anoniem Geplaatst: 1 juli 2002 Delen Geplaatst: 1 juli 2002 Erg rottig probleem, plotseling sinds enkele dagen als ik op een willekeurige pagina inlog, blijven zich oneindig steeds weer nieuwe pagina's van dezelfde site zich openen. Wat kan hier de oorzaak van zijn? Virusje? Lijkt me sterk want ik scan steeds op virussen. Wie weet raad????? :-? Quote Link naar reactie
anoniem Geplaatst: 1 juli 2002 Auteur Delen Geplaatst: 1 juli 2002 Wat dacht je van deze bijvoorbeeld: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=HTML_BOMB.A Scan eens online Trend kent hem dus wel: http://housecall.antivirus.com/ Quote Link naar reactie
anoniem Geplaatst: 1 juli 2002 Auteur Delen Geplaatst: 1 juli 2002 :D Yo, bedankt. Ik heb inderdaad een virus. Ik heb Norton en die ontdenkt m niet, ook niet na de laatste update!!!! Quote Link naar reactie
anoniem Geplaatst: 1 juli 2002 Auteur Delen Geplaatst: 1 juli 2002 Ook de onlinescanner vind [color=red:53a4838c00]NIETS[/color:53a4838c00]!!!!! Wat nu??????? Quote Link naar reactie
anoniem Geplaatst: 2 juli 2002 Auteur Delen Geplaatst: 2 juli 2002 spyware misschien? www.lavasoft.de en download adaware, doe een scan en kijk eens wat daar uitkomt... t. Quote Link naar reactie
anoniem Geplaatst: 2 juli 2002 Auteur Delen Geplaatst: 2 juli 2002 En hou het ajb bij één topic :evil: In Beveiliging en privacy heb je er ook al een hierover lopen. Dat heet crossposten. Grtz, Quote Link naar reactie
anoniem Geplaatst: 2 juli 2002 Auteur Delen Geplaatst: 2 juli 2002 Maak je temp internetfiles map eens leeg. Kijk eens met ctrl+alt+del of er vreemde processen lopen, eventueel in je opstart map of met msconfig Is de achtergrond van je bureaublad toevallig niet vervangen door een file als desktop.HTM Zoek op je pc eens naar vreemde .htm of .html bestanden. We horen het wel Gtz Joop Quote Link naar reactie
anoniem Geplaatst: 2 juli 2002 Auteur Delen Geplaatst: 2 juli 2002 Metallica, quasi3, ik zal alles nog effe op n rijtje zetten wat ik gedaan heb: 1.Met de onlinescanner vind ik dus niets, maar dat had ik al gemeldt. 2.Met Adaware ook niets gevonden. 3.Heb Tempinternetfiles geleegd, ook niets. 4.Met ctr+alt+del vindt ik geen vreemde processen, voor zover ik weet. 5.Vind geen vreemde htm of html bestanden. 6.En in msconfig lijkt alles ook ok, zou niet weten waar ik naar zoeken moet. [color=red:bd6cbd29d1]Vraagje[/color:bd6cbd29d1]:waar vind ik de opstartmap/opstartlijst? Virus slaat ook niet bij alle sites toe, alleen bij sommige. Weard, zelfs bij Norton kennen ze me niet helpe. Quote Link naar reactie
anoniem Geplaatst: 2 juli 2002 Auteur Delen Geplaatst: 2 juli 2002 Welke versie Windows heb je? Met msconfig heb je het belangrijkste deel van je opstartlijst al gehad trouwens. Grtz, Quote Link naar reactie
anoniem Geplaatst: 2 juli 2002 Auteur Delen Geplaatst: 2 juli 2002 Heb W98SE Weet alleen niet de inhoud te kopieeren naar dit forum. (MsConfig) Quote Link naar reactie
anoniem Geplaatst: 2 juli 2002 Auteur Delen Geplaatst: 2 juli 2002 Ga via startmenu naar systeem werkset en kies het programma systeeminfo Kies links onder software omgeving:opstart programma's. In het Menu: bewerken >alles selecteren dan kopieren. Vervolgens plak je het hier in je post. P.S heb je nog naar de instelling van je bureaublad achtergrond gekeken? Dat moet dus ook geen .HTM(L) file zijn. Quote Link naar reactie
