PDA

Volledige versie bekijken : IE startpagina



Gordon Freeman
16 april 2004, 16:57
Heb last van een gekend probleem. Iedere keer ik mijn pc heropstart is de startpagina van IE opnieuw ingesteld op www.enjoysearch.info. Vervelend natuurlijk. Heb al een programma die dit opspoort en verwijder gebruikt (CWChredder) maar blijft terug komen.

Heb ook al met msconfig (start – uitvoeren – msconfig) gekeken of er iets “verdachts” wordt opgestart maar zover ik weet is er niets abnormaals aan msconfig.

Heb ook al in het register( regedit) alles van www.enjoysearch.info verwijdert maar als ik reboot komt het terug.

Ook dit forum heb ik al afgezocht naar oplossingen maar nog niks gevonden die kon helpen. Daarom deze nieuwe thread.

Als er iemand nog een oplossing weet? Een programma die dit PERMANENT kan verwijderen? Specifiek voor enjoysearch.info probleem.

Alvast bedankt.

Heb ook al gescant met Norton Antivirus. Niks gevonden

Vich
16 april 2004, 17:05
Ik weet niet met welke versie van windows je werkt , maar:

- staat er iets in c:\autoexec.bat als je dit bestand al uberhaupt hebt?
- staat er iets in startmenu: \programma's\opstarten\ of \programs\startup\ ?
- is het een xp/nt service?

Soms lijkt een programma niet verdacht, maar is het dat wel!
Post hier anders even het lijstje met opstartprogramma's dat bij msconfig staat?

Gordon Freeman
16 april 2004, 17:24
Ik werk met Win XP Home

Gordon Freeman
16 april 2004, 17:31
Gedeeltelijke lijst van MSconfig:

NvCpl = RUNDLL32.EXE
nwiz = opdracht: nwiz.exe/install
dit = opdracht: Dit.exe
1008 = opdracht: Utility.exe in system32
rundll32 amecsa = opdracht: rundll32 amecsa.cpl,RUN_DLL
hlp16 = opdracht: hlp16.exe

Dit zijn volgends mij de meest verdachte. De andere weet ik voor wat ze dienen en wat ze doen.

Als er iets verdachts tussen staat laat maar weten.

Feignasse
16 april 2004, 17:40
NvCpl = RUNDLL32.EXE
nwiz = opdracht: nwiz.exe/install

is van nvidia (iets met uw graka dus), niets gevaarlijks...

Ik zou eens scannen met het programma "hijackthis" (zie sticky of gewoon google) en dan een log posten.
De experts hier zullen u dan wel kunnen verderhelpen :doc:

Gordon Freeman
16 april 2004, 17:46
Hier is dus de Hijack log.

en het probleem =www.enjoysearch.info staat er tussen.
Iemand die kan helpen?

Logfile of HijackThis v1.97.7
Scan saved at 17:47:40, on 16/04/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\Program Files\Classic PhoneTools\CapFax.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\NotifyPhoneBook.exe
C:\Program Files\Medion\PowerCinema\My_TV\Agent.exe
C:\WINDOWS\jushed32.exe
C:\WINDOWS\DitExp.exe
C:\Program Files\Microsoft Office\Office\1043\msoffice.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Bert\Software\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.enjoysearch.info/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.enjoysearch.info/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.enjoysearch.info/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://games.telenet.be/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.enjoysearch.info/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.enjoysearch.info/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.enjoysearch.info
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.enjoysearch.info/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.enjoysearch.info
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.enjoysearch.info/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.enjoysearch.info/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.be
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.enjoysearch.info/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.enjoysearch.info
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.enjoysearch.info/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CapFax] C:\Program Files\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Agent] C:\Program Files\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [hostend871] C:\WINDOWS\System32\hlp16.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.be
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37997.3604050926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{15E31055-1F74-4F8D-A38E-315C6AF47C20}: NameServer = 216.127.92.38
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A043877-BE4A-46FB-8CE6-C93C3C60807E}: NameServer = 216.127.92.38
O17 - HKLM\System\CCS\Services\Tcpip\..\{8940DE60-2B5C-411F-A19D-E0BC656AD155}: NameServer = 216.127.92.38
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E8F3F44-2A17-44CA-B191-DA36873E9442}: NameServer = 216.127.92.38
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6B38CD4-233E-4A85-8CE1-2C2FC46E1367}: NameServer = 195.238.2.22 195.238.2.21
O17 - HKLM\System\CS1\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 216.127.92.38
O17 - HKLM\System\CS1\Services\Tcpip\..\{15E31055-1F74-4F8D-A38E-315C6AF47C20}: NameServer = 216.127.92.38
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 216.127.92.38

Vich
16 april 2004, 20:17
Dit hoort er volgens mij niet:

dit = opdracht: Dit.exe
1008 = opdracht: Utility.exe in system32
hlp16 = opdracht: hlp16.exe

't Is niet zeker, maar in mijn Windows XP staat het iig niet in!

Vooral Dit.exe is heel twijfelachtig!

Dark_One
16 april 2004, 20:55
Originally posted by Vich
Dit hoort er volgens mij niet:

dit = opdracht: Dit.exe
1008 = opdracht: Utility.exe in system32
hlp16 = opdracht: hlp16.exe

't Is niet zeker, maar in mijn Windows XP staat het iig niet in!

