Archief - autopopup map

ik heb een klein probleempje
ik vond het zo vreemd dat er telkens minder ruimte kwam op mijn HD terwijl ik nix extra ofzo installeerde. soms verwijderde ik proggie's en toch werd mijn ruimte kleiner. vond ik zeer mysterieus en ging dan opzoek. ik kwam dan een map tegen C:\Documents and Settings\accountnaam\Local Settings\Temp\autopopup
die map was 1+ gig groot. k klikte op de map zelf en probeerde die te verwijderen maar toegang werd geweigerd. dus opende ik de map en begon k de inhoud te verwijderen deel per deel, want als k alles selecteerde en dan probeerde te verwijdere crashte da constant. dus elke keer 1000+ bestanden selecteren en verwijderen en dan een tijdje volgehouden. uiteindelijk was heel die map leeg. dus de inhoud kon k verwijdere, maar de map zelf ni. nu d8 k dat t probleem was opgelost maar nu een paar weken later heb k tzelfde probleem. ondertss is die al 600Mb trug groot. kheb al adaware en spybot gerund op pc en veel spyware en adaware gevonden enzo, maar dees probleem is wel truggekomen. heeft iemand dit probleem ook al gehad? heb de searchfunctie gebruikt met als trefwoord "autopopup" maar kheb nix gevonde....
kan iemand me helpen? liefst concrete oplossing.
MVG
Choco

kan je eens een hijack this log posten? kan al veel duidelijk maken...

kheb een probleempje met het saven van mijn log
k krijg dit:
dus k klik op scan, en dan op save log
dan krijg k t kaderke save as...
k duid locatie aan (bureaublad) en als filename hijackthis en type .log en als k dan op opslaan klik gebeurt er t volgende:
k krijg een melding van norton antivirus "norton has detected and removed a virus from your computer"
object name: c:\...\..... hijackthis.log
virus name: MHTMLRedir.Exploit
action taken: the file was automatically deleted
dus norton denkt een virus te vinden en verwijdert het.
k klik gewoon op "ok" en doe dit weg en heb dan t volgende:
kladblok opent en zegt "kan het bestand c:\doc&settings\.....\...\hijackthis.log niet vinden wilt u een nieuw bestand maken?" dus k klik op ja en dan heb ik gewoon een leeg kladblok openstaan
t kan zijn da norton denkt een virus te hebben gevonden maar dat da hoort bij die hijackthis. moet k dan ff tijdelijk norton disabelen?
MVG
Choco

heb al eens gaan zien op symantec webstek... ze hebben een en ander te melden over die MHTMLRedir.Exploit



http://securityresponse.symantec.com/avcenter/venc/data/mhtmlredir.exploit.html



en ze verwijzen naar een MS-patch (04-013 ofzoiets) die je op deze link kan vinden http://www.microsoft.com/technet/security/bulletin/ms04-013.mspx


weet ni of dit al kan helpen, maar zou anders eens proberen met die patch al te installen en dan eens hijack this opnieuw te laten lopen

nixke, patch is voor iets in outlook te fixe, maar kheb ni eens outlook. kheb ze allemaal probere te dwlen en als k wil installere zegt t altijd dat k eerst outlook moet installere dus...
zou het heel dom zijn om norton heel ff af te zetten voor die log op te slagen? want t ligt duidelijk aan da programma. mss zit er in die log juist een virus waardoor norton optreedt?
MVG
Choco

nog is verder gezocht.. op een ander forum http://www.ozzu.com/ftopic19525.html en daar heeft er enen ook da prob

Hi, this may not be connected but my daughter had the same problem with her IE on a PC running Win98SE. IE had had been rendered useless, it just took forever or hung completely.
It turned out to be a folder, some kind of tracker or hijacker or something, called 'autopopup' in her C/Windows/Temp file. once it was deleted (it contained 1.3GB of junk) IE worked perfectly.

Each time she opens IE, dialled up or not, the folder is reproduced but is empty, presumably junk is added over time. I haven't worked out how to get rid of it entirely but at least we have found we can circumvent it by deleting it after each IE use, until we find a permanent solution.

