Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Vreemde domains in het register

Anoniem
henk80
8 antwoorden
  • Bij toeval ontdekte ik in het register in o.a.
    HKEY-Users / S-1-5-21-38 etc. /.. /.. /.. / Current Version / Zone Map / Domains diverse namen, die door ons nimmer bezocht zijn en aangeduid als adult…. porno…. en met o.a. extensie .Ru met zich dragen.
    Hele waslijsten met de meest vreemde namen en combinaties
    [b:14ffc169cf]Is er sprake van een virus ? [/b:14ffc169cf] Hoe kan ik dit verwijderen . Mijn anti virusprogramma Microsoft Essentials en ADaware laten ze ongemoeid.
    Ook Crapcleaner doet er niets mee.

    Hieronder 'n Hijackthislogje .Misschien kan dit voor opheldering zorgen ?

    Bij voorbaat enorm bedankt

    Henk

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 10:56:22, on 2-12-2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16915)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Microsoft Security Essentials\MsMpEng.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Apoint\Apoint.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\system32\ICO.EXE
    C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
    C:\Program Files\Logitech\MouseWare\system\em_exec.exe
    C:\Program Files\Microsoft Security Essentials\msseces.exe
    C:\Program Files\Apoint\Apntex.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\lxcecoms.exe
    C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
    O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
    O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
    O4 - HKLM\..\Run: [MSSE] "C:\Program Files\Microsoft Security Essentials\msseces.exe" -hide
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
    O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/en
    O15 - Trusted Zone: *.sony-europe.com
    O15 - Trusted Zone: *.sonystyle-europe.com
    O15 - Trusted Zone: *.startpagina.nl
    O15 - Trusted Zone: *.vaio-link.com
    O15 - Trusted Zone: *.veldkamp2.nl
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com
    esource/download/scanner/wlscbase8460.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1247657777167
    O16 - DPF: {B9F79165-A264-4C4A-A211-133A5E8D647F} (F-Secure Health Check 1.1) - http://download.sp.f-secure.com/hc/telfort/PCHC_customization_Telfort/fscax.cab
    O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
    O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcecoms.exe
    O23 - Service: VAIO Entertainment Aggregation and Control Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe
    O23 - Service: VAIO Entertainment Task Scheduler - Sony Corporation - C:\Program Files\Sony\VAIO Entertainment\VzTaskScheduler.exe
    O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
    O23 - Service: VAIO Entertainment UPnP Client Adapter - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment\VCSW\VCSW.exe
    O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\VMISrv.exe
    O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe
    O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
    O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe
    O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Program Files\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe


    End of file - 8258 bytes
  • Dag Henk,

    De sleutel waarover je spreekt is deze:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
    Deze zijn niet noodzakelijk kwaadaardig.
    Alles hangt er vanaf hoe ze verder gedefinieerd zijn.
    De mogelijkheden zijn deze:
    dword:00000000 : in de zone Deze computer
    dword:00000001 : in de zone van het Lokaal intranet
    dword:00000002 : in de zone van de Vertrouwde websites
    dword:00000003 : in de zone van het Internet
    dword:00000004 : in de zone van Websites met beperkte toegang.


    Als het gaat om foutieve sites, dan moeten ze zitten in de zone van Websites met beperkte toegang en moet de dword waarde dit zijn: 00000004
    Sommige securityprogramma's voegen deze toe aan het register om bescherming te bieden.

    Ik vermoed dat bij jou de sleutels een dword waarde hebben van 00000004 .
    Anders moesten ze verschijnen in een hijackthislog als een O15 sleutel.

    Logje ziet er goed uit, vertoont geen sporen van malware.
  • Hallo Marc,

    Leuk weer van je te horen en bedankt voor je reactie.

    1. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
    [b:2699042dab]Inderdaad komen de bedoelde domains (zo'n 50 stuks ) voor met een D-word waarde van 00000004[/b:2699042dab]
    Dat gezegd hebbende begrijp ik nu niet goed of ze nu wèl of niet fout zijn ?
    2.
    Ik kom dezelfde rij weer tegen in :
    HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains etc…. en vervolgens:
    3.
    HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap\Domains etc…. en vervolgens:
    4.
    HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap\Domains etc…. en vervolgens:
    5.
    HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap\Domains etc…. en vervolgens:
    6.
    HKEY_USERS\S-1-5-21\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap\Domains etc….

    Zoals je ziet komen ze 6 x voor in het register .

    Kan ik ze hieruit verwijderen of gooi ik misschien met het badwater het kind overboord ? ….. of
    laten staan en niet aan storen ?

    Ik hoor graag

    Henk



  • Dat zijn ze ok Henk, je kan ze rustig allen laten staan.
  • Top,

    Bedankt , het ga je goed !

