Vraag & Antwoord
Vreemde domains in het register
8 antwoorden
- Bij toeval ontdekte ik in het register in o.a.
HKEY-Users / S-1-5-21-38 etc. /.. /.. /.. / Current Version / Zone Map / Domains diverse namen, die door ons nimmer bezocht zijn en aangeduid als adult…. porno…. en met o.a. extensie .Ru met zich dragen.
Hele waslijsten met de meest vreemde namen en combinaties
[b:14ffc169cf]Is er sprake van een virus ? [/b:14ffc169cf] Hoe kan ik dit verwijderen . Mijn anti virusprogramma Microsoft Essentials en ADaware laten ze ongemoeid.
Ook Crapcleaner doet er niets mee.
Hieronder 'n Hijackthislogje .Misschien kan dit voor opheldering zorgen ?
Bij voorbaat enorm bedankt
Henk
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:56:22, on 2-12-2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft Security Essentials\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ICO.EXE
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Microsoft Security Essentials\msseces.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\lxcecoms.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [MSSE] "C:\Program Files\Microsoft Security Essentials\msseces.exe" -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/en
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.startpagina.nl
O15 - Trusted Zone: *.vaio-link.com
O15 - Trusted Zone: *.veldkamp2.nl
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase8460.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1247657777167
O16 - DPF: {B9F79165-A264-4C4A-A211-133A5E8D647F} (F-Secure Health Check 1.1) - http://download.sp.f-secure.com/hc/telfort/PCHC_customization_Telfort/fscax.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcecoms.exe
O23 - Service: VAIO Entertainment Aggregation and Control Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe
O23 - Service: VAIO Entertainment Task Scheduler - Sony Corporation - C:\Program Files\Sony\VAIO Entertainment\VzTaskScheduler.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment\VCSW\VCSW.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe
O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe
O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Program Files\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe
–
End of file - 8258 bytes - Dag Henk,
De sleutel waarover je spreekt is deze:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
Deze zijn niet noodzakelijk kwaadaardig.
Alles hangt er vanaf hoe ze verder gedefinieerd zijn.
De mogelijkheden zijn deze:
dword:00000000 : in de zone Deze computer
dword:00000001 : in de zone van het Lokaal intranet
dword:00000002 : in de zone van de Vertrouwde websites
dword:00000003 : in de zone van het Internet
dword:00000004 : in de zone van Websites met beperkte toegang.
Als het gaat om foutieve sites, dan moeten ze zitten in de zone van Websites met beperkte toegang en moet de dword waarde dit zijn: 00000004
Sommige securityprogramma's voegen deze toe aan het register om bescherming te bieden.
Ik vermoed dat bij jou de sleutels een dword waarde hebben van 00000004 .
Anders moesten ze verschijnen in een hijackthislog als een O15 sleutel.
Logje ziet er goed uit, vertoont geen sporen van malware. - Hallo Marc,
Leuk weer van je te horen en bedankt voor je reactie.
1. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
[b:2699042dab]Inderdaad komen de bedoelde domains (zo'n 50 stuks ) voor met een D-word waarde van 00000004[/b:2699042dab]
Dat gezegd hebbende begrijp ik nu niet goed of ze nu wèl of niet fout zijn ?
2.
Ik kom dezelfde rij weer tegen in :
HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains etc…. en vervolgens:
3.
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap\Domains etc…. en vervolgens:
4.
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap\Domains etc…. en vervolgens:
5.
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap\Domains etc…. en vervolgens:
6.
HKEY_USERS\S-1-5-21\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap\Domains etc….
Zoals je ziet komen ze 6 x voor in het register .
Kan ik ze hieruit verwijderen of gooi ik misschien met het badwater het kind overboord ? ….. of
laten staan en niet aan storen ?
Ik hoor graag
Henk - Dat zijn ze ok Henk, je kan ze rustig allen laten staan.
- Top,
Bedankt , het ga je goed !
Henk - Graag gedaan Henk.
- Een nagekomen berichtje, dat ik jullie niet wilde onthouden.
Wat zoals mij later zou blijken, met het installeren van explorer 8 werd de laptop steeds trager. En ging ik op zoek ( google ) naar lotgenoten
citaat:
Re: internet explorer 8 werkt heel traag
——————————————————————————–
Sinds van de week start IE-8 razendsnel op,na het verwijderen van Websites met beperkte Toegang.
Nou kreeg ik die tip van iemand die in heel PC land,ook in andere landen zijn kennis op Forums uitdraagd.
Eerst was ik huiverig om ook SpywareBlaster te verwijderen,maar ik had tenslotte nog wel mijn Hostbestand.