anoniem Geplaatst: 3 juli 2002 Auteur Delen Geplaatst: 3 juli 2002 Komt ie: Microsoft Office Opstartgroep "E:\Program Files\Microsoft Office\Office\OSA9.EXE" -b -l Acrobat Assistant Opstartgroep "E:\Program Files\Acrobat Reader\Distillr\AcroTray.exe" ZoneAlarm Algemene opstartgroep "E:\Program Files\ZoneAlarm\zonealarm.exe" -nopopup run Win.ini hpfsched ASUS SmartDoctor Register (per gebruiker) e:\program files\Asus smartdokter\VGAProbe.exe FirstTime ScanRegistry Register (per machine) C:\WINDOWS\scanregw.exe /autorun Taakcontrole Register (per machine) C:\WINDOWS\taskmon.exe SystemTray Register (per machine) SysTray.Exe LoadPowerProfile Register (per machine) Rundll32.exe powrprof.dll,LoadCurrentPwrScheme IKB Register (per machine) E:\PROGRAM FILES\KPN\IDTT.EXE WREP Register (per machine) E:\PROGRAM FILES\KPN\prep.exe EM_EXEC Register (per machine) C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE RealTray Register (per machine) E:\Program Files\Real player 5\RealPlay.exe SYSTEMBOOTHIDEPLAYER NvCplDaemon Register (per machine) RUNDLL32.EXE NvQTwk,NvCplDaemon initialize nwiz Register (per machine) nwiz.exe /install ASUSTweakEnable Register (per machine) C:\Program Files\ASUS\Tweaking Utilities\atstart.exe pccguide.exe Register (per machine) "E:\Program Files\PcCillin2002\pccguide.exe" PCCIOMON.exe Register (per machine) "E:\Program Files\PcCillin2002\PCCIOMON.exe" PCCClient.exe Register (per machine) "E:\Program Files\PcCillin2002\PCCClient.exe" Pop3trap.exe Register (per machine) "E:\Program Files\PcCillin2002\Pop3trap.exe" NAV CfgWiz Register (per machine) E:\PROGRA~1\NORTON~3\CFGWIZ.EXE /R NAV Agent Register (per machine) E:\PROGRA~1\NORTON~3\NAVAPW32.EXE LoadPowerProfile Register (computerservice) Rundll32.exe powrprof.dll,LoadCurrentPwrScheme SchedulingAgent Register (computerservice) mstask.exe TrueVector Register (computerservice) C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service MiniLog Register (computerservice) C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service PCCIOMON.exe Register (computerservice) "E:\Program Files\PcCillin2002\PCCIOMON.exe" PCCPFW Register (computerservice) E:\Program Files\PcCillin2002\PCCPFW.exe ScriptBlocking Register (computerservice) "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg Heb inmiddels wat anders ginstalleerd waaronder trendpccillin2002 trial. Dacht dat je daarbij ook de laatste virusupdates kon downloaden maar dat gaat dus niet! wat heb je dan aan een trial!!! Maar even over die bureaublad files, misschien een stomme vraag, waar vind ik die? Alvast bedankt Quote Link naar reactie
anoniem Geplaatst: 3 juli 2002 Auteur Delen Geplaatst: 3 juli 2002 Hmm, naar mijn mening staat bij de opstartfiles niets opvallends. Er is een virus dat zich als je bureaublad installeert in de vorm van een htm pagina. Hierdoor wordt het verborgen script elke keer gestart via je bureaublad en is niet in je opstartlijst te vinden.. vandaar de vraag. hier vind je de instellingen: Start>configuratiescherm>beeldscherm, tabblad achtergrond, rechts achtergrond Je kan hem voor de zekerheid zetten op (geen). Kijk ook eens in je win.ini file naar mogelijk op te starten onbekende progs. Quote Link naar reactie
anoniem Geplaatst: 3 juli 2002 Auteur Delen Geplaatst: 3 juli 2002 Download deze eens: http://home.earthlink.net/~rmbox/Reticulated/4IE_Only/StartLog.com Run het en hernoem Startup.log even naar Startup.txt en post de inhoud, dan heb je een volledig overzicht van alles wat opstart. Grtz, Quote Link naar reactie
anoniem Geplaatst: 3 juli 2002 Auteur Delen Geplaatst: 3 juli 2002 Het volgende staat in het startuplog: ---------- C:\WINDOWS\desktop\StartUp.Log Start-Ups checked at __________________________________________________________________________ __________________________________________________________________________ StartUp Log for Windows 95/98 - Freeware by rmbox __________________________________________________________________________ __________________________________________________________________________ Comments: This is a log of all the programs on your computer that are starting automatically every time you start Windows. Using this log can be a quick way to spot trojans. StartUp Log (version 1.56) - Release