    Henk
  • Graag gedaan Henk.
  • Een nagekomen berichtje, dat ik jullie niet wilde onthouden.
    Wat zoals mij later zou blijken, met het installeren van explorer 8 werd de laptop steeds trager. En ging ik op zoek ( google ) naar lotgenoten

    citaat:
    Re: internet explorer 8 werkt heel traag

    ——————————————————————————–

    Sinds van de week start IE-8 razendsnel op,na het verwijderen van Websites met beperkte Toegang.
    Nou kreeg ik die tip van iemand die in heel PC land,ook in andere landen zijn kennis op Forums uitdraagd.
    Eerst was ik huiverig om ook SpywareBlaster te verwijderen,maar ik had tenslotte nog wel mijn Hostbestand.

    Nu kreeg ik een nieuwsbrief van schoonepc.nl waar deze theorie gewoon klopt.
    Dit schreef Menno Schoone.
    Wat als Internet Explorer 8 niet vooruit te branden is…
    Terwijl inmiddels een groot publiek de vernieuwde Internet Explorer weet te waarderen, zijn er ook wat minder positieve geluiden te horen. Op sommige computers blijkt IE8 namelijk bijzonder traag op te starten. Er kunnen verschillende oorzaken aan dit probleem ten grondslag liggen. Zoveel zelfs dat het onmogelijk is om ze hier allemaal uitgebreid te behandelen. Met de volgende twee tips blijkt het probleem echter in veel gevallen al opgelost, reden genoeg dus om ze eerst uit te proberen.

    Een van de mogelijke oorzaken van de vertraging is de installatie van incompatible (niet voor IE8 geschikte) invoegtoepassingen. Dit probleem is (net als vele andere IE-gerelateerde problemen) eenvoudig op te lossen door Internet Explorer te resetten (via Extra, Internetopties, tabblad Geavanceerd, knop Opnieuw instellen). Vervolgens is het wel noodzakelijk de persoonlijke instellingen (zoals de startpagina) opnieuw af te stellen en afhankelijk van de persoonlijke wensen wellicht nog een aantal invoegtoepassingen opnieuw te activeren (via Extra, Invoegtoepassingen beheren).

    Ook beveiligingssoftware (zoals Spybot S&D) kan traagheid bij het openen van Internet Explorer veroorzaken wanneer ze 'foute' websites (bijvoorbeeld websites met malware) toevoegen aan de zone Websites met beperkte toegang (Extra, Internetopties, tabblad Beveiliging). Blijkbaar kan IE8 er niet goed mee overweg wanneer er websites aan deze zone worden toegevoegd. Dit probleem zou wellicht kunnen worden opgelost door de toegevoegde websites weer te verwijderen. Dit gaat het makkelijkst door met de registereditor de volgende registersleutels te verwijderen (indien aanwezig):

    Wel eerst even een backup maken van het register !!

    HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains
    HKLM\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains
    HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Ranges
    HKLM\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Ranges
    HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\EscDomains

    Wellicht wordt door deze registeraanpassing de snelheid van Internet Explorer 8 verbeterd, de kans bestaat echter dat de software de registersleutels automatisch weer terugplaatst. Komt het probleem terug, dan is het verstandiger de probleemveroorzakende software in zijn geheel te verwijderen…

    TIP: Wordt gebruik gemaakt van een aangepast HOSTS-bestand dan is het maar de vraag of het gebruik van de zone Websites met beperkte toegang wel zinvol is. Door de betreffende 'foute' websites aan het HOSTS-bestand toe te voegen, zijn ze namelijk eenvoudig te weren.

    Einde citaat….

    Moraal van dit verhaal, ik kwam al de "foute websites" tegen in het schermpje bij website met beperkte toegang.
    Na alles hieruit en uit het register verwijderd te hebben, is de pc beduidend sneller.
    Marc had gelijk, dat bij het installeren van een antivirus programma, deze vreemde websites vermoedelijk zijn meegekomen "ter bescherming", maar hadden toch ook een vertragende werking.

    Dat wilde ik nog even kwijt

    gr. Henk[b:e777bd800a][/b:e777bd800a]
  • Hallo Henk, je hebt Lavasofts AdAware in je systeem met een "aktieve" AAWatch.

    Actief is een groot woord, er wordt geen actie ondernomen tegen bedrijgingen, maar komt in actie - bijvooreeld als er verandering van IE worden bemerkt!

    Dan probeert de AAWatch zzoveel mogelijk van IE7 te herstellen!

    Gevolg een IE8 met gebreken!

    Deïnstalleer AdAware en IE8 - herstart je PC en installeer IE8 opnieuw!

    Als vervanger voor AdAware kan je hte veel betere A-squared free 4.5 nemen!

    [i:542d10f0b1][b:542d10f0b1]Download a-squared Free 4.5[/b:542d10f0b1][/i:542d10f0b1]

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.