Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

ongewenste link

jan1
26 antwoorden
  • Wij hebben een ongewenste link in de computer staan die we niet wegkrijgen. Geschiedenis wissen helpt niet. Wie kan mij helpen?
  • Iets meer informatie graag. Welke Windows gebruik je? XP? Gebruik dan eens Hitman ( www.hitmanpro.nl ) om spyware te verwijderen.
  • Ik gebruik Windows XP maar met beperkte bevoegheden want laptop is van het werk. Mijn zoon heeft er iets mee gedaan maar heb geen idee wat. Ik heb zoals ik al zei beperkte mogelijkheden want er is een systeembeheerder met wachtwoord op de computer.
  • Je moet dan echt inloggen als administrator om iets voormekaar zien te krijgen!
  • Kan je in ieder geval de ongewenste link geven?
    Meestal kan je van daaruit afleiden om welke infectie het gaat..
  • http://www.platinumfreegallery.com/host.html?q=/G/GCM/13494/picture/01/gayclosetmovies01/1/0/0//
  • Hmm, http://www.platinumfreegallery.com/ daar kun je je blijkbaar aanmelden om XXX-gerelateerde produkten te kunnen bekijken

    Vaak bezorgt het bezoeken van dergelijke sites je veel problemen met browserhijackers e.d.

    Plaats eventueel een HijackThis log, dan kunnen we kijken om welke malware het gaat. Download HijackThis hier.

    Meer lezen over het installeren en het gebruik van HijackThis klik hier

    vr.gr.smeenk
  • Logfile of HijackThis v1.99.1
    Scan saved at 13:03:53, on 5-5-2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
    C:\Program Files\Toshiba\Toshiba Applet\TMEPROP.exe
    C:\Program Files\Toshiba\Toshiba Applet\tpwrsave.exe
    C:\Program Files\Apoint2K\Apoint.exe
    C:\WINDOWS\PRINTKEY2000.EXE
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\cdfoon\cdftray.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
    E:\HijackThis.exe

    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
    O4 - HKLM\..\Run: [TMEPROP] C:\Program Files\Toshiba\Toshiba Applet\TMEPROP.exe -S
    O4 - HKLM\..\Run: [TPWRSAVE] C:\Program Files\Toshiba\Toshiba Applet\tpwrsave.exe -S
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [PRINTKEY2000] C:\WINDOWS\PRINTKEY2000.EXE
    O4 - HKLM\..\Run: [CertStoreInit] C:\WINDOWS\System32\CertStoreInit
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [CDFoon System-Tray] C:\cdfoon\cdftray.exe
    O4 - Global Startup: Bluetooth Manager.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: PC Health.lnk = C:\Program Files\TOSHIBA\TOSHIBA Management Console\TOSHealthLocalS.vbs
    O4 - Global Startup: VPN Dialer (OnStartup).lnk = ?
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O16 - DPF: {5CBF8C22-E9A6-11D7-90FE-000AE4012DB4} - http://a0e6.ffx23wl.nl/plugins/nl/aff.emakesv.cab
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = einstein.local
    O17 - HKLM\Software\..\Telephony: DomainName = einstein.local
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = einstein.local
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = einstein.local
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = einstein.local
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ConnTrans Service - Unknown owner - C:\Program Files\SAP\Mobile\bin\ConnTransService.exe (file missing)
    O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
    O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\System32\eTSrv.exe
    O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing)
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
  • Download en installeer CCleaner.
    Gebruik het programma nog niet.

    Zorg dat alle verborgen bestanden weergegeven worden.

    Start de computer in veilige modus.

    Zorg dat je geen verbinding met het internet hebt.

    Sluit alle vensters, run HijackThis nog een keer en laat volgende items repareren:

    [b:3936cfb2d1]R3 - Default URLSearchHook is missing
    O4 - Global Startup: VPN Dialer (OnStartup).lnk = ?
    O16 - DPF: {5CBF8C22-E9A6-11D7-90FE-000AE4012DB4} - http://a0e6.ffx23wl.nl/plugins/nl/aff.emakesv.cab
    O23 - Service: ConnTrans Service - Unknown owner - C:\Program Files\SAP\Mobile\bin\ConnTransService.exe (file missing)[/b:3936cfb2d1]

    Onderstaande regels zijn waarschijnlijk van een netwerk of van je internetprovider, maar omdat je ook besmet bent met een dialer(Trojan.Win32.Dialer.cp) zou het ook daarmee verband kunnen houden. Als je dit domein niet herkent mag je deze regels ook fixen met HijackThis

    [b:3936cfb2d1]O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = einstein.local
    O17 - HKLM\Software\..\Telephony: DomainName = einstein.local
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = einstein.local
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = einstein.local
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = einstein.local[/b:3936cfb2d1]

    Over onderstaande regel bestaat ook nog onduidelijkheid, weet je zelf wat het is, eventueel een online scan doen met http://virusscan.jotti.org voor deze map: [b:3936cfb2d1]C:\WINDOWS\System32\CertStoreInit[/b:3936cfb2d1]

    Indien het malware is ook deze regel verwijderen met hijackthis:
    [b:3936cfb2d1]O4 - HKLM\..\Run: [CertStoreInit] C:\WINDOWS\System32\CertStoreInit[/b:3936cfb2d1]

    probeer met je verkenner het volgende bestand te vinden en verwijder deze (indien dit malware is)
    [b:3936cfb2d1]C:\WINDOWS\System32\CertStoreInit[/b:3936cfb2d1]

    Maak je Temp-map leeg: Start – Uitvoeren tik in: %TEMP%. Selecteer alle bestanden en verwijder ze.