Vooral Dit.exe is heel twijfelachtig!

bij mij staat het er ook in... maar blijkt toch iets te zijn van microsoft zenne

edit: hmm tiens nu blijkbaar nimeer... das blijkbaar soms alleen

Gordon Freeman
16 april 2004, 21:17
Ik heb juist de volgende 3 uitgeschakeld in msconfig, alles van enjoysearch.info verwijderd en gereboot.

dit = opdracht: Dit.exe
1008 = opdracht: Utility.exe in system32
hlp16 = opdracht: hlp16.exe

Het probleem is er nog altijd. En windows werkt ook nog goed. Als er nog oplossingen zijn?

j .
16 april 2004, 21:44
Dit.exe is van een kaartlezer(smartmedia e.d.).
rundll32 amecsa = opdracht: rundll32 amecsa.cpl,RUN_DLL is ADSL modem control panel.


Wat mag weg:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.enjoysearch.info/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.enjoysearch.info/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.enjoysearch.info/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.enjoysearch.info/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.enjoysearch.info/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.enjoysearch.info
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.enjoysearch.info/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.enjoysearch.info
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.enjoysearch.info/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.enjoysearch.info/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.enjoysearch.info/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.enjoysearch.info
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.enjoysearch.info/search.html



Dit is zo goed als zeker het sober-virus:
O4 - HKLM\..\Run: [hostend871] C:\WINDOWS\System32\hlp16.exe
Scan dus eens online. N.B. Soms vinden de scanners niets, wis dan dit eens en scan opnieuw.


Deze ken ik niet, en ik vind er heel weinig over (niets negatiefs). Als het voorgaande niet helpt, als laatste verwijderen (je kan met de backupfunctie altijd een sleutel terugzetten als je backups maken in hijackthis aangevinkt hebt):
O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008

Als dit niet je normale startpagina is, mag dit weg:
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.be

j .
16 april 2004, 21:52
C:\WINDOWS\jushed32.exe is misschien een updater van sun-java, maar ik vind alleen jushed.exe, dus als je niet weet wat het dan wel is -> verdacht -> afvinken in msconfig, de updater is zo al overbodig (tenzij je steeds de nieuwste java wilt:D )

Voor sober-virus (vorige post): scannen in veilige modus, of na herstart.

Gordon Freeman
16 april 2004, 23:08
hlp16.exe is inderdaad sober virus. Heb het verwijder en gescant met McAfee Stinger. Zowel in veilige modus als na reboot en hij vind niks meer terug. hlp16.exe is ook uitgeschakeld in msconfig.

Zou dat goed genoeg zijn om Sober kwijt te zijn?

Ondertussen is mijn startpaginaprobleem nog altijd nie opgelost. Met CWShredder en Hijackthis kan ik het verwijderen maar na reboot is het terug.

Nog voorstellen? Alles is welkom?

Vladimirvlad
17 april 2004, 09:26
Al gescand met Ad-Aware 6.0 ??? Die ziet echt alle spyware ;) Wel updaten voor gebruik ;)

j .
17 april 2004, 22:17
Het is wel degelijk die jushed32.exe.
Ga naar start>uitvoeren>msconfig, en vink jushed32.exe uit. Herstart in veilige modus. Hernoem jushed32.exe naar jushed32.bak. Gebruik nu CWshredder, test opnieuw met hijackthis, en wis indien nodig.
Wis nu ook alle cookies en de internet cache.
Herstart, en hopelijk is het nu opgelost.

Als je een foutmelding in verband met jushed32.exe krijgt, opschrijven en hier posten.

N.B. Als je problemen krijgt met windows media player, ligt het ook aan deze spyware.

Gordon Freeman
18 april 2004, 12:35
Is goed mogelijk. Heb Windows Media Player al moeten opnieuw installeren.

Gordon Freeman
18 april 2004, 13:47
Het probleem is opgelost.

jushed32.exe uitgevinkt, heropgestart in veilige modus en verander in .bak. Met CWhredder alles hersteld en alles is weer goed nu.

Toch nog een paar vraagjes.
In msconfig staat jushed32.exe nog altijd aangevinkt. Maar het doet niks maar aangezien het niet meer bestaat maar nu .bak noemt. Mag ik jushed32.exe uitvinken of nie?

Wat als ik jushed32.bak nu verwijder? Zal dat gevolgen hebben? problemen geven?


1000 x thx aan j .

j .
18 april 2004, 20:15
Vink maar uit, kan geen kwaad. (En anders vink je het terug aan ;) )
Normaal gesproken kan je het verwijderen, maar ik zou even wachten(sommige "verrassingen" duiken pas wat later op); als er na een week of zo geen problemen opduiken, mag het weg.

Mag ik een klein programmaatje aanraden (neemt maar 208 KB geheugen in) dat je waarschuwt telkens een programma/webpagina/... probeert een toepassing mee te laten opstarten als je windows opstart: Startupmonitor (http://www.mlin.net/StartupMonitor.shtml)
Als je zelf geen programma/update installeert, en je krijgt een boodschap, weet je al genoeg. Helpt niet tegen alles, maar toch tegen heel wat...