I assume, if such a folder is on an XP machine, it would appear in Winnit/Temp folder.

Clearing cookies and temp internet files obviously does not deal with this. I found it by running Webroot's Window Washer, as Ad-Aware and Spybot S&D didn't find it. When Window Washer got to 1.2GB of temporary files scanned, I stopped it and went on search of the folder it was looking in and found it to be Temp.

Anyway. Possibly nothing to do with your problem but it sounded very similar.


If you do find it to be that and you find a way of stopping 'autopopup' folder being regenerated each time IE is opened, I'd be interested to know how to do that too.



:doh: hem heeft er geen oplossing voor... moet ergens virus/spyware zijn, dus hebben echt hijack this log nodig...


Heb je al eens geprobeerd via veilige modus? wordt hier vrij vaak vermeld... mss dat je zo alsnog een log kan genereren...

LSD-ProZac zei:

nog is verder gezocht.. op een ander forum http://www.ozzu.com/ftopic19525.html en daar heeft er enen ook da prob

Hi, this may not be connected but my daughter had the same problem with her IE on a PC running Win98SE. IE had had been rendered useless, it just took forever or hung completely.
It turned out to be a folder, some kind of tracker or hijacker or something, called 'autopopup' in her C/Windows/Temp file. once it was deleted (it contained 1.3GB of junk) IE worked perfectly.

Each time she opens IE, dialled up or not, the folder is reproduced but is empty, presumably junk is added over time. I haven't worked out how to get rid of it entirely but at least we have found we can circumvent it by deleting it after each IE use, until we find a permanent solution.

I assume, if such a folder is on an XP machine, it would appear in Winnit/Temp folder.

Clearing cookies and temp internet files obviously does not deal with this. I found it by running Webroot's Window Washer, as Ad-Aware and Spybot S&D didn't find it. When Window Washer got to 1.2GB of temporary files scanned, I stopped it and went on search of the folder it was looking in and found it to be Temp.

Anyway. Possibly nothing to do with your problem but it sounded very similar.


If you do find it to be that and you find a way of stopping 'autopopup' folder being regenerated each time IE is opened, I'd be interested to know how to do that too.



:doh: hem heeft er geen oplossing voor... moet ergens virus/spyware zijn, dus hebben echt hijack this log nodig...


Heb je al eens geprobeerd via veilige modus? wordt hier vrij vaak vermeld... mss dat je zo alsnog een log kan genereren...

Klik om te vergroten...

heb dus idd tzelfde probleem als die gast
opstarten in veilige modus? en dan hijackthis runnen en een log proberen te maken? zal k is probere
MVG
Choco

Logfile of HijackThis v1.97.7
Scan saved at 21:24:17, on 20-9-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\System32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINXP\System32\nvsvc32.exe
C:\WINXP\System32\svchost.exe
C:\Program Files\Common Files\WinTools\WToolsS.exe
C:\WINXP\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINXP\System32\Win32Explorer.exe
C:\WINXP\System32\GSICON.EXE
C:\WINXP\System32\dslagent.exe
C:\Program Files\Common Files\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common Files\WinTools\WToolsA.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Common Files\WinTools\WSup.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINXP\System32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\oulouf.ROTBAK\Bureaublad\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C77E900A-FF55-400E-9BAA-E042C8212898} - (no file)
O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINXP\IEHelper.dll
O2 - BHO: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - (no file)
O2 - BHO: (no name) - {F2863EDE-7980-443A-AEA2-0F46076D590F} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXP\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Win32Explorer] C:\WINXP\System32\Win32Explorer.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Common Files\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinTools] C:\Program Files\Common Files\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Explorer] C:\WINXP\iexplore.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Gelijkwaardige pagina's - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: AdsGone (HKLM)
O9 - Extra 'Tools' menuitem: &AdsGone Settings (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...pple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://google-be1.s-x.be/exe/google-be1/pornoramabe.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {9B4AA442-9EBF-11D5-8C11-0050DA4957F5} - http://www.cavello.com/dialxs/plugins/d/1/071/be.exe
O16 - DPF: {AD8D3C68-0C60-4B53-8A9E-BC654BBB36FE} (download_35mb_com.applet) - http://www.35mb.com/downloadapplet.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab30149.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{370C034C-EA0F-4F6D-9F3C-48DB0D2F0D09}: NameServer = 195.238.2.21 195.238.2.22

