Knop "zoeken" in Internet-exploror

[joepie]

Ik ben voor de zekerheid ook nog even gaan zoeken in het register.
Daar vond ik op de plaats die door Roby werd genoemd (MAIN) niet meer die sleutel. Die is er dus niet meer. Wel vond ik een sleutel met HOMEOLDSP met daarop weer die vervelende URL van The Hun.
Diezelfde sleutel kwam ik overigens met zoeken op nog twee andere plaatsen tegen.
(En ik wacht rustig af, alvast bedankt.)

 

[roby]

Betere optie

Als je deze sleutels die ik geef selecteer en kopieert dan opslaan in kladblok onder de naam google.reg en er daar naa op klik zal ie je register aanpassen met de zoekfunctie van google . wil je dat niet moet je ff die google vervangen voor de link die jij als zoek pagina wil .
------------------------------------------------------------------------

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.google.com"
"Search Bar"="http://www.google.com/ie"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURL]
""="http://www.google.com/keyword/%s"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.google.com/ie"

------------------------------------------------------------------------

Dus alles selecteren incl. regedit 4

 

[joepie]

Wil dat wel doen maar ik ben bang dat er meer aan de hand is.
VAnaf het moment dat ik de MSN pagina weer had komt mijn virusscanner ongveer ieder half uur met de mededeling dat BACKDOOR.ROBOT.B toegang wil tot mijn pc.
Ik laat de virusscanner dat bestand vernietigen, maar bijna meteen daarna komt Ad-Watch met de mededeling dat PSEXESVC.exe contact wil maken met internet. Dat block ik dan wel en vervolgens laat ik Ad-Aware zoeken.
Die vind dan in het register onder H-Key Local Machine\System\Current Controlset\Services\psexesvc.
Dat verwijder ik, maar kennelijk helpt dat niet. Na ongeveer een half uur begint alles weer opnieuw en kan ik dat bestand weer laten verwijderen.
Ook komt er telekens zonder aanwijsbare reden In C:\Winnt\system32 het bestand psexesvc te staan. Verwijderen helpt niet. Op (on)regelmatige tijden, nadat Backdoor.rsbot.b zich weer heeft aangediend staat dat bestand er gewoon weer...
Begin er moedeloos van te worden.
Verder ben ik datzelfde bestand (Psexesvc) op verschillende plaatsen in het register tegengekomen.
Zou het daar wel willen verwijderen, maar ik weet niet of dat zomaar kan.
Staat o.a. bij HKey Local machine\Software\Microsoft\System\Root\legacy\Psexesvc en ........system\controlset 002\enum\root\legacy\psexesvc en in ....controlset 002\services\psexesvc

Is hier nog iet mee te doen of moet ik voorzichtig aan een format gaan denken (zucht)

 

[Pieter Arntz]

Probeer eerst nog eens een online scan bij www.housecall.nl

Groetjes,

Pieter

 

[joepie]

Dat heb ik al gedaan. Er wordt niets gevonden.
Dat kan ook wel kloppen want volgens mij is het zo dat er vanuit de pc getracht wordt om het virus op te halen.
Volgens mij start er met de pc "iets"op dat er voor zorgt dat dat proces in werking gezet wordt.
Iets dat (denk ik) wel in het register verstopt zit.....

Verder ben ik er achter gekomen dat bij het scannen van de pc met ad-aware dat programma nu steeds vastloopt wanneer de map RECYCLER bekeken wordt en op datzelfde moment geeft de virusscanner aan dat het die backdoor is gevonden. Die wordt dan dus wel verwijderd, maar bij het opnieuw scannen met Ad-aware herhaald alles zich weer.

 

[Pieter Arntz]

Ahh.
Zet je systeemherstel uit, reboot, zet systeemherstel weer aan en maak handmatig een nieuw herstelpunt aan.

Dat zou moeten helpen. Adaware scant je herstelpunten en zet die tijdelijk in een normaal bestand neer om ze te onmderzoeken. Dan herkent je virusscanner het en geeft alarm. Dat gebeurt er volgens mij.

Groetjes,

Pieter

 

[Eagle Creek]

Geplaatst door Pieter Arntz
Ahh.
Zet je systeemherstel uit, reboot, zet systeemherstel weer aan en maak handmatig een nieuw herstelpunt aan.

