Allerlei popups om de minuut ongeveer

• 

  harry500

  11-07-2009 22:38

  Ik krijg ongeveer om de minuut of anderhalf een popup met telkens een andere naam

  zoals xtendmedia.com en avaxf .com hoop dat ik het goed schrijf want ze zijn ook weer meteen verdwenen

  hierbij mijn log

  Logfile of Trend Micro HijackThis v2.0.2

  Scan saved at 22:34:42, on 11-7-2009

  Platform: Windows XP SP3 (WinNT 5.01.2600)

  MSIE: Internet Explorer v8.00 (8.00.6001.18702)

  Boot mode: Normal

  Running processes:

  C:\WINDOWS\System32\smss.exe

  C:\WINDOWS\system32\winlogon.exe

  C:\WINDOWS\system32\services.exe

  C:\WINDOWS\system32\lsass.exe

  C:\WINDOWS\system32\svchost.exe

  C:\WINDOWS\System32\svchost.exe

  C:\WINDOWS\system32\svchost.exe

  C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

  C:\WINDOWS\system32\spoolsv.exe

  C:\Program Files\Creative\Shared Files\CTAudSvc.exe

  C:\WINDOWS\Explorer.EXE

  C:\WINDOWS\system32\ctfmon.exe

  C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe

  C:\WINDOWS\system32\CTsvcCDA.exe

  C:\Program Files\Creative\Shared Files\CTDevSrv.exe

  C:\Program Files\ESET\ESET Smart Security\ekrn.exe

  C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE

  C:\Program Files\Java\jre6\bin\jqs.exe

  C:\WINDOWS\system32\nvsvc32.exe

  C:\WINDOWS\system32\svchost.exe

  C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE

  C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe

  C:\Program Files\Internet Explorer\iexplore.exe

  C:\Program Files\Internet Explorer\iexplore.exe

  C:\Program Files\Internet Explorer\iexplore.exe

  C:\Program Files\ESET\ESET Smart Security\egui.exe

  C:\WINDOWS\system32\NOTEPAD.EXE

  C:\WINDOWS\system32\mspgw.exe

  C:\Program Files\Winamp\winamp.exe

  C:\Program Files\Internet Explorer\iexplore.exe

  C:\Program Files\Internet Explorer\iexplore.exe

  C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.missim.org/

  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.missim.org/

  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

  F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

  O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

  O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

  O2 - BHO: Aanmeldhulp voor Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

  O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

  O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

  O4 - HKLM\..\Run: RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

  O4 - HKLM\..\Run: nwiz.exe /install

  O4 - HKLM\..\Run: RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

  O4 - HKLM\..\Run: CTHELPER.EXE

  O4 - HKLM\..\Run: RTHDCPL.EXE

  O4 - HKLM\..\Run: ALCMTR.EXE

  O4 - HKLM\..\Run: C:\WINDOWS\system32\taskswitch.exe

  O4 - HKLM\..\Run: “C:\Program Files\Winamp\winampa.exe”

  O4 - HKLM\..\Run: “C:\Program Files\ESET\ESET Smart Security\egui.exe” /hide /waitservice

  O4 - HKLM\..\Run: CTXFIHLP.EXE

  O4 - HKLM\..\Run: C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

  O4 - HKLM\..\Run: “C:\Program Files\Java\jre6\bin\jusched.exe”

  O4 - HKLM\..\Run: “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe”

  O4 - HKLM\..\Run: C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe

  O4 - HKLM\..\Run: C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe

  O4 - HKLM\..\Run: “C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe”

  O4 - HKLM\..\Run: C:\WINDOWS\system32\mspgw.exe

  O4 - HKLM\..\Run: rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

  O4 - HKLM\..\RunOnce: C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

  O4 - HKLM\..\RunOnce: “C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe” /runcleanupscript

  O4 - HKCU\..\Run: C:\WINDOWS\system32\ctfmon.exe

  O4 - HKCU\..\Run: C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU “C:\WINDOWS\TEMP\E_S1B3C.tmp” /EF “HKCU”

  O4 - HKCU\..\Run: C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU “C:\WINDOWS\TEMP\E_S1C38.tmp” /EF “HKCU”

  O4 - HKCU\..\Run: “C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe”