voila
die norton is echt megabelachelijk aant doen ze. khad dus in veilige modus opgestart en da lukte om die log te maken. start trug in normale modus op om op internet te geraken en wil da bestandje openen, geeft die stomme norton weer een virusmelding en verwijdert die da bestandje. heb die dan maar ff gedisabeld.
kwil u eigenlijk al bedanken omda ge echt heel veel moeite zijt aant doen precies. en da apprecieer ik heel hard
thnx
MVG
Choco

nog wa verder gezocht (zal dan die log is bezien, hoop dat st3phen en j. ook is meezien want ben er nog geen expert in...)



http://forum.emsisoft.com/viewtopic.php?t=1017 en wa scrollen... een of ander javascript-thingie is de oorzaak voor die folder JS/Psyme found at:
C:\Documents and Settings\~\Local Settings\Temp\autopopup\htm4148.tmp

te fixen


C:\Program Files\Common Files\WinTools\WToolsS.exe
C:\Program Files\Common Files\WinTools\WToolsA.exe
C:\Program Files\Common Files\WinTools\WSup.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {C77E900A-FF55-400E-9BAA-E042C8212898} - (no file)
O2 - BHO: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - (no file)
O2 - BHO: (no name) - {F2863EDE-7980-443A-AEA2-0F46076D590F} - (no file)
O4 - HKLM\..\Run: [WinTools] C:\Program Files\Common Files\WinTools\WToolsA.exe



ken ik niet, mss even mee wachten:
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://google-be1.s-x.be/exe/google-be1/pornoramabe.exe

O16 - DPF: {9B4AA442-9EBF-11D5-8C11-0050DA4957F5} - http://www.cavello.com/dialxs/plugins/d/1/071/be.exe

hmm, die had AVG geinstalleerd en had da gevonden, maar toen die trug norton had geinstalleerd liep er iets mis....
wat denk jij dat het beste anti-virus proggie zou zijn om da te detecteren? maar is het wel een virus. want die map geraakt gwn voller en voller, maar voor de rest is alles in orde met mijn pc, denk k toch... die houdt gwn bestanden bij waardoor mijn HD altijd vol geraakt...
MVG
Choco

JS/Psyme is een trojan... sommigen zeggen dat ze hem weg gekregen hebben door hun temp internet files folder leeg te maken (is een optie die je kan instellen in het geavanceerde gedeelte van internet explorer...)

removal etc:

bij mcafee http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100749

bij symantec : http://securityresponse.symantec.com/avcenter/venc/data/downloader.psyme.html

WToolsS en die andere zijn spyware die je beter met pestpatrol/adaware kan verwijderen (again, opstarten in safe mode, laten lopen, rebooten,...)


beste antivir? geen idee, ik heb heel goede ervaringen met mcAfee 7 (heb corporate dankzij mijn werkgever, die is slim genoeg om zijn werkenemers een degelijke antivir te geven...) in combinatie met pestpatrol + adaware SE + Spybot S&D + en blackice defender

Logfile of HijackThis v1.97.7
Scan saved at 21:53:01, on 20-9-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\System32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINXP\System32\nvsvc32.exe
C:\WINXP\System32\svchost.exe
C:\Program Files\Common Files\WinTools\WToolsS.exe
C:\WINXP\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINXP\System32\Win32Explorer.exe
C:\WINXP\System32\GSICON.EXE
C:\WINXP\System32\dslagent.exe
C:\Program Files\Common Files\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common Files\WinTools\WToolsA.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Common Files\WinTools\WSup.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\WINXP\System32\wbem\wmiapsrv.exe
C:\Documents and Settings\oulouf.ROTBAK\Bureaublad\HijackThis.exe

