verkeerde tekst op adresbalk google

[anoniem]

Normaal als ik met google surf, dan verschijnt op de de adres balk gewoon: WWW.GOOGLE.NL. Nu ontvang ik echter steevast de melding: [b:7c8e8b210e][u:7c8e8b210e]ENTER KEYWORD OR WEB ADRESS HERE[/u:7c8e8b210e][/b:7c8e8b210e] Dan moet ik eerst op de groene pijl aan het einde van de adresbalk klikken (GA NAAR) om weer bij www. google.nl uit te komen. Wat is hier aan de hand?

[anoniem]

wat tik jij in als je 'normaa'l naar google surft. dit aangezien je zegt uit te komen op www.google.nl. vanaf wat of waar kom jij daar op uit. d.

[anoniem]

Ik tik helemaal niks in. Google is mijn startpagina. Uiteraard dient in de adresbalk dan ook [b:009d09f1c3][u:009d09f1c3]www.googl.nl [/u:009d09f1c3][/b:009d09f1c3]te komen staan! Maar dat staat er dus helemaal niet!

[anoniem]

Download [url=http://www.spywareinfo.com/~merijn/files/HijackThis.exe]HijackThis[/url]. Unzip en run het programma. Klik op scan, save log en sla het log op als een .txt bestand. Kopieer en plak de inhoud in je volgende bericht.

[anoniem]

[quote:7393a97f5e="M@rc"]Download [url=http://www.spywareinfo.com/~merijn/files/HijackThis.exe]HijackThis[/url]. Unzip en run het programma. Klik op scan, save log en sla het log op als een .txt bestand. Kopieer en plak de inhoud in je volgende bericht.[/quote:7393a97f5e] Misschien is het handig deze in de FAQ op te nemen :)

[anoniem]

Logfile of HijackThis v1.97.7 Scan saved at 9:35:25, on 29-2-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\htpatch.exe C:\Program Files\Winamp\winampa.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Medion Home CinemaXL\PowerCinema\PCMService.exe C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe C:\PROGRA~1\DAP\DAP.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\System32\atwtusb.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\n-Case\msbb.exe C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe C:\WINDOWS\System32\TBLMOUSE.EXE C:\Program Files\Real\RealPlayer\RealPlay.exe C:\WINDOWS\DitExp.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\ClockSync\Sync.exe C:\WINDOWS\System32\PackethSvc.exe C:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Program Files\Internet Explorer\iexplore.exe H:\speelfilms\ONDERTITELING\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=134993 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=134993 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.nl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.aldi.com/ O1 - Hosts: 216.177.73.139 auto.search.msn.com O1 - Hosts: 216.177.73.139 search.netscape.com O1 - Hosts: 216.177.73.139 ieautosearch O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Program Files\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Natural Language Navigation - {60E78CAC-E9A7-4302-B9EE-8582EDE22FBF} - C:\WINDOWS\System\BHO001.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PCMService] C:\Program Files\Medion Home CinemaXL\PowerCinema\PCMService.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [msbb] C:\PROGRA~1\n-Case\msbb.exe O4 - HKLM\..\Run: [WinStart001.EXE] C:\WINDOWS\System\WinStart001.EXE -b O4 - HKLM\..\Run: [PYZGUF] C:\WINDOWS\PYZGUF.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [PVFM] C:\WINDOWS\PVFM.exe O4 - HKLM\..\Run: [WINSTA~1.EXE] C:\WINDOWS\System\WINSTA~1.EXE -b O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ClockSync] C:\Program Files\ClockSync\Sync.exe /q O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O9 - Extra button: Run DAP (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/11ddd82187daa5ed5c06/netzip/RdxIE601.cab O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37664.0440393519 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[anoniem]

Sluit alle open vensters, run HijackTHis nog een keer en laat volgende items repareren: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=134993 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=134993 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer =
O1 - Hosts: 216.177.73.139 auto.search.msn.com O1 - Hosts: 216.177.73.139 search.netscape.com O1 - Hosts: 216.177.73.139 ieautosearch O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Program Files\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: Natural Language Navigation - {60E78CAC-E9A7-4302-B9EE-8582EDE22FBF} - C:\WINDOWS\System\BHO001.DLL O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [msbb] C:\PROGRA~1\n-Case\msbb.exe O4 - HKLM\..\Run: [WinStart001.EXE] C:\WINDOWS\System\WinStart001.EXE -b O4 - HKLM\..\Run: [WINSTA~1.EXE] C:\WINDOWS\System\WINSTA~1.EXE -b O4 - HKCU\..\Run: [ClockSync] C:\Program Files\ClockSync\Sync.exe /q O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/11ddd82187daa5ed5c06/netzip/RdxIE601.cab O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab Zorg dat alle verborgen bestanden weergegeven worden. Reboot de pc in veilige modus en verwijder het volgende: de map MyWay in C:\Program Files\ het bestand BHO001.DLL in C:\WINDOWS\System\ de map n-Case in C:\Program Files\ het bestand WinStart001.EXE in C:\WINDOWS\System\ het bestand WINSTA~1.EXE in C:\WINDOWS\System\ (waarschijnlijk het bestand winstartup) de map ClockSync in C:\Program Files\ClockSync\ Reboot. Run hijackThis nog een keer een post een nieuwe log. Deze lijken me verdacht maar kan ik niet thuisbrengen: O4 - HKLM\..\Run: [PYZGUF] C:\WINDOWS\PYZGUF.exe O4 - HKLM\..\Run: [PVFM] C:\WINDOWS\PVFM.exe

[anoniem]

