5.00 is wel heel erg antiek
  • Heel erg antiek, maar wel de standaard op Win98 he :roll:
  • [quote:9b09978a5f="turbo-pascal"]Heel erg antiek, maar wel de standaard op Win98 he :roll:[/quote:9b09978a5f]

    Maar veiligheid voor alles toch? :roll:
  • Ga niet mutsen over IE, het is niet veilig en dat zal het ook nooit worden. 6 is alleen iets minder brak als 5 (Maar nog steeds brak)

    als je een goede browser wil kijk dan naar firefox (www.mozilla.org

    of opera, www.opera.com
  • Hoi Perloc,

    1-Wat P. Sanders in jou vraag doet/deed, dat weet ik niet. Het gebeurd op deze forum vaker dat iemand in andermans vraag, met eigen vraag tussenkomt.

    2-Ik vroeg naar SpywareBlaster (niet Spyblaster) omdat in jou vorige vraag/topic jij geen zin had om programma’s te instaleren dat op achtergrond beschermen.

    3-Dat jou privé computer nog steeds dat inbelscherm krijgt heeft te maken met een van je programma’s in je opstart groep. Dat heb ik al eerder gezegd. Het kan dat klok programma zijn maar ook bijv. je antivirus, firewall of anders. Een van je opstart programma’s is zo ingesteld dat deze naar updates zoekt (zoekt voor internet verbinding). Dat moet je zelf uitzoeken. Op afstand kan niemand zien de instellingen van je programma’s.

    4-Je problemen met deze PC (op het werk dus): Pcguy heeft je aangegeven wat moet verwijderd worden. Aangezien je schrijft dat zelfs na terugzetten van het systeem, de sex-popup opstart, het lijk me verstandig om een en ander in veilige modus te verwijderen. Mogelijk start dat sex-popup gelijk op met de PC. Dus in veilige modus is makkelijker te verwijderen.

    5-Wat betreft het commentaar op je IE versie: Je gebruikt ook XP dus daar zou je wel IE 6 hebben. Je hebt wel bij W98 een wat oudere versie van IE (5.0) maar overstappen naar IE 6 op W98 is niet verstandig. IE 6 geeft met W98 en ME vaak problemen, vooral vastlopers. Je zou kunnen overwegen om IE 5,5 op W98 te gebruiken (nog wel te vinden op internet). Vervolgens de SP2 voor IE 5,5 downloaden van Microsoft. IE 5,5 met SP2 (SP2 voor IE 5,5 en niet voor XP!) is net zo goed beveiligd als IE 6. Bovendien de Service Pack 2 voor IE 5,5 heeft nog een groot voordeel = bij een beschadigde internet verbinding, je kan IE 5,5 altijd repareren.

    groetjes
    Falco
  • Hoi Perloc,

    1-Wat P. Sanders in jou vraag doet/deed, dat weet ik niet. Het gebeurd op deze forum vaker dat iemand in andermans vraag, met eigen vraag tussenkomt.

    2-Ik vroeg naar SpywareBlaster (niet Spyblaster) omdat in jou vorige vraag/topic jij geen zin had om programma’s te instaleren dat op achtergrond beschermen.

    3-Dat jou privé computer nog steeds dat inbelscherm krijgt heeft te maken met een van je programma’s in je opstart groep. Dat heb ik al eerder gezegd. Het kan dat klok programma zijn maar ook bijv. je antivirus, firewall of anders. Een van je opstart programma’s is zo ingesteld dat deze naar updates zoekt (zoekt voor internet verbinding). Dat moet je zelf uitzoeken. Op afstand kan niemand zien de instellingen van je programma’s.

    4-Je problemen met deze PC (op het werk dus): Pcguy heeft je aangegeven wat moet verwijderd worden. Aangezien je schrijft dat zelfs na terugzetten van het systeem, de sex-popup opstart, het lijk me verstandig om een en ander in veilige modus te verwijderen. Mogelijk start dat sex-popup gelijk op met de PC. Dus in veilige modus is makkelijker te verwijderen.