  O4 - HKCU\..\Run: “C:\Program Files\MSN Messenger\MsnMsgr.Exe” /background

  O4 - HKCU\..\Run: “C:\Program Files\Creative\Creative Media Lite\CTZDetec.exe”

  O4 - HKCU\..\Run: “C:\Program Files\Creative\Software Update 3\SoftAuto.exe”

  O4 - HKUS\S-1-5-20\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User ‘Netwerkservice’)

  O4 - HKUS\S-1-5-20\..\RunOnce: MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User ‘Netwerkservice’)

  O4 - HKUS\S-1-5-20\..\RunOnce: rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User ‘Netwerkservice’)

  O4 - HKUS\S-1-5-20\..\RunOnce: regsvr32 /s /n /i:u shell32 (User ‘Netwerkservice’)

  O4 - HKUS\S-1-5-18\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

  O4 - HKUS\S-1-5-18\..\RunOnce: MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User ‘SYSTEM’)

  O4 - HKUS\.DEFAULT\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

  O4 - HKUS\.DEFAULT\..\RunOnce: MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User ‘Default user’)

  O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

  O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe

  O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

  O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

  O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

  O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15108/CTPID.cab

  O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe

  O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe

  O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

  O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc.exe

  O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe

  O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe

  O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

  O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE

  O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

  O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

  O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

  –

  End of file - 8749 bytes

  groetjes Harry

  Rapporteren
• 

  Ben

  11-07-2009 22:41

  Beste Harry,

  Waar is stap 7

  Ben

  Rapporteren
• 

  harry500

  11-07-2009 22:54

  Sorry

  Malwarebytes' Anti-Malware 1.38

  Database versie: 2410

  Windows 5.1.2600 Service Pack 3

  11-7-2009 22:00:26

  mbam-log-2009-07-11 (22-00-26).txt

  Scan type: Snelle Scan

  Objecten gescand: 90210

  Verstreken tijd: 3 minute(s), 4 second(s)

  Geheugenprocessen geïnfecteerd: 0

  Geheugenmodulen geïnfecteerd: 0

  Registersleutels geïnfecteerd: 1

  Registerwaarden geïnfecteerd: 1

  Registerdata bestanden geïnfecteerd: 0

  Mappen geïnfecteerd: 0

  Bestanden geïnfecteerd: 1

  Geheugenprocessen geïnfecteerd:

  (Geen kwaadaardige items gevonden)

  Geheugenmodulen geïnfecteerd:

  (Geen kwaadaardige items gevonden)

  Registersleutels geïnfecteerd:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dailybucks_install.exe (Security.Hijack) -> Quarantined and deleted successfully.

  Registerwaarden geïnfecteerd:

  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft WinService (Trojan.Agent) -> Quarantined and deleted successfully.

  Registerdata bestanden geïnfecteerd:

  (Geen kwaadaardige items gevonden)

  Mappen geïnfecteerd:

  (Geen kwaadaardige items gevonden)

  Bestanden geïnfecteerd:

  c:\apnet.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

  Rapporteren
• 

  Luca

  12-07-2009 16:56

  Hoe staat het met je probleem nadat Mbam zijn werk gedaan heeft? In het Hijackthis logbestand kan ik weinig bijzonders ontdekken…

  Rapporteren
• 

  harry500

  12-07-2009 22:27

  hij is er nog steeds

  Rapporteren
• 

  harry500

  12-07-2009 22:31

  Ook werkt bij mij Ctrl Alt Del niet meer

  Rapporteren
• 

  harry500

  12-07-2009 23:10

  Is gelukt om een popup tevangen en als ik dan op opties klik komt er dit adres uit

  http://www.missim.org/

  als ik dit op google in type krijg ik een verwijzing naar mijn hijak log

  Rapporteren
• 

  Luca

  13-07-2009 00:22

  De internet explorer heeft die ingesteld als startpagina. Start Hijackthis, laat het een scan uitvoeren en vink dan de volgende regels aan:

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

  Dit lijken dezelfde regels, maar hij staat twee keer in je logbestand. Klik daarna op ‘fix checked’ om de regels door het programma te laten repareren. Sluit vervolgens het programma af en controleer of het probleem verholpen is. Laat je nog even weten of het op deze manier gelukt is?

  Rapporteren
• 

  harry500

  13-07-2009 22:29

  Helaas ook dit is niet gelukt meteen na een nieuwe scan staan ze er weer op

  Rapporteren