Malware-achtige verschijnselen op pc niet weg te krijgen* - Privacy en beveiliging

woensdag 16 juni 2004 15:54

Acties:

0 Henk 'm!

Topicstarter

Beste helpers,

Ik heb een probleem:
- Mijn desktop is veranderd (in één grote aanklikbare html-file)
- Startpagina is veranderd (één of andere steeds veranderende .dll file met verwijzing naar "Home Search")
- Bij Google iets invullen en ik word direct ergens anders naartoe gelinkt genaamd: "Finding More..."
- Continu pop-ups (met verwijzingen genaamd "Only the best")
- En last but not least: Woorden op internetpagina´s veranderen in links!!!

De programma´s:
- Adaware
- Spyblaster
- HijackThis
- Spybot
- CWshredder
kunnen NIETS verhelpen. Bestanden worden namelijk TIJDELIJK verwijderd, want nadat ik ze weggehaald heb, komen ze terug in een andere bestandsnaam.
Ik kon de hele tijd ook geen post plaatsen omdat ik telkens eruit knalde. (Dit is mijn vierde poging om een post te plaatsen...)

Dit is mijn logfile an Hijackthis v1.97.7:

Scan saved at 15:45:01, on 16-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
E:\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\iprp.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
E:\NORTON~1\navapw32.exe
C:\Program Files\Netropa\Multimedia Keyboard\mmusbkb2.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
E:\Messenger Plus! 3\MsgPlus.exe
C:\PROGRA~1\tickinterpile\Linkdumb.exe
E:\Skype\Phone\Skype.exe
C:\WINDOWS\system32\netvm.exe
D:\Bureaublad\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gxuht.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://gxuht.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.luniek.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://gxuht.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gxuht.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://gxuht.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gxuht.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Laurent
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {B75BCD02-ABA7-9B5A-4478-A8AD97904CAC} - C:\WINDOWS\addmp32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [hp imaging helper] C:\WINDOWS\system32\hpusbscr.exe
O4 - HKLM\..\Run: [NAV Agent] E:\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [MessengerPlus3] "E:\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [netvm.exe] C:\WINDOWS\system32\netvm.exe
O4 - HKLM\..\Run: [send peak] C:\PROGRA~1\TICKIN~1\Linkdumb.exe
O4 - HKCU\..\Run: [Skype] "E:\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://E:\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedi...wave/cabs/director/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net...in/QuickTimeInstaller.exe
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {5B27C20D-FFB6-4054-BA78-DE4A059BC75A} (Microsoft Office Template Downloader) - http://office.microsoft.com/dutch/TemplateGallery/msotd.cab
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell....stemprofiler/PROFILER.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m...iuctl.CAB?37865.173912037
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symant...p/activedata/SymAData.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab
O16 - DPF: {DF6A0F17-0B1E-11D4-829D-00C04F6843FE} (Microsoft Office Tools on the Web Control) - http://officeupdate.micro...allery/downloads/outc.cab
O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! Webcam Viewer Wrapper) - http://chat.yahoo.com/cab/yvwrctl.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symant...activedata/ActiveData.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://pv1fd.pav1.hotmail.msn.com/activex/HMAtchmt.ocx
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{216FA942-1E33-4582-8AB4-C1E0234422A5}: NameServer = 212.142.28.66,212.142.28.130
O17 - HKLM\System\CS1\Services\Tcpip\..\{216FA942-1E33-4582-8AB4-C1E0234422A5}: NameServer = 212.142.28.66,212.142.28.130

Alvast bedankt voor de reactie of hulp.
$_/-\o_$
Laurent.

http://www.luniek.com

woensdag 16 juni 2004 15:58

Acties:

0 Henk 'm!

wildhagen

Blablabla

code:

1	O4 - HKLM\..\Run: [netvm.exe] C:\WINDOWS\system32\netvm.exe

Die hoort er niet, haal hem maar eens door de Jotti-scan: http://virusscan.jotti.dhs.org/

Deze kunnen weg:

code:

1
2

O2 - BHO: (no name) - {B75BCD02-ABA7-9B5A-4478-A8AD97904CAC} - C:\WINDOWS\addmp32.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

[ Voor 43% gewijzigd door wildhagen op 16-06-2004 15:59 ]

Virussen? Scan ze hier!

woensdag 16 juni 2004 16:00

Acties:

0 Henk 'm!

cutter

Wannabe i7 fanboy

code:

1	C:\WINDOWS\system32\iprp.exe

Doe dat ook maar eens met deze en explorer sluiten tijdens verwijder acties, daarna opnieuw starten van windows zonder explorer eerst te openen.

Skype had toch ook spyware in zich?

[ Voor 10% gewijzigd door cutter op 16-06-2004 16:01 ]

woensdag 16 juni 2004 16:02

Acties:

0 Henk 'm!

wildhagen

Blablabla

Overigens, deze kan ik maar 2 hits van vinden op Google:

code:

1	O4 - HKLM\..\Run: [hp imaging helper] C:\WINDOWS\system32\hpusbscr.exe

Is die wel OK?

