Onbekende snelkoppeling op bureaublad

Status
Niet open voor verdere reacties.
Labradorreke

Labradorreke

Gebruiker
Lid geworden
7 jun 2001
Berichten
102
Wie weet er raar op mijn probleempje...
In de week kwam er ineens een snelkoppeling op mijn bureaublad te staan met de naam ww17 het icoon hiervan is een oranje kruis. Wanneer ik bij eigenschappen zie staat er dit:
"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.casinopalazzo.com/index.php?sourceid=107136

Heb reeds de map Temp leeggemaakt en geschiedenis en cookies gewist.
Ik heb Spyboth laten draaien en Regcleaner en AVG maar niets helpt om dit weg te krijgen. Wanneer ik de snelkoppeling verwijder staat ze er een dag later weer.
Dat was te denken natuurlijk.

Dus moet het wel ergens in het register zitten dacht ik...
Wanneer ik bij Regedit zoek naar ww17 krijg ik in de map ACMru/5603/ 000 REG_SZ ww17 te zien.
Kan ik dit veilig verwijderen? Of wat moet ik doen om dit vervelend iets voorgoed weg te krijgen??? Alvast bedankt!

Hierbij de Hijackthis log:

Logfile of HijackThis v1.98.2
Scan saved at 13:05:03, on 6/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Outlook Express\msimn.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Anick\Mijn documenten\Freeware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.skynet.be/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.compaq.com/2Q00CPT/0813/bF7.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Event Reminder.lnk = C:\Program Files\TLC Domus\PrintMaster\Pmremind.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TabUserW.lnk = C:\Program Files\Wacom\TabUserW.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Corel Network monitor worker - {3B66B7FE-2DCF-467D-B5A4-D68BB2BC4751} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {3B66B7FE-2DCF-467D-B5A4-D68BB2BC4751} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Corel Network monitor worker - {3B66B7FE-2DCF-467D-B5A4-D68BB2BC4751} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {3B66B7FE-2DCF-467D-B5A4-D68BB2BC4751} - (no file) (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52....com/abarth/nl/win/QuickTimeFullInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://virusscan.zdnet.nl/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AFC42C12-51B4-449A-BF00-7CCB6FCAED70}: NameServer = 195.238.2.21 195.238.2.22
 
Geplaatst door Labradorreke

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Klik om te vergroten...


Hallo Anick,

Dat is een heel vervelend probleem. In het log is het niet te zien, dus met HijackThis kunnen we het niet oplossen. Fix wel het bovenstaande item even, maar dat zal het probleem dus niet verhelpen.

Scan eens met Bazooka, misschien weet die de boosdoener te vinden: http://www.kephyr.com/spywarescanner/
Bazooka zal het niet voor je verwijderen trouwens, dat moet je zelf doen. Ik ben benieuwd of het lukt.

Ik blijf ondertussen zoeken naar een oplossing.
 
Bij Bazooka worden volgende twee objects aangegeven:

MS Media Player GUID
SystemDir.searchbar

Kan dit de reden zijn?
Beiden verwijderen?

Hoe kan ik eigenlijk voorkomen dat er zo'n
rommel op de pc komt?

Alvast bedankt voor het meezoeken!
 
Hallo Anick,


Laat die resultaten van Bazooka maar even zitten.

Ik denk de oplossing gevonden te hebben. Merkwaardigerwijs schijnt je probleem te liggen in die 09-items (zogenaamd van Corel) in je log. Dit kwam ik op het spoor dankzij dit topic op SpywareInfo. Toen heb ik nog wat verder gezocht en kwam inderdaad in logs van mensen met dit probleem steeds die items tegen.


Ik heb dus goede hoop dat het onderstaande zal werken:


1. Scan opnieuw met HijackThis, vink de onderstaande items (zie quote) aan, sluit alle vensters behalve HijackThis zelf (vooral ook die van IE en je mailprogramma) en klik dan op "Fix checked".

O9 - Extra button: Corel Network monitor worker - {3B66B7FE-2DCF-467D-B5A4-D68BB2BC4751} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {3B66B7FE-2DCF-467D-B5A4-D68BB2BC4751} - (no file) (HKCU)
Klik om te vergroten...

2. Herstart de pc in veilige modus.
Mocht je niet weten hoe dat moet, kijk dan hier even: http://www.virushelp.nl/veilige_modus.htm

Zorg ervoor dat verborgen bestanden en mappen worden weergegeven.
Hier kun je lezen hoe dat moet: http://users.telenet.be/marcvn/spyware/1117602.htm

- verwijder nu, in veilige modus dus, die vervelende snelkoppeling.

- leeg, nog steeds in veilige modus, de volgende mappen (de mappen zelf niet verwijderen, maar alles wat erin zit wel):

C:\Windows\Temp\
C:\Documents and Settings\jouw gebruikersnaam\Local Settings\Temp\
C:\Documents and Settings\jouw gebruikersnaam\Local Settings\Temporary Internet Files\

Heeft de pc meerdere gebruikers, leeg dan ook de mappen:

C:\Documents and Settings\andere gebruikersnaam\Local Settings\Temp\
C:\Documents and Settings\andere gebruikersnaam\Local Settings\Temporary Internet Files\

Doe dit voor alle gebruikers.

(Het zou kunnen dat Windows een paar bestandjes niet wil verwijderen, m.n. bij de Temporary Internet Files. Maak je daar geen zorgen om.)

- doe, nog steeds in veilige modus, schijfopruiming: Start -> Alle programma's -> Bureau-accessoires -> Systeemwerkset -> Schijfopruiming. Het 'berekenen' kan even duren. Vink alle opties aan.

3. Herstart de pc in 'normale modus'.


Hopelijk is dit voldoende om het definitief te verwijderen.
 
Laatst bewerkt:
Heb net alles gedaan wat je had aangeraden. (Had niet eerder de tijd ervoor)
Op het eerste zicht lijkt het weg maar de verwijzing in regedit naar die ww17 staat er nog steeds...
In mijn Zonealarm staat inderdaad een verwijzing naar Corel en verschillende .dat bestanden. Ik had ze in de week al geblokkeerd maar helaas hielp het niet veel want zelfs dan kreeg ik de snelkoppeling terug.
Nu na de schijfopruiming en dergelijke hou ik het wat in de gaten of het terugkomt of niet.
Kan het kwaad dat het in het register blijft staan?
Ik hou je op de hoogte.
 
Hoi Anick,

In het register staan vaak 'loze' verwijzingen die helemaal geen kwaad kunnen. Mocht je zeker weten dat bepaalde sleutels en/of waarden met CasinoPalazzo te maken hebben, dan zou je die kunnen verwijderen - maar maak wel vooraf een back-up van het register!

Je zou ook even een register-cleaner kunnen draaien, bijvoorbeeld RegCleaner:

- download: http://www.majorgeeks.com/download460.html
- kies Tools -> Registry clean-up -> Do them All
- even geduld hebben, RegCleaner scant nu en maakt de lijst van overbodige entries
- kies Select -> All
- klik Remove Selected
- klik Exit
- herstart de pc
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan