Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Anders (internet)

SYSFADER bij openen ie explorer vreemde applicatie

sfinx
15 antwoorden
  • winxp:
    Als ik ie6.0 explorer opstart, zie ik in de taskmanager onder applications een programma "SYSFADER" bezig voor ongeveer 5 seconden voordat ik inlog bij mijn tiscali site.
    Wat doet dit programma en waar komt dat vandaan?
    Alles gescand met Norton av, ad-aware en spybot enz, en alles is ok.
    graag een info
    gr
  • als je op deze link: http://www.experts-exchange.com/Operating_Systems/WinXP/Q_20808952.html
    even doorscrollt naar beneden dan zie je hoe een ander deze trojan oploste.
  • Dus "sysfader" die 5 sec, runt is een Trojan?

    Die moet toch te vinden zijn met alle soorten hijack scanners.
    Op je gewezen link vind ik dit niet Derk
    gr
  • ik lees er dit:
    Well ultimately I've found the answer, and lo and behold it was a virus. It didn't have anything to do with the installation I did, however - it had seemingly been on my PC for almost a month without doing anything.

    The virus is a Trojan called 'Winshow'.

    In case anyone else comes across this problem, the solution is to use a program called Hijack This (freely available on the web) to rid your PC of it, although you may want to do it in safe mode where the thing can't run itself on startup.

    A better explanation of all this is here:

    http://www.computing.net/windows2000/wwwboard/forum/53645.html

    Specifically response 18. Apologies if a link to another help forum is not the done thing but it can explain it far better than I could.
  • Ok, Derk
    Heb in het Registery de volgende regel gevonden
    "Winshow.biz" onder hey keyenz. current user en dan onder "domains"
    is deze regel te vinden.
    Kan ik die deleten?
    Want winshow lijkt me wel een trojan
    gr
  • Download CWShredder.
    Start het programma, klik op de Fix-knop. Laat alles repareren wat gevonden wordt.
  • Ik heb dat gedaan met CWShredder fix en alles was CLEAN.

    Maar wat denk je van die regel in het register WINSHOW.biz M@rc
    gr
    Nico
  • Is CoolWebsearch volgens mij.
    Download HijackThis.
    Sla het bestand op in een eigen map. Niet op je bureaublad of in je Temp-files. HijackThis maak namelijk backups in de map waar het opgestart wordt.
    Run het programma. Klik op scan, save log en sla het log op als een .txt bestand.
    Kopieer en plak de inhoud in je volgende bericht.
  • Hier istie M@rc

    Logfile of HijackThis v1.97.7
    Scan saved at 21:42:52, on 4/13/2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
    C:\Program Files\Norton SystemWorks\Norton Antivirus
    avapsvc.exe
    C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
    C:\WINDOWS\System32
    vsvc32.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
    C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
    C:\Program Files\Analog Devices\SoundMAX\smax4.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe
    C:\Program Files\DU Meter\DUMeter.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Common Files\Logitech\CamDrvr\LVCOMS.EXE
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
    C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
    C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
    C:\Program Files\Armor2net\Armor2net Personal Firewall\Armor2net.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    E:\Hijack This\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webmail.tiscali.nl/mail/main?domain=tiscali.nl&style=tiscali_nld
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {8A321C7D-9CED-45A8-870D-DAE843A45FD0} - C:\Program Files\Armor2net\Armor2net Personal Firewall\PopUpKiller.dll
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
    O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\smax4.exe" /tray
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [AcctMgr] C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
    O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Common Files\Logitech\CamDrvr\LVCOMS.EXE
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
    O4 - HKLM\..\Run: [Acronis True Image Monitor] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
    O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
    O4 - HKLM\..\Run: [Armor2net] C:\Program Files\Armor2net\Armor2net Personal Firewall\Armor2net.exe
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
    O10 - Unknown file in Winsock LSP: c:\program files\armor2net\armor2net personal firewall
    etdog.dll
    O10 - Unknown file in Winsock LSP: c:\program files\armor2net\armor2net personal firewall
    etdog.dll
    O10 - Unknown file in Winsock LSP: c:\program files\armor2net\armor2net personal firewall
    etdog.dll
    O10 - Unknown file in Winsock LSP: c:\program files\armor2net\armor2net personal firewall
    etdog.dll
    O10 - Unknown file in Winsock LSP: c:\program files\armor2net\armor2net personal firewall
    etdog.dll
    O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
    O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1076593292234
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab






  • Log lijkt me schoon.
    Geef even de juiste locatie in het register van WINSHOW.biz als je wil.
  • Locatie is als volgt

    Hkey_users: HKEY_USERS\S-1-5-21-299502267-776561741-682003330-1003: Software: Microsoft: Windows: Currentversion: Zonemap: Domains:
    Winshow.

    en dan rechts staat dit:

    ab(default) reg_S2

    011 reg_dword 0x00000004(4)
    110

    Dit is het M@rc
  • [quote:0aadd72116="sfinx"]Locatie is als volgt

    HKEY_USERS\S-1-5-21-299502267-776561741-682003330-1003: Software: Microsoft: Windows: Currentversion: Zonemap: Domains:
    Winshow.

    en dan rechts staat dit:

    ab(default) reg_S2

    011 reg_dword 0x00000004(4)
    110

    Dit is het M@rc[/quote:0aadd72116] Even aangepast: HKEY_USERS eenmaal te veel
  • Winshow voegt dit toe aan het register:
    [code:1:b9138b99f5]HKEY_CLASSES_ROOT\clsid\{6cc1c918-ae8b-4373-a5b4-28ba1851e39a}
    HKEY_CLASSES_ROOT\clsid\{6cc1c91a-ae8b-4373-a5b4-28ba1851e39a}
    HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{6cc1c918-ae8b-4373-a5b4-28ba1851e39a}
    HKEY_CLASSES_ROOT\winlink.viewsource
    HKEY_CLASSES_ROOT\winlink.viewsource.1
    HKEY_CLASSES_ROOT\winshow.viewsource
    HKEY_CLASSES_ROOT\winshow.viewsource.1
    HKEY_CURRENT_USER\software\winshow
    HKEY_LOCAL_MACHINE\clsid\{6cc1c918-ae8b-4373-a5b4-28ba1851e39a}
    HKEY_LOCAL_MACHINE\software\classes\clsid\{6cc1c918-ae8b-4373-a5b4-28ba1851e39a}
    HKEY_LOCAL_MACHINE\software\classes\clsid\{6cc1c91a-ae8b-4373-a5b4-28ba1851e39a}
    HKEY_LOCAL_MACHINE\software\classes\winshow.viewsource
    HKEY_LOCAL_MACHINE\software\classes\winshow.viewsource.1
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6cc1c918-ae8b-4373-a5b4-28ba1851e39a}
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\winshow
    [/code:1:b9138b99f5]
    Die van jou staat er niet bij.
    Wat je kan doen is de betreffende sleutel eerst exporteren en opslaan als winshow.reg. (rechtsklik op de sleutel - exporteren) Sla hem op waar je hem makkelijk kan terug vinden.
    Nu kan je de winshow in het register veilig verwijderen.
    Mocht om de één of andere reden blijken dat die sleutel toch nodig is (wat ik betwijfel), dan kan je hem heel makkelijk weer terug plaatsen door er op te dubbelklikken. (Hou het reg-bestandje op zijn minst een paar dagen bij, je weet nooit.)

    Succes.
  • Ok, M@rc
    Ik ga dit uitvoeren, bedankt voor je moeite
    gr
    Nico
  • Graag gedaan. :wink:

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.