WhenU en Savenow

[anoniem]

Dag, Ik heb last van popups, meestal al ik op een lyricssite zit. Van WhenU, die vraagt mij iets te downloaden of op te slaan. Als ik Trojanhunter scan, vind die om de zoveel dagen een trojan genaamd Savenow, en die zit altijd in recycled/projected. Ik heb het idee dat het meekomt met het programma Winmx, is dat mogelijk? Hieronder mijn log. Logfile of HijackThis v1.98.1 Scan saved at 23:54:18, on 18-10-04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\ACCSTAT.EXE C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE C:\PROGRAM FILES\NORTON UTILITIES\NPROTECT.EXE C:\WINDOWS\SYSTEM\ATI2EVXX.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\SYSTEM\HIDSERV.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE C:\PROGRAM FILES\AVPERSONAL\AVSCHED32.EXE C:\PROGRAM FILES\POP PEEPER\POPPEEPER.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\LOADQM.EXE D:\PROGRAM FILES\ZONEALARM\ZLCLIENT.EXE D:\PROGRAM FILES\TROJANHUNTER 4.0\THGUARD.EXE C:\PROGRAM FILES\WINAMP\WINAMPA.EXE C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE C:\WINDOWS\SYSTEM\CTFMON.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE C:\PROGRAM FILES\OUTLOOK EXPRESS\MSIMN.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE C:\PROGRAM FILES\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O4 - HKLM\..\Run: [EM_EXEC] C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAM FILES\AVPERSONAL\AVSCHED32.EXE /min O4 - HKLM\..\Run: [POP Peeper] C:\PROGRAM FILES\POP PEEPER\POPPEEPER.EXE min O4 - HKLM\..\Run: [NPROTECT] C:\Program Files\Norton Utilities\NPROTECT.EXE O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [Zone Labs Client] "D:\Program Files\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [THGuard] "D:\PROGRAM FILES\TROJANHUNTER 4.0\THGUARD.EXE" O4 - HKLM\..\Run: [winampagent] "C:\PROGRAM FILES\WINAMP\WINAMPa.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE" O4 - HKLM\..\RunServices: [NPROTECT] C:\Program Files\Norton Utilities\NPROTECT.EXE O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [truevector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\MICROS~1\OFFICE10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O16 - DPF: {DF6A0F17-0B1E-11D4-829D-00C04F6843FE} (Microsoft Office Tools on the Web Control) - http://dgl.microsoft.com/downloads/outc.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.es/activescan/as/asinst.cab O16 - DPF: {01111E00-3E00-11D2-8470-0060089874ED} (Support.com SmartIssue) - http://quickfix.chello.nl/sdccommon/download/tgctlsi.cab O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB O16 - DPF: {C58EFA10-2CC0-4C50-8C77-B326555EC1B7} (LaunchApp.clsDefault) - http://quickfix2.chello.nl/quickfix2/asp/LaunchApp.CAB O16 - DPF: {1D185838-009D-47C8-824B-B65B4854430E} (chelloInstall.Install) - http://quickfix2.chello.nl/quickfix2/asp/chelloInstall.CAB O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

[anoniem]

kijk eens in je prullebak naar mappen recycled/projected probeer dit in veilige modus als ik deze zo lees (ik laat het wel over aan de betere) zie ik niks vreemds

[anoniem]

[quote:9b7a2a447a="sjouwer"]kijk eens in je prullebak naar mappen recycled/projected probeer dit in veilige modus als ik deze zo lees (ik laat het wel over aan de betere) zie ik niks vreemds[/quote:9b7a2a447a] Heb ik gedaan, maar in de map staat niets. Er is wel veel in te stellen bij de prullebak zelf, die heet bij mij Recycle bin, van Norton. Misschien moet ik daar iets anders instellen? Net AdAware gescand in veilige modus en wederom WhenU gevonden in recycled/protected. Bij 'type' staat 'dataminer'. Ik laat het steeds verwijderen, maar WhenU komt steeds terug. En ik heb in veilige modus gezocht naar bestanden met 'save' en ik zag twee zipbestanden die save.z heetten. In een ander draadje over WhenU en SaveNow las ik dit: "Ik heb in veilige modus, naar WUsave gezocht en gevonden. Het was een zipbestand. Heb ik nu verwijdered en opnieuw gescant met NOV en Adaware. Die rakker is gelukkig nu verleden tijd, Mag ik jullie allemaal bedanken voor jullie inzet." Hier was het dus ook een zipbestand. Kan ik die twee zipbestanden genaamd Save.z verwijderen?

[anoniem]

Recycle bin, van Norton dus de prullebak van norton legen laat de 2 bestanden eens controleren door een onlinescanner

[anoniem]

[quote:6ef85f2d90="sjouwer"]Recycle bin, van Norton dus de prullebak van norton legen laat de 2 bestanden eens controleren door een onlinescanner[/quote:6ef85f2d90] Ik zie jullie dat vaker zeggen, maar ik weet niet hoe dat moet. Kapersky? En hoe laat je alleen die zipbestanden scannen? De prullebak leeg ik elke dag, maar dat helpt ook niet tegen WhenU. Sorry, ik zie al op de Kapersky site hoe het moet.

[anoniem]

Kapersky zegt dat de Save.z zipbestanden OK zijn. Overigens kwam ik er achter vanochtend dat ik het immuneseren bij Spybot niet goed deed; niet het rode, maar het groene immuniseercommando moet worden aangeklikt. Misschien dat dit nog wat uitmaakt. Ik kijk het even aan tot morgen, en scan morgen weer met AdAware. Als WhenU dan weer terug is, kom ik bij jullie terug.