Problemen met ZoneAlarm, Winamp en Grabit

nono · 15 feb 2011

Mijn computer werd de laatste tijd wat traag en begon af en toe wat eigenaardig te doen, dus ik heb maar eens 'n "Format C:" losgelaten.

Mag ook wel d'r weer eens na 'n paar jaar.

Loopt allemaal wel weer lekker, maar bij 3 proggies zijn de problemen niet geheel over.

Zijn alledrie proggies die ik al zeker 10 jaar gebruik en ook regelmatig update.

Winamp (althans dat denk ik)

Een of andere onverlaat zet steeds mijn geluid uit.

Bij uitzetten van de computer hoor ik nog wel de afscheidstune, maar bij het opstarten krijg ik geen welkomslied.

Als ik dan op mijn luidspeakertje klik, zie ik dat de schuif van volume op 0 staat.

Ra ra.

ZoneAlarm Pro.

Na de laatste update ben ik de controle over dit proggie kwijt; ondanks dat ik heb aangeklikt, dat hij vooraf toestemming moet vragen, laat hij de meeste proggies onbelemmerd naar buiten gaan.

Zelfs vraagtekens overschrijft die; alleen voor "kill" heeft ie blijkbaar nog wat respect.

(Update kwam van de site van Zonealarm en is de laatste)

Ra ra

Grabit.

Zoals de vorige proggies; ook dit gebruik ik al decenialang, maar tegenwoordig blijft hij vaak bij de laatste file op "decoding" hangen. (niet altijd dus)

Grabit sluiten, batch bewaren ja; opnieuw Grabit opstarten en hoppa, hij maakt alsnog zijn werk af, probleem opgelost, alleen, zo hoort het natuurlijk niet.

Gekke is dus, dat hij dat niet altijd doet, maar ja, zo is de mogelijkheid "auto shutdown" dus niet meer te vertrouwen, m.a.w. je kan niet zo maar weggaan of naar bed gaan.

Ra ra

Heeft iemand 'n lichtpuntje in deze duisternis?

b.v.d.

MAS3 · 15 feb 2011

Download MBAM, en installeer het.

Start MBAM en voer meteen een update uit.

Haal de pc van het netwerk, en doe een volledige scan.

Vermoedelijk ga je dan toch wel wat vinden.

Eventueel kun je nogmaals een scan doen nadat je in safe mode gestart bent (F8 zodra de BIOS voorbij is).

nono · 15 feb 2011

Is dat zoiets als Hitman pro?

Die vindt namelijk niets

Black Tiger · 16 feb 2011

Hitman Pro was vroeger goed maar is inmiddels toch wel achterhaald. Malwarebytes is toch weer een stukje beter.

Soms ziet deze nog iets wat hij half als iets medium of licht gevaarlijk aantoont in de log, hetgeen achteraf als je verder gaat zoeken toch een bootsector rootkit of andere rootkit blijkt en dat is bijzonder link.

Werk je nog met XP?

Zo'n herinstallatie is natuurlijk mooi, maar het is dan ook belangrijk dat je alle updates en fixes van windows update (en de servicepacks) er ook weer op hebt staan.

Ik begin meestal met SP3, dan is het meesta al gebeurt en daarna de rest, duurt toch wel weer een tijdje. Met Vista ben je veel langer kwijt, omdat die bij SP3 niet automatisch ook sp1 en 2 er in heeft zitten zoals bij XP wel het geval is.

Updates zijn niet altijd een verbetering te noemen. Zo heeft MacAffee bijv. al tot 2x toe het klaar gekregen met een update pc systemen te blokkeren zodat die niet meer opstarten konden behalve in veilige modus, de laatste keer was zeer recent.

Winamp gebruik ik zelf ook, maar is net als veel andere bekende programma's net zo populair bij crackers als bij gebruikers. Vandaar dat het van belang is dit soort programma's op betrouwbare sites, liefst de site van de makers, te downloaden.

Probeer het mee-installeren van prullen (die 30 free music of zoiets wat winamp mee wil installeren en evt. google en andere onzinnige toolbalken) te vermijden. Die handel kun je het beste uitvinken.

Grabit heb ik hier ook geen problemen mee, versie 1.7.2. beta4 want da's de nieuwste.

Het kan natuurlijk ook wijzen op driver conflicten, problemen met geheugen ofzo, dus misschien dat je eens in het configuratiescherm bij systeembeheer je logboeken kunt nakijken of daar wat rode vermeldingen in te zien zijn.

Maar ik zou toch beginnen met de tip die Mas3 gaf.

nono · 16 feb 2011

Nou ik heb zoals Mas3 aanbevool de boel laten scannen.

Er werd inderdaad wel 't een en ander gevonden in voornamelijk de zgn. "sleutel.exe" die je nodig hebt bij de desbetreffende software, maar deze staan A: allemaal op mijn D partitie en B: ik heb ze na mijn herinstallatie niet aangeraakt.

Eentje begrijp ik niet:

Registerdata geïnfecteerd:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

HijackThis kan toch geen kwaad?

@Bt

Ik doe het nog met XP en alle updates kwamen "gewoon" binnen.

En ja als je al zo lang met Winamp werkt dan zie je inderdaad elk jaar dat er meer en meer "rommel" aan toegevoegd wordt, dus dat heb ik allemaal uitgeschakeld.

Maar ik heb Winamp ff verwijderd, maar het probleem met het aan- en uitzetten van 't geluid is niet opgelost daardoor

Grabit, inderdaad versie 1.7.2. beta4; zoals gezegd, jaren geen problemen mee gehad en nu dus opeens wel.

Een hardwareconflict zou wellicht eventueel kunnen: XP zeurde steeds om 'n Raidcontroller, maar die heb ik helemaal niet.