    5-Wat betreft het commentaar op je IE versie: Je gebruikt ook XP dus daar zou je wel IE 6 hebben. Je hebt wel bij W98 een wat oudere versie van IE (5.0) maar overstappen naar IE 6 op W98 is niet verstandig. IE 6 geeft met W98 en ME vaak problemen, vooral vastlopers. Je zou kunnen overwegen om IE 5,5 op W98 te gebruiken (nog wel te vinden op internet). Vervolgens de SP2 voor IE 5,5 downloaden van Microsoft. IE 5,5 met SP2 (SP2 voor IE 5,5 en niet voor XP!) is net zo goed beveiligd als IE 6. Bovendien de Service Pack 2 voor IE 5,5 heeft nog een groot voordeel = bij een beschadigde internet verbinding, je kan IE 5,5 altijd repareren.

    groetjes
    Falco
  • Hai Falconetti. Ben ik weer.
    Zal je punten stuk voor stuk "behandelen".

    1. Die meneer Sanders zal wel op het verkeerde knoppie hebben gedrukt. Geeft niet hoor!

    2. Ik weet niet of Spyblaster bestaat maar ik heb in ieder geval SpyWareBlaster gebruikt. Schrijffoutje…

    3. Ik zal een bootlog maken van mijn computer maar ik betwijfel of ik daar iets in zal kunnen ontdekken -Dit in verband met dat inbelmenu-. In mijn mails zijn er een paar die dat inbelscherm oproepen. Vooral eentje uit Zuid Afrika, als ik die selecteer, roept het inbelscherm op. Notabene melden ze dat hun mail virusfree is!!

    4. De werkPC. Ik heb de 2 items van pcguy verwijderd, evenals de link in \windows
    et in de normale modus, want ik had je antwoord nog niet gelezen. Gecontroleerd met opnieuw een Hijacthis in zowel de veilige als de gewone opstartmodus. Niet meer aanwezig, die items, maar het sex popup is hardcore!! Nog steeds niet weg.
    Dat is wel een startup geval, want gelijk bij startup probeert die sex je verbinding te laten maken. Dus ik zal daar (morgen) ook een bootlog van draaien, mogelijk kan ik daar uitvinden wat de oorzaak is van dit persisteren van die sex. Kom daar nog op terug. Als ultime mogelijkheid zie ik om de data van de D: drive (datadrive van Wim)98 te safen, disk D: schoon te formatten en stukje bij beetje de data weer terug te zetten. Kijken hoe dat afloopt.

    5. Op jou advies en gezag zal ik IE5.5 opzoeken, downloaden en installeren. Heb IE6 wel gedownload vanmorgen vroeg (duurde twee uur en ben om 4.30 begonnen en heb alle cab files voor Win98) maar nog nergens geïnstalleerd.
    Windows XP hebben we maar op één computer bij ons, degene waar ook Win98 op staat met dat sex-schandaal. De rest heeft allemaal Win98SE, om een bepaalde reden (als je geïnteresseerd bent…) en een enkele Win2000 (Prof).

    Dank zover voor hulp.
    perloc
  • Vergat te melden dat ik vanmorgen bij het openen van de (werk)computer een melding kreeg van mijn virusscanner dat in de root, "C:\maxprotector.exe probable could be infected with an unknown virus".
    Weet iemand wat die maxproctector is? Kan die van een van de spy-ware checkers zijn?
    perloc
  • Ik ben nu misschien wat korter: ik ben moe, heb bijna de hele dag PC’s op zitten te knappen en nog een verjaardag erbij vanavond.

    1-O.K.
    2-Sorry, was schrijffoutje van mij… :oops:
    3-Jou privé PC: ik weet niet als je/we verder komen met een bootlog. Ik vermoed nog steeds dat 1 van de programma’s zo is ingesteld dat verbinding met internet gaat zoeken. Dat met e-mails: op de enige PC dat ik op telefoon lijn heb (gaat aan: 1x/week voor 5 minuten) heb ik hetzelfde als een e-mail tussen zit met zo’n inbel script. Dat is dus geen virus! Het is een script dat verbinding zoekt.
    4-Heeft dat sex-popup ook een naam? Kun je wel een lijst geven ALLEEN van je opstart groep? Dus wat aangevinkt staat in “msconfig” opstart lijst? Of misschien kun je een lijst geven van het mapje Program files?
    5-IE 5.5: als je het niet kan vinden, ik heb wel links voor deze. De SP2 voor IE 5,5 is nog te downen bij Microsoft. Kan de XP versie ook op internet? Daar zit wel IE 6 standaard erop. Win 2000 is de beste! Veel mensen gebruiken XP maar je kon niet anders = op bijna iedere nieuwe PC zit XP op. Als je kijkt bij Microsoft, XP is de versie met de meeste lekken/updates. Het is toch niet voor niets dat alle goede top bedrijven en banken op Win 2000 draaien.
    6-Maxprotector: ik kon niets vinden. Helaas.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.