Dat zou moeten helpen. Adaware scant je herstelpunten en zet die tijdelijk in een normaal bestand neer om ze te onmderzoeken. Dan herkent je virusscanner het en geeft alarm. Dat gebeurt er volgens mij.

Groetjes,

Pieter

Pieter: RECYCLER is toch de prullenmand, en niet systeemrestore? Teminste, dat dacht ik altijd.

 

[Pieter Arntz]

En je hebt gelijk. :dom:

Gooi ook even je prullenbak leeg, als dat niet werkt geef dan nog even een gil. Ik heb nog wel ergens staan hoe je hem in DOS kunt verwijderen, zodat er een nieuwe aangemaakt wordt.

Groetjes,

Pieter

 

[roby]

Kan ook in register prullebak repareren , kopieeer en plak het onderstaande in het kladblok en sla het op als prullenbak.reg

------------------------------------------------------------------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{645FF040-5081-101B-9F08-00AA002F954E}]
@="Recycle Bin"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}]
@="Recycle Bin"
"InfoTip"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,\
6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,\
00,53,00,48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,\
2d,00,32,00,32,00,39,00,31,00,35,00,00,00
"SortOrderIndex"=dword:00000060
"IntroText"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,\
6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,\
00,53,00,48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,\
2d,00,33,00,31,00,37,00,34,00,38,00,00,00
"LocalizedString"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,\
6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\
00,5c,00,53,00,48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,\
2c,00,2d,00,38,00,39,00,36,00,34,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\
65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,33,00,31,00,00,\
00
"Empty"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,\
68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,33,00,31,\
00,00,00
"Full"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,\
68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,33,00,32,\
00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\InProcServer32]
@="shell32.dll"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shellex]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shellex\ContextMenuHandlers]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shellex\ContextMenuHandlers\{645FF040-5081-101B-9F08-00AA002F954E}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shellex\PropertySheetHandlers]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shellex\PropertySheetHandlers\{645FF040-5081-101B-9F08-00AA002F954E}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\ShellFolder]
"Attributes"=hex:40,01,00,20
"CallForAttributes"=dword:00000040

-----------------------------------------------------------------------

 

[joepie]

Bedankt voor alle goede bedoelingen maar volgens mij is het verwijderen van de bestanden geen probleem. Mijn virusscanner kan ze (ook in Recycler) wel verwijderen, maar ze blijven terugkomne. Ik denk dat er iets wordt opgestart als de pc opstart en dat dat dan actief blijft. Hierdoor wordt het bestand psexesvc steeds in mijn windows system32 directory geplaatst en blijft ook gewoon terugkomen nadat het is verwijderd. Volgens mij zelfs op momenten zonder dat de pc opnieuw werd opgestart.
Ook komt de registersleutel H-Key Local Machine\System\Current Controlset\Services\psexesvc. gewoon terug nadat die verwijderd is.
Iemand enig idee hoe of waar ik dat opstartende iets kan vinden?

 

[roby]

Heb nog eens op dit woord gezocht SEXESVC.exe
Die weer naar deze site leid http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_DELODER.A&VSect=T
Daar hebben ze het ook over een worm kijk voor de gein is hoe dat bij jou in het register zit bij HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run

 

[joepie]

Dag Roby, Pieter en al die andere hulpvaardigen.
Uiteraard ben ik zelf ook op onderzoek geweest op internet m.b.t. dit probleem en kwam daarbij o.a. ook uit op de genoemde site. Echter dat geeft zo ook niet meteen de juiste oplossing.

Waar ik inmiddels wel achter ben is het volgende:
Als ik de pc aanzet en hem meteen laat bekijken door AdAware dat vind die in C:\Winnt\system meteen het bestand PSEXESVC.EXE.
Dat kan ook zonder problemen verwijderd worden door AdAware.
Bij een tweede zoekronde door AdAware meteen daarna wordt dat bestand ook niet meer terug aangetroffen. Ook met zoeken in bestanden en mappen wordt niets aangetroffen.
Echter als ik in het register ga zoeken (regedit) dan kom ik nog steeds het een en ander tegen. n.l:
HKEY_LOCAL_MACHINE\system\controlset001\enum\root\legacy_psexesvc
Daaronder (uitgeklapte map) in de map 0000 rechts in beeld de sleutels:
DEVICEDESK: psexesvc en SERVICE: psexesvc