In het Bios heb ik aangegeven dat ik IDE heb, dus ik heb de raidcontroller maar uitgeschakeld.

Ik heb ZoneAlarm opnieuw geïnstalleerd, maar nu "met de hand" ipv automatisch.

Ziet er naar uit dat dat inderdaad iets is verbeterd.

Hij vraagt tenminste regelmatig weer om toestemming en er staat niet zo maar klakkeloos overal 'n groen vinkje bij.

MAS3 · 16 feb 2011

Hoi.

Het woord Hijack is iets anders als het pakket "Hijack this".

Hijack this is een pakket om (onder andere) hijacks tegen te gaan.

Een hijack betekent letterlijk een kaping en wanneer programma's zoals MBAM en Hijack this zo'n melding geven, dan hebben ze iets gevonden dat mogelijk kan leiden dat een vreemde jouw systeem zou kunnen overnemen (= kapen = hijacken).

Hoeft dus niet per se, kan ook een waarde in het register zijn die anders dan (de veilige) standaard is, maar die je bijvoorbeeld zelf hebt ingesteld.

Deze registersleutel laat het item "log off" of "afmelden" verdwijnen uit het startmenu.

Wanneer die mogelijkheid niet word geboden, is het moeilijker om uit te loggen en dat kan wanneer er meer van dat soort waardes aangepast zijn tot problemen leiden.

Wanneer je uitgelogd bent, kom je vanzelf in het login scherm terecht en zou je kunnen inloggen als een andere gebruiker, bijvoorbeeld eentje met Administrator rechten.

Wanneer dit een bewuste instelling van je is geweest, kun je dit item aanvinken en dan op negeer klikken.

MBAM zal het dan voortaan ongemoeid laten.

Is het geen bewuste keus van je geweest, kun je het laten herstellen en krijg je dus die knop weer terug in het startmenu.

Black Tiger · 17 feb 2011

Het zou anderszins misschien helemaal geen slecht idee zijn om Hijackthis van Trendmicro eens te downloaden en een logje ervan hier te plaatsen.

Kunnen we eens zien of er misschien toch nog vage zaken spelen. Dat kan zeker het geval zijn als je zelf die instelling om het logoff weg te halen niet zelf gedaan hebt.

nono · 17 feb 2011

???

Het wordt steeks gekker.

Ik heb geen bewuste keuze gemaakt, maar ik kan nog steeds via het startmenu uit- en aanloggen.

Nou hier komt mijn log; ben zeer benieuwd of jullie iets vinden, in ieder geval alvast bedankt voor het meedenken.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:28:12, on 17-2-2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 SP3 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe

C:\Program Files\CyberLink\Shared files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\CTHELPER.EXE

C:\Program Files\Trust\Ami Mouse 300 Cordless Dual Scroll\Amoumain.exe

C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe

C:\Program Files\Pinnacle\Pinnacle PCTV Deluxe\Remote\Remoterm.exe

C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe

C:\Program Files\Netropa\Onscreen Display\OSD.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

E:\Program Files\FTD Watchdog\FtdMonitor.exe

C:\Program Files\XemiComputers\Active Desktop Calendar\ADC.exe

C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe

C:\Program Files\Pinnacle\Shared Files\Programs\PCLEScheduler.exe

C:\Program Files\CPal\CPal.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\sol.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nos.nl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\Pinnacle PCTV Deluxe\Remote\Remoterm.exe

O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [FTD Watchdog Monitor] "E:\Program Files\FTD Watchdog\FtdMonitor.exe"

O4 - HKCU\..\Run: [Active Desktop Calendar] C:\Program Files\XemiComputers\Active Desktop Calendar\ADC.exe

O4 - HKCU\..\Run: [Gadwin PrintScreen 2.6] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash

O4 - HKCU\..\Run: [timesync.exe] C:\WINDOWS\system32\timesync.exe

O4 - HKCU\..\Run: [unilex2k] C:\PROGRA~1\EASYCO~1\DEGROT~1\tft.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Cookie Pal.lnk = C:\Program Files\CPal\CPal.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Pinnacle PCTV Scheduler.lnk = ?

O8 - Extra context menu item: Converteren naar Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Doel van koppeling converteren naar Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Doel van koppeling toevoegen aan bestaande PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Toevoegen aan bestaande PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O13 - Gopher Prefix:

O20 - AppInit_DLLs: acaptuser32.dll

O23 - Service: Planner voor Automatische LiveUpdate (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE

O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--

End of file - 9177 bytes

Black Tiger · 18 feb 2011

C:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exe

Had je toevallig internet explorer open toen je deze hijackthis maakte? Normaliter moet je namelijk alles sluiten en dan HJT draaien.

Als je die vensters open had kunnen we dit negeren, maar als je alles dicht had dan klopt er hier iets niet.

Voor de rest kan ik er zo vlug niet echt iets in vinden.

Wel heb ik zelf eens meegemaakt dat de drivers van een multimedia keyboard wilden conflicteren met de drivers van de soundkaart en dan kreeg je gekke dingen.

Dat multimedia keyboard kan er ook voor zorgen bijv. dat je geluid telkens weer uit of laag staat.

Misschien eens nieuwere drivers voor dat keyboard zoeken en/of de geluidskaart.

Evt. eens een gewoon toetsenbord aan de pc hangen, zonder dat het multimedia toetsenbord gekoppeld is en zien of het euvel zich dan ook voordoet.

Problemen met ZoneAlarm, Winamp en Grabit

nono

Addicted Member

MAS3

nono

Addicted Member

Black Tiger

Addicted Member

nono

Addicted Member

MAS3

Black Tiger

Addicted Member

nono

Addicted Member

Black Tiger

Addicted Member

SPECIALE SERVICE

Advertenties