    Ledig de map met Tijdelijke internetbestanden: Ga naar Configuratiescherm – Internetopties – tabblad Algemeen – klik bij Tijdelijke internetbestanden op Bestanden Verwijderen.

    Herstel je webinstellingen: ga naar Configuratiescherm – Internetopties – tabblad Programma’s. Klik op de knop Webinstellingen herstellen.

    Start Ccleaner en klik op de knop "Opschonen".

    Reboot de computer nu in normale modus. Run HijackThis opnieuw en post een nieuwe log.

    vr.gr.smeenk :wink:

    [edit] Aangepast na aanvullingen door steggel [/edit]
  • De volgende regel [b:3ff6b651c3]niet[/b:3ff6b651c3] met hijackthis laten fixen:
    [b:3ff6b651c3]
    O23 - Service: Remote Administrator Service (r_server) - Unknown
    owner - C:\WINDOWS\System32\r_server.exe" /service (file missing) [/b:3ff6b651c3]

    De melding "file missing" is hier een bug van hijackthis.
    Het is een legitime service.

    Zie hier: http://castlecops.com/o23list-172.html

    Sjaak
  • Wat weet je van CertStoreInit

    O4 - HKLM\..\Run: [CertStoreInit] C:\WINDOWS\System32\CertStoreInit

    Volgens mij is dit een legaal product. Iets met Certificaten?

    ConnTrans hoort bij SAP.
    O23 - Service: ConnTrans Service - Unknown owner - C:\Program Files\SAP\Mobile\bin\ConnTransService.exe (file missing)

    Dat hier ook als (file missing) staat wil nog niet zeggen dat deze gefixt moet worden. Zeker als het om een laptop van de werkgever gaat.
    Dus ook staan laten.

    Sjaak
  • Logfile of HijackThis v1.99.1
    Scan saved at 15:40:54, on 5-5-2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
    C:\Program Files\Toshiba\Toshiba Applet\TMEPROP.exe
    C:\Program Files\Toshiba\Toshiba Applet\tpwrsave.exe
    C:\Program Files\Apoint2K\Apoint.exe
    C:\WINDOWS\PRINTKEY2000.EXE
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\cdfoon\cdftray.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    E:\HijackThis.exe
    C:\WINDOWS\system32\userinit.exe

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
    O4 - HKLM\..\Run: [TMEPROP] C:\Program Files\Toshiba\Toshiba Applet\TMEPROP.exe -S
    O4 - HKLM\..\Run: [TPWRSAVE] C:\Program Files\Toshiba\Toshiba Applet\tpwrsave.exe -S
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [PRINTKEY2000] C:\WINDOWS\PRINTKEY2000.EXE
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [CDFoon System-Tray] C:\cdfoon\cdftray.exe
    O4 - Global Startup: Bluetooth Manager.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: PC Health.lnk = C:\Program Files\TOSHIBA\TOSHIBA Management Console\TOSHealthLocalS.vbs
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = einstein.local
    O17 - HKLM\Software\..\Telephony: DomainName = einstein.local
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = einstein.local
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = einstein.local
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = einstein.local
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ConnTrans Service - Unknown owner - C:\Program Files\SAP\Mobile\bin\ConnTransService.exe (file missing)
    O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
    O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\System32\eTSrv.exe
    O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing)
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
  • Het log lijkt weer schoon te zijn,

    Zijn er nog problemen, test enkele progamma's of ze nog goed werken

    Je zou je virusdefinities kunnen updaten en het hele systeem kunnen scannen. Ook zou je spybot of ad-aware kunnen downloaden en daar ook het systeem mee controleren (ook deze progamma's even updaten)

    vr.gr.smeenk
  • Alles werkt nog maar er verandert niets heb al gescand met adaware. Wat moet ik nu?
  • Wanneer verschijnt de link?
  • als je in internet explorer zit dan heb je de adresbalk. De link komt dan in beeld als je de p intoest. Ook verschijnt de link bij run als je de w, de p en de h intoetst. Daarnaast staat de link in de geschiedenis als je op zoeken drukt. Hoe krijg ik dat weg zonder aan te moeten melden als administrator.
  • Als je voldoende rechten hebt om dit te doen:

    Download en installeer CCleaner.
    Start Ccleaner en klik op de knop 'opschonen'.
    Zorg wel dat Internet explorer afgesloten is al je CCleaner runt.

    edit: in het register (als je voldoende rechten hebt) staan ze als genummerde url's in: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs
  • Ooooh,

    Verwijder de geschiedenis van Internet Explorer.
    Extra -> Internet Opties… en klik op "Geschiedenis wissen".

    Klik ook in het midden bij Tijdelijke Internet-bestanden op "Bestanden verwijderen…".

    Sjaak
  • geschiedenis wissen werkt niet
  • Probeer het eens in de veilige mode.
    Op mijn systeem hoef ik dan geen wachtwoord in te geven en ben dan admin.

    Sjaak

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.