Nu kreeg ik een nieuwsbrief van schoonepc.nl waar deze theorie gewoon klopt.
Dit schreef Menno Schoone.
Wat als Internet Explorer 8 niet vooruit te branden is…
Terwijl inmiddels een groot publiek de vernieuwde Internet Explorer weet te waarderen, zijn er ook wat minder positieve geluiden te horen. Op sommige computers blijkt IE8 namelijk bijzonder traag op te starten. Er kunnen verschillende oorzaken aan dit probleem ten grondslag liggen. Zoveel zelfs dat het onmogelijk is om ze hier allemaal uitgebreid te behandelen. Met de volgende twee tips blijkt het probleem echter in veel gevallen al opgelost, reden genoeg dus om ze eerst uit te proberen.
Een van de mogelijke oorzaken van de vertraging is de installatie van incompatible (niet voor IE8 geschikte) invoegtoepassingen. Dit probleem is (net als vele andere IE-gerelateerde problemen) eenvoudig op te lossen door Internet Explorer te resetten (via Extra, Internetopties, tabblad Geavanceerd, knop Opnieuw instellen). Vervolgens is het wel noodzakelijk de persoonlijke instellingen (zoals de startpagina) opnieuw af te stellen en afhankelijk van de persoonlijke wensen wellicht nog een aantal invoegtoepassingen opnieuw te activeren (via Extra, Invoegtoepassingen beheren).
Ook beveiligingssoftware (zoals Spybot S&D) kan traagheid bij het openen van Internet Explorer veroorzaken wanneer ze 'foute' websites (bijvoorbeeld websites met malware) toevoegen aan de zone Websites met beperkte toegang (Extra, Internetopties, tabblad Beveiliging). Blijkbaar kan IE8 er niet goed mee overweg wanneer er websites aan deze zone worden toegevoegd. Dit probleem zou wellicht kunnen worden opgelost door de toegevoegde websites weer te verwijderen. Dit gaat het makkelijkst door met de registereditor de volgende registersleutels te verwijderen (indien aanwezig):
Wel eerst even een backup maken van het register !!
HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains
HKLM\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains
HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Ranges
HKLM\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Ranges
HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\EscDomains
Wellicht wordt door deze registeraanpassing de snelheid van Internet Explorer 8 verbeterd, de kans bestaat echter dat de software de registersleutels automatisch weer terugplaatst. Komt het probleem terug, dan is het verstandiger de probleemveroorzakende software in zijn geheel te verwijderen…
TIP: Wordt gebruik gemaakt van een aangepast HOSTS-bestand dan is het maar de vraag of het gebruik van de zone Websites met beperkte toegang wel zinvol is. Door de betreffende 'foute' websites aan het HOSTS-bestand toe te voegen, zijn ze namelijk eenvoudig te weren.
Einde citaat….
Moraal van dit verhaal, ik kwam al de "foute websites" tegen in het schermpje bij website met beperkte toegang.
Na alles hieruit en uit het register verwijderd te hebben, is de pc beduidend sneller.
Marc had gelijk, dat bij het installeren van een antivirus programma, deze vreemde websites vermoedelijk zijn meegekomen "ter bescherming", maar hadden toch ook een vertragende werking.
Dat wilde ik nog even kwijt
gr. Henk[b:e777bd800a][/b:e777bd800a] - Hallo Henk, je hebt Lavasofts AdAware in je systeem met een "aktieve" AAWatch.
Actief is een groot woord, er wordt geen actie ondernomen tegen bedrijgingen, maar komt in actie - bijvooreeld als er verandering van IE worden bemerkt!
Dan probeert de AAWatch zzoveel mogelijk van IE7 te herstellen!
Gevolg een IE8 met gebreken!
Deïnstalleer AdAware en IE8 - herstart je PC en installeer IE8 opnieuw!
Als vervanger voor AdAware kan je hte veel betere A-squared free 4.5 nemen!
[i:542d10f0b1][b:542d10f0b1]Download a-squared Free 4.5[/b:542d10f0b1][/i:542d10f0b1]
Beantwoord deze vraag
Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.
Gerelateerde vragen
- URL zonder extensie wil niet helemaal lukken
- https verbinding met ssl in owncloud
- afspelen met audacity werkt niet goed
- Computer!Totaal-forum maakt plaats voor v&a-module
- computer start soms niet op
- Pro show gold 4 overgangen tussen tekstdia's
- wie kan mij meer vertellen over een Gigabyte GA-B85M-HD3
- Windows Tijdelijke bestanden