R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINXP\IEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXP\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Win32Explorer] C:\WINXP\System32\Win32Explorer.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Common Files\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Explorer] C:\WINXP\iexplore.exe
O4 - HKLM\..\Run: [WinTools] C:\Program Files\Common Files\WinTools\WToolsA.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Gelijkwaardige pagina's - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...pple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://google-be1.s-x.be/exe/google-be1/pornoramabe.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {9B4AA442-9EBF-11D5-8C11-0050DA4957F5} - http://www.cavello.com/dialxs/plugins/d/1/071/be.exe
O16 - DPF: {AD8D3C68-0C60-4B53-8A9E-BC654BBB36FE} (download_35mb_com.applet) - http://www.35mb.com/downloadapplet.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab30149.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{370C034C-EA0F-4F6D-9F3C-48DB0D2F0D09}: NameServer = 195.238.2.21 195.238.2.22



pffff,als k fix, moet k dan pc opnieuw opstarte? want daar zegt die wel nix van. maar als k alles aanklik wa k moest aanklikke komen er toch bepaalde dinges trug....
bv die Wtools, kheb da dus in mijn processen staan en k weet ook die map zijn. kwou da is manueel verwijderen maar die map ging niet weg, dus kheb t dan eerst proberen uit te schakelen in mijn processen, maar als k da proces beëindig komt da gwn ineens trug.... tis echt serieus hardnekkig
MVG
Choco

ah k thnx
zal da allemaal is ff probere
MVG
Choco

kben mijn temp map aant scannen met norton (update elke week) en die zit in die map te scannen maar tot nu toe nix gevonden. moet ik een VOLLEDIGE systemscan doen? of zit die .psyme trojan alleen in temp map? ga strax eerst volledige scan doen, dan opstarten in veilige modus, adaware runnen + pestcontrol + spybot search and destroy. en hopelijk is het dan wel weg. anders is da wel een serieuze trojan...
MVG
Choco

aangezien je norton gebruikt nog is aan het zien op de site van symantec...


REMOVAL

The following instructions pertain to all current and recent Symantec antivirus products, including the Symantec AntiVirus and Norton AntiVirus product lines.

1. Disable System Restore (Windows Me/XP).
2. Update the virus definitions.
3. Run a full system scan and delete all the files detected as Downloader.Psyme.

kijk ook of je in je startup-lijst van je startknop een van volgende vindt:

• C:\Windows\m.exe
• C:\Windows\mp.exe
• C:\Windows\dp.exe
• C:\Winnt\m.exe
• C:\Winnt\mp.exe
• C:\Winnt\dp.exe

wat die wtoolsb.exe/dll betreft => is de IBIS-toolbar/huntbar, wordt verwijderd door pestpatrol als je opstart in veilige modus (anders wordt die dll telkens opnieuw gestart en krijg je hem ni weg...)

Analyse van uw laatstgeposte log...

* Boot naar Veilige Modus voer HiJackThis uit

Te fixen:
C:\Program Files\Common Files\WinTools\WToolsS.exe
C:\WINXP\System32\Win32Explorer.exe
C:\Program Files\Common Files\WinTools\WToolsA.exe
C:\Program Files\Common Files\WinTools\WSup.exe
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINXP\IEHelper.dll
O4 - HKLM\..\Run: [Win32Explorer] C:\WINXP\System32\Win32Explorer.exe
O4 - HKLM\..\Run: [Explorer] C:\WINXP\iexplore.exe
O4 - HKLM\..\Run: [WinTools] C:\Program Files\Common Files\WinTools\WToolsA.exe
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocach...etup1.0.0.8.cab
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://google-be1.s-x.be/exe/google-be1/pornoramabe.exe
O16 - DPF: {9B4AA442-9EBF-11D5-8C11-0050DA4957F5} - http://www.cavello.com/dialxs/plugins/d/1/071/be.exe
O16 - DPF: {AD8D3C68-0C60-4B53-8A9E-BC654BBB36FE} (download_35mb_com.applet) - http://www.35mb.com/downloadapplet.cab

De eerste 4 zal je niet in HiJackThis kunnen fixen maar als je in Veilige Modus werkt worden ze zowiezo niet opgestart.

Na het fixen kan je best eens heropstarten.

Steven