Date 3/11/2002 __________________________________________________________________________ __________________________________________________________________________ StartUp Log Index 1. HKLM Run 2. HKCU Run 3. HKLM RunOnce 4. HKCU RunOnce 5. HKLM RunServices 6. HKLM RunServicesOnce 7. WIN.INI file 8. SYSTEM.INI file 9. AUTOEXEC.BAT file 10. StartUp folder 11. All Users StartUp 12. Misc. StartUp Configurations __________________________________________________________________________ __________________________________________________________________________ The following is a list of your current Start-Ups __________________________________________________________________________ __________________________________________________________________________ 1. HKLM Run - Registry [RegPath] "StartUp" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ScanRegistry"="C:\\WINDOWS\\scanregw.exe /autorun" "Taakcontrole"="C:\\WINDOWS\\taskmon.exe" "SystemTray"="SysTray.Exe" "LoadPowerProfile"="Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" "IKB"="E:\\PROGRAM FILES\\KPN\\IDTT.EXE" "WREP"="E:\\PROGRAM FILES\\KPN\\PREP.EXE" "EM_EXEC"="C:\\PROGRA~1\\LOGITECH\\MOUSEW~1\\SYSTEM\\EM_EXEC.EXE" "RealTray"="E:\\Program Files\\Real player 5\\RealPlay.exe SYSTEMBOOTHIDEPLAYER" "NvCplDaemon"="RUNDLL32.EXE NvQTwk,NvCplDaemon initialize" "nwiz"="nwiz.exe /install" "ASUSTweakEnable"="C:\\Program Files\\ASUS\\Tweaking Utilities\\atstart.exe" "pccguide.exe"="\"E:\\Program Files\\PcCillin2002\\pccguide.exe\"" "PCCIOMON.exe"="\"E:\\Program Files\\PcCillin2002\\PCCIOMON.exe\"" "PCCClient.exe"="\"E:\\Program Files\\PcCillin2002\\PCCClient.exe\"" "Pop3trap.exe"="\"E:\\Program Files\\PcCillin2002\\Pop3trap.exe\"" "NAV Agent"="E:\\PROGRA~1\\NORTON~3\\NAVAPW32.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "NoChange"="1" "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" ========================================================================== __________________________________________________________________________ 2. HKCU Run - Registry [RegPath] "StartUp" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "ASUS SmartDoctor"="e:\\program files\\Asus smartdokter\\VGAProbe.exe FirstTime" ========================================================================== __________________________________________________________________________ 3. HKLM RunOnce - Registry [RegPath] "StartUp" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] ========================================================================== __________________________________________________________________________ 4. HKCU RunOnce - Registry [RegPath] "StartUp" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] ========================================================================== __________________________________________________________________________ 5. HKLM RunServices - Registry [RegPath] "StartUp" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "LoadPowerProfile"="Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" "SchedulingAgent"="mstask.exe" "TrueVector"="C:\\WINDOWS\\SYSTEM\\ZONELABS\\VSMON.EXE -service" "MiniLog"="C:\\WINDOWS\\SYSTEM\\ZONELABS\\MINILOG.EXE -service" "PCCIOMON.exe"="\"E:\\Program Files\\PcCillin2002\\PCCIOMON.exe\"" "PCCPFW"="E:\\Program Files\\PcCillin2002\\PCCPFW.exe" "ScriptBlocking"="\"C:\\Program Files\\Common Files\\Symantec Shared\\Script Blocking\\SBServ.exe\" -reg" ========================================================================== __________________________________________________________________________ 6. HKLM RunServicesOnce - Registry [RegPath] "StartUp" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] ========================================================================== __________________________________________________________________________ 