Exact in die volgorde alles gedaan wat je aangegeven hebt. Overigens al enorm bedankt voor de moeite..! Hier is de 2e log: Logfile of HijackThis v1.97.7 Scan saved at 18:35:58, on 29-2-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\htpatch.exe C:\Program Files\Winamp\winampa.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Medion Home CinemaXL\PowerCinema\PCMService.exe C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe C:\PROGRA~1\DAP\DAP.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\System32\atwtusb.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\PYZGUF.exe C:\WINDOWS\PVFM.exe C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe C:\Program Files\Real\RealPlayer\RealPlay.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\System32\TBLMOUSE.EXE C:\WINDOWS\DitExp.exe C:\WINDOWS\System32\PackethSvc.exe C:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Program Files\Internet Explorer\iexplore.exe H:\speelfilms\ONDERTITELING\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.nl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.aldi.com/ O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PCMService] C:\Program Files\Medion Home CinemaXL\PowerCinema\PCMService.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [PYZGUF] C:\WINDOWS\PYZGUF.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [PVFM] C:\WINDOWS\PVFM.exe O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O9 - Extra button: Run DAP (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37664.0440393519 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[anoniem]

Is je probleem opgelost? Ik struikel nog steeds over deze twee: O4 - HKLM\..\Run: [PYZGUF] C:\WINDOWS\PYZGUF.exe O4 - HKLM\..\Run: [PVFM] C:\WINDOWS\PVFM.exe Ik kan PYZGUF.exe en PVFM.exe echt niet thuisbrengen. En op internet vind ik er ook niks over. :oops: Voor de rest lijkt me alles ok.

[anoniem]

Ik weet niet of alles OK is. Ik krijg de volgende melding: The system has detected that a third party application has removed nCASE, possibly without your consent. Please choose an option below: 0 reinstall nCASE so that your programs will run as expected. Requires internet connectivity. 0 Leave nCASE uninstalledand clean up any nCASE files or settings that remain. 0 remind me later continue

[anoniem]

[url=http://www.doxdesk.com/parasite/nCase.html]nCase [/url]is spyware. Zeker niet opnieuw installeren, want dan krijg je terug een probleem. :wink:

[anoniem]

Ik heb in het register het volgende verwijderd: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nCASE, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msbb and HKEY_CURRENT_USER\Software\180solutions. Ik heb bovendien onderstaande nog gecheckt: To delete nCase/Inst, if you have the nCase/Inst variant, open the Downloaded Program Files folder inside the Windows folder, right-click the 'nCaseInstaller Class' entry and choose 'Remove' Dat was echter niet nodig omdat in die folder slechts 4 bestanden staan van het type ActiveX-besturingselement. Ik neem aan dat die geen kwaad kunnen.

[anoniem]

Als je aangaf om hem niet meer opnieuw te installeren was hij al zeker weg. Nu heb je de laatste restjes ook nog opgeruimd. Wat die activeX-besturingselementen betreft, check de classID. (rechtklik en kies voor eigenschappen): volgende mogen weg als ze er nog tussen staan: 018B7EC3-EECA-11D3-8E71-0000E82C6C0D 56336BCB-3D8A-11D6-A00B-0050DA18DE71 90C9629E-CD32-11D3-BBFB-00105A1F0D68

[anoniem]

Nee, ze staan er niet tussen. Wel de volgende: Update Class: {9F1C11AA-197B-4942-BA54-47A8489BB47F} Shockwave Flash Object: {D27CDB6E-AE6D-11CF-96B8-444553540000} Onbekend: {00000161-0000-0010-8000-00AA00389B71} Onbekend: {00000075-9980-0010-8000-00AA00389B71}

[anoniem]

Ik neem aan dat die geen kwaad kunnen. Rest de vraag. Hoe voorkom je dat dit soort acties moet uitvoeren? Kun je het eigenlijk wel voorkomen? Een firewall of virusscanner zijn kennelijk niet voldoende.

[anoniem]

[quote:6738a61f65="theplayer1"]Ik neem aan dat die geen kwaad kunnen. Rest de vraag. Hoe voorkom je dat dit soort acties moet uitvoeren? Kun je het eigenlijk wel voorkomen? Een firewall of virusscanner zijn kennelijk niet voldoende.[/quote:6738a61f65] Neen kunnen geen kwaad. De eerste hoort bij windows update. De tweede spreekt voor zich: Shockwave Flash Object De derde en de vierde horen bij de windows mediaplayer. Een firewall en een anti-virusprogramma beschermen je niet tegen spyware. Daar zijn andere programma's voor nodig. Scan je pc regelmatig op Spyware met behulp van [url=http://www.lavasoftusa.com/]AdAware[/url] en [url=http://www.safer-networking.org/]Spybot Search & Destroy[/url]. Een preventief progje is [url=http://www.javacoolsoftware.com/spywareblaster.html]SpywareBlaster[/url]. Voor al deze programma's geldt: regelmatig updaten. Deze drie tooltjes zijn freeware. Marc

[anoniem]

Hé Marc, hartstikke bedankt joh! :wink: :wink: :wink: :wink:

[anoniem]

Nou blijft die melding elke keer toch komen, ondanks alle verwijderingen... [quote:c67d02e7f3]The system has detected that a third party application has removed nCASE, possibly without your consent. Please choose an option below: 0 reinstall nCASE so that your programs will run as expected. Requires internet connectivity. 0 Leave nCASE uninstalledand clean up any nCASE files or settings that remain. 0 remind me later continue[/quote:c67d02e7f3]

[anoniem]

En als je de middelste optie aanvinkt...???

[anoniem]

Dat was precies wat ik gedaan had. Ik ontdekte zojuist dat nCase toch weer in het register voorkwam, met een map en een bestand. SpywareBlaster had ik al eerder geïnstalleerd, met updates t/m vandaag Voorkomt dus kennelijk niet dat het toch weer binnenkomt.