Virussen? Scan ze hier!

woensdag 16 juni 2004 16:04

Acties:

0 Henk 'm!

Anoniem: 14124

hp usb scanner ?

woensdag 16 juni 2004 16:12

Acties:

0 Henk 'm!

cutter

Wannabe i7 fanboy

code:

1	O4 - HKLM\..\Run: [send peak] C:\PROGRA~1\TICKIN~1\Linkdumb.exe

I think we have another winner.... kan deze ook niet thuisbrengen

woensdag 16 juni 2004 16:13

Acties:

0 Henk 'm!

wildhagen

Blablabla

Anoniem: 14124 schreef op 16 juni 2004 @ 16:04:
hp usb scanner ?

Namen zeggen niet alles... worden vaak gefaked om mensen te misleiden dat het een legitieme applicatie is... en als het idd zo was had ik wel meer dan 2 hits op Google verwacht...

Virussen? Scan ze hier!

woensdag 16 juni 2004 16:15

Acties:

0 Henk 'm!

cutter

Wannabe i7 fanboy

wildhagen schreef op 16 juni 2004 @ 16:02:
Overigens, deze kan ik maar 2 hits van vinden op Google:
code:
1
O4 - HKLM\..\Run: [hp imaging helper] C:\WINDOWS\system32\hpusbscr.exe
Is die wel OK?

Even rechts klikken in windows explorer op die file eigenschappen selecteren vervolgens versie en kijken of daar iets van HP staat.

woensdag 16 juni 2004 16:40

Acties:

0 Henk 'm!

Luniek

Topicstarter

netvm.exe & iprp.exe geven geen problemen bij jotti-scan.
Linkdumb.exe is verwijderd
hpusbscr.exe is van mijn hp usb scanner, die is in orde.

Helaas geen oplossing...

http://www.luniek.com

woensdag 16 juni 2004 19:16

Acties:

0 Henk 'm!

wildhagen

Blablabla

Hmm, die netvm.exe heb ik even geprobeerd te draaien op een testbak...

Ik kan je wel zeggen: dat is geen lekkere koek.... die wil naar diverse verschillende websites toe... sommige zijn "under construction", maar ik kwam er ook twee tegen waar dames op stonden, met nogal erotische posities. Dat zou nog niet zo'n ramp zijn, ware het niet dat op één van beide sites de dames echt niet ouder oogden dan een jaartje of 7-8.....

Verwijder die entry iig maar rustig, ik ga deze file even submitten, en ook even een bepaalde instantie op de hoogte brengen van die site...

(vragen om die site is zinloos, ik ga dit soort rotzooi niet verder verspreiden, en de IP's die netvm.exe probeert lijken random te zijn, of iig steeds verschillend)...

Virussen? Scan ze hier!

woensdag 16 juni 2004 19:28

Acties:

0 Henk 'm!

BoGhi

Heb je na het draaien van HijackThis (inclusief fixen) gereboot in safe mode, en de genoemde files in safe mode daadwerkelijk verwijderd?

Programmers don't die. They GOSUB without RETURN

woensdag 16 juni 2004 19:36

Acties:

0 Henk 'm!

Anoniem: 14124

Nou, toeval alom, mijn moeder heeft hetzelfde probleem op haar systeem. Ik heb cwshredder gedraaid, spybot S&D, adaware, BPS spyware-adware remover, handmatig registry entries verwijderd, maar het is een gemeen goedje. Ook worden er popups geopend met only the best als page title.

Bij elke nieuwe page request van MSIE, staat het troepje er weer. Best bijzonder dat geen enkele anti spyware prog het kan verwijderen.

Haar startpagina komt terecht op res://zvfwu.dll/index.html#96676

Ik heb zvfwu.dll net verwijderd uit de windows dir, maar de aanroep wordt gewoon weer aangemaakt.

Ik heb hier de hijack this logfile misschien komt die op bepaalde punten overeen.

Logfile of HijackThis v1.97.7
Scan saved at 7:39:11 PM, on 6/16/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\CFusionMX\runtime\bin\jrunsvc.exe
C:\CFusionMX\db\slserver52\bin\swagent.exe
C:\CFusionMX\runtime\bin\jrun.exe
C:\CFusionMX\db\slserver52\bin\swstrtr.exe
C:\CFusionMX\db\slserver52\bin\swsoc.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\PROGRA~1\MICROS~2\MSSQL\binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\appau.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\hphmon05.exe
C:\WINDOWS\mssi32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Micha\Local Settings\Temporary Internet Files\Content.IE5\IXR8DW7Y\HijackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zvfwu.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zvfwu.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zvfwu.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zvfwu.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zvfwu.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\zvfwu.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {66A6B404-64CF-F22B-5DA9-5DE0B5DEB9EE} - C:\WINDOWS\system32\appce.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Program Files\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [mssi32.exe] C:\WINDOWS\mssi32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BPSANTISPY] C:\Program Files\BulletProofSoft.com\SpywareRemover\Spyware.exe /STARTUP
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Research (HKLM)
O9 - Extra button: SWF Catcher (HKLM)
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft...-94901338C922/wmv9VCM.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m...iuctl.CAB?38112.530775463
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F13866EF-764E-4C9D-9E04-47D95E3C0EFC}: NameServer = 194.159.73.136,194.159.73.137

[ Voor 89% gewijzigd door Anoniem: 14124 op 