7. WIN.INI File - (c:\windows\win.ini) Your win.ini run/load lines should look like run= and load= exclusively. There should be nothing to the right of the equal signs. These are the run and load lines in your WIN.INI file run=hpfsched load= ========================================================================== __________________________________________________________________________ 8. SYSTEM.INI File - (c:\windows\system.ini) Your system.ini shell line should look like shell=Explorer.exe exclusively. You should only see Explorer.exe following the equal sign. This is the shell line in your SYSTEM.INI file shell=Explorer.exe ========================================================================== __________________________________________________________________________ 9. AUTOEXEC.BAT File - (c:\autoexec.bat) (Some trojans have been known to start from this file) These are your program startups and set paths in your autoexec.bat file mode con codepage prepare=((850) C:\WINDOWS\COMMAND\ega.cpi) mode con codepage select=850 keyb br,,C:\WINDOWS\COMMAND\keyboard.sys ========================================================================== __________________________________________________________________________ 10. StartUp Folder - (c:\windows\start menu\programs\startup) Shortcuts to any program will automatically start when placed here. These are the shortcuts located in your StartUp folder *(No start-ups found)* ========================================================================== __________________________________________________________________________ 11. All Users Folder - (c:\windows\all users\start menu\programs\startup) Shortcuts to any program will automatically start when placed here. These are the shortcuts located in your All Users StartUp folder C:\WINDOWS\All Users\Start Menu\Programs\StartUp\ZoneAlarm.lnk ========================================================================== __________________________________________________________________________ 12. Miscellaneous StartUp Configurations -============================- Registry StartUp Directories -============================- Should show the Start Menu StartUp and All Users StartUp directories ..................................................................... [1] HKCU - Shell Folders HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders "Startup"="C:\\WINDOWS\\Start Menu\\Programma's\\Opstarten" ..................................................................... [2] HKCU - User Shell Folders HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ..................................................................... [3] HKLM - Shell Folders HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Shell Folders "Common Startup"="C:\\WINDOWS\\All Users\\Start Menu\\Programs\\StartUp" ..................................................................... [4] HKLM - User Shell Folders HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\User Shell Folders ..................................................................... -=======================- Registry Shell Spawning -=======================- Open Commands for Executable File Types @="\"%1\" %*" (.exe file - RegPath = HKCR\exefile\shell\open\command) @="\"%1\" %*" (.com file - RegPath = HKCR\comfile\shell\open\command) @="\"%1\" /S" (.scr file - RegPath = HKCR\scrfile\shell\open\command) @="\"%1\" %*" (.bat file - RegPath = HKCR\batfile\shell\open\command) @="\"%1\" %*" (.pif file - RegPath = HKCR\piffile\shell\open\command) @="C:\\WINDOWS\\SYSTEM\\MSHTA.EXE \"%1\" %*" (.hta file - RegPath = HKCR\htafile\shell\open\command) -=========================- HKLM RunOnceEx - Registry -=========================- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx] -=========================- HKU (.Default) Run - Registry -=========================- [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run] "ASUS SmartDoctor"="e:\\program files\\Asus smartdokter\\VGAProbe.exe FirstTime" -==============================- HKU (.Default) RunOnce - Registry -==============================- [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce] -================================- StubPaths - Registry (Partial Listing) -================================- (Please see the StubPath.txt on your desktop for complete listing) HKLM\Software\Microsoft\Active Setup\Installed Components "StubPath"="C:\\WINDOWS\\SYSTEM\\ie4uinit.exe" "StubPath"="" "StubPath"="C:\\WINDOWS\\COMMAND\\sulfnbk.exe /L" "StubPath"="\"C:\\PROGRA~1\\Outloo~1\\setup50.exe\" /APP:OE /CALLER:WIN9X /user /install" "StubPath"="\"C:\\PROGRA~1\\Outloo~1\\setup50.exe\" /APP:WAB /CALLER:WIN9X /user /install" "StubPath"="C:\\WINDOWS\\SYSTEM\\updcrl.exe -e -u C:\\WINDOWS\\SYSTEM\\verisignpub1.crl" -=================- DOSSTART.BAT File - (c:\windows\dosstart.bat) -=================- C:\PROGRA~1\LOGITECH\MOUSEW~1\MOUSE.EXE -=================- WININIT.BAK File - (c:\windows\wininit.bak) (name) (type) (size)(modified)(time) Map van C:\WINDOWS. wininit bak 49 03-07-02 1:35 -=================- [Rename] NUL=E:\PROGRA~1\NORTON~3\UNREGCMD.EXE -=====================- Screen Saver Settings (Possible system.ini start-up) -=====================- ========================================================================== __________________________________________________________________________ - Supplemental Environment Information - TMP=C:\WINDOWS\TEMP TEMP=C:\WINDOWS\TEMP winbootdir=C:\WINDOWS PATH=C:\WINDOWS;C:\WINDOWS\COMMAND COMSPEC=C:\WINDOWS\COMMAND.COM windir=C:\WINDOWS File - c:\windows\Wininit.bak ========================================================================== __________________________________________________________________________ - End - Quote Link naar reactie
anoniem Geplaatst: 3 juli 2002 Auteur Delen Geplaatst: 3 juli 2002 Ik zie niets dat echt verdacht is. Prep.exe : ken ik niet. (Progje van KPN geinstalleerd?) SBserv.exe Scriptblocking wilde vroeger wel eens problemen opleveren, maar niet van deze aard. Heb je Norton naast PCCillin draaien? Groetjes, Pieter Quote Link naar reactie
anoniem Geplaatst: 3 juli 2002 Auteur Delen Geplaatst: 3 juli 2002 In de beschrijving van het virus zag ik trouwens dat het een HTML script is. Heb je je Temp map al helemaal leeg gegooid? Grtz, Quote Link naar reactie
anoniem Geplaatst: 3 juli 2002 Auteur Delen Geplaatst: 3 juli 2002 Nou, ik heb dus alle tempfiles er al uitgegooid. Dat ene is een kpn progje ja. Ik had Norton naast TrendPcCillin draaien maar dat werkt niet, dus daar ben ik mee gestopt. Heb nu alleen weer Norton. Heb bureaubladachtergrond ook uit gezet, ook zonder resultaat. Groeten, Mark Quote Link naar reactie
anoniem Geplaatst: 3 juli 2002 Auteur Delen Geplaatst: 3 juli 2002 Dan kun je in ieder geval al die PCC dingen in je msconfig uitvinken. Of beter nog als je die PCCillin nog hebt, die herkend dit kreng tenminste :evil: Ik zal nog even iemand een PB sturen, misschien dat die nog wat vind. Grtz, Quote Link naar reactie
anoniem Geplaatst: 3 juli 2002 Auteur Delen Geplaatst: 3 juli 2002 Next shot in the dark.. Ik zie dat MSHTA.exe ook wordt opgestart, met dit microsoft proggie kunnen automatisch scripts in een html of.hta pagina(file) worden gestart. Diverse virussen maken hier (in samenwerking met de windows scripting host) gebruik van. Hier kan je een hulpprogrammaatje ophalen waarmee je de functie in of uit kan schakelen. http://www.nsclean.com/htastop.html BTW staat er een verdacht.hta file op je pc? Quote Link naar reactie
Aanbevolen berichten
Om een reactie te plaatsen, moet je eerst inloggen