HKEY_LOCAL_MACHINE\system\controlset002\enum\root\legacy_psexesvc
Daaronder (uitgeklapte map) in de map 0000 rechts in beeld de sleutels:
DEVICEDESK: psexesvc en SERVICE: psexesvc

HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_psexesvc
Daaronder (uitgeklapte map) in de map 0000 rechts in beeld de sleutels:
DEVICEDESK: psexesvc en SERVICE: psexesvc

Verder bij HKEY_CURRENT_USER\software\microsoft\internetexplorer\explorerbars\
{C4EE31F3-4768-11D2-BE5C-00AOC9A83DA1}\files
FILES NAMED MRU, 17 bestanden die bij mijn zoektocht op internet steeds met het virus Backdoor.rsbot in verband gebracht worden.

Mijn vraag is eigenlijk of iemand me kan vertellen of ik deze sleutels kan verwijderen zonder nog verder in de problemen te komen met mijn pc (niet meer opstarten of iets dergelijks?) Anders zou ik dat wel eens willen proberen om te zien of dat helpt.

Als iemand wil helpen, dan graag.....

 

[Pieter Arntz]

Hoi joepie,

Ik zie geen gevaar in het verwijderen van die sleutels, maar maak voor de zekerheid een backup van het register (of een herstelpunt) voor je ze verwijdert.

Als dat nog niet het gewenste resultaat oplevert.
Doe dan eens in HijackThis Config > Misc Tools > Generate Startuplist en plaats het tekst bestandje dat aangemaakt wordt. Ik heb het gevoel dat er nog een progje in het spel is dat die sleutels steeds terugzet.

Groetjes,

Pieter

 

[roby]

Idd wel een backup want zondergevaar verwijderen geloof ik niet zo , het kunnen sleutels zijn die nodig zijn maar waar misschien door die backdoor een andere waarde aan gegeven is .

 

[joepie]

Ja, iedereen roept altijd om een backup te maken van het register, maar hoe doe ik dat en hoe zet ik de backup eventueel terug?

Overigens hier het overzichtje.

StartupList report, 8-5-2003, 17:33:04
StartupList version: 1.52
Started from : E:\Program Files\HiJackThis\HijackThis.EXE
Detected: Windows 2000 SP3 (WinNT 5.00.2195)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
==================================================

Running processes:

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\BlackICE\blackd.exe
C:\WINNT\System32\svchost.exe
e:\program files\Fsecure\Anti-Virus\fsgk32st.exe
e:\program files\Fsecure\Anti-Virus\FSGK32.EXE
e:\program files\Fsecure\Anti-Virus\fssm32.exe
C:\Program Files\BlackICE\rapapp.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
e:\program files\Fsecure\Common\FSMA32.EXE
e:\program files\Fsecure\Common\FSMB32.EXE
e:\program files\Fsecure\Common\FCH32.EXE
e:\program files\Fsecure\Common\FAMEH32.EXE
e:\program files\Fsecure\Common\FNRB32.EXE
e:\program files\Fsecure\Common\FIH32.EXE
e:\program files\Fsecure\Anti-Virus\fsav32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\CTHELPER.EXE
E:\program files\Fsecure\Common\FSM32.EXE
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb01.exe
C:\WINNT\anvshell.exe
E:\PROGRA~1\MOUSEW~1\Logitech\SYSTEM\EM_EXEC.EXE
E:\Program Files\Mouseware\iTouch.exe
C:\WINNT\System32\internat.exe
C:\Program Files\BlackICE\blackice.exe
E:\Program Files\Ad-aware 6\Ad-watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\Program Files\HiJackThis\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten]
BlackICE PC Protection.lnk = C:\Program Files\BlackICE\blackice.exe
Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office10\OSA.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Synchronization Manager = mobsync.exe /logon
WINDVDPatch = CTHELPER.EXE
Jet Detection = "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
F-Secure Manager = "e:\program files\Fsecure\Common\FSM32.EXE" /splash
LoadQM = loadqm.exe
HPDJ Taskbar Utility = C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb01.exe
ASUSTweakEnable = C:\Program Files\ASUS\Tweaking Utilities\atstart.exe
anvshell = anvshell.exe
EM_EXEC = e:\PROGRA~1\MOUSEW~1\Logitech\SYSTEM\EM_EXEC.EXE
NeroCheck = C:\WINNT\system32\NeroCheck.exe
zBrowser Launcher = E:\Program Files\Mouseware\iTouch.exe
Ad-watch = E:\Program Files\Ad-aware 6\Ad-watch.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

internat.exe = internat.exe
ASUS SmartDoctor = C:\Program Files\ASUS\SmartDoctor\VGAProbe.exe FirstTime

--------------------------------------------------

Shell & screensaver key from C:\WINNT\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - e:\program files\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

--------------------------------------------------

Enumerating Download Program Files:

[HouseCall Besturing]
InProcServer32 = C:\WINNT\DOWNLO~1\xscan53.ocx
CODEBASE = http://a840.g.akamai.net/7/840/537/2003050201/housecall.antivirus.com/housecall/xscan53.cab

[CamImage Class]
InProcServer32 = C:\WINNT\Downloaded Program Files\AxisCamControl.ocx
CODEBASE = http://www.nioz.nl/activex/AxisCamControl.ocx

[Update Class]
InProcServer32 = C:\WINNT\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37635.2060416667

[Shockwave Flash Object]
InProcServer32 = C:\WINNT\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[MSN Chat Control 4.5]
InProcServer32 = C:\WINNT\Downloaded Program Files\MSNChat45.ocx
CODEBASE = http://fdl.msn.com/public/chat/msnchat45.cab

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: c:\documents and settings\administrator\favorieten\crack's\trinsic serials cracks serialz crackz.url


--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
WebCheck: C:\WINNT\System32\webcheck.dll
SysTray: stobject.dll

--------------------------------------------------
End of report, 6.141 bytes
Report generated in 0,040 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only


Overigens heb ik windows 200 dat volgens mij geen herstelpunten aan kan maken....

 

[Pieter Arntz]

Start > UItvoeren > regedit > OK selecteer Deze computer en kies exporteren.
Het gemaakte bestand is een backup van je register.

Groetjes,

Pieter

 

[Eagle Creek]

Geplaatst door Pieter Arntz
Start > UItvoeren > regedit > OK selecteer Deze computer en kies exporteren.
Het gemaakte bestand is een backup van je register.

Groetjes,

Pieter

Pieter, ik heb altijd gehoord dat je maar 1 of 2 hoofdmappen hoeft te exporteren omdat toch niet het hele register terug gezet kan worden. Weet jij daar iets van?

 

[Bennie]

In principe kan je zelf kiezen wat je wilt backuppen. Als je maar een paar sleutels verandert, hoef je niet het hele register te backuppen.

Terug naar Joepie:

Ik vertrouw de volgende regel voor geen cent:

Windows NT 'Wininit.ini':
PendingFileRenameOperations: c:\documents and settings\administrator\favorieten\crack's\trinsic serials cracks serialz crackz.url

Weet jij daar het fijne van Pieter?

Groetjes,
Bennie

 

[Pieter Arntz]

Goed gezien, Bennie.

Ik heb er iets over gevonden, maar daarvoor moet ik een site bezoeken die de server op mijn werk weigert weer te geven. Daar kijk ik vanavond thuis nog wel even naar.

Die LEGACY_psexesvc sleutels kunnen volgens mij gewoon in hun geheel verwijderd worden. Ik heb er een hele hoop met LEGACY_, maar niet die LEGACY_psexesvc
Die MRU's zou ik me niet zo druk om maken, die worden waarschijnlijk veroorzaakt door je zoektochten op het net naar informatie hierover.

Groetjes,

Pieter

 

[joepie]

Hallo,
Ik heb getracht om de sleutels te verwijderen, maar windows laat dat niet toe. Ik krijg een melding dat er een fout is met "het delen van het bestand" als ik de sleutels uit het register wil verwijderen.
Zels in de veilige modus staat windows dat niet toe.
Ondertussen heb ik wat op internet gezocht naar LEGACY sleutels en dat zijn inderdaad sleutels die windows bij het opstarten gebruikt om bepaalde programma's meteen mee op te starten.
Waarschijnlijk is het programma psexesvc dus al actief voortdat ik het (ook in de veilige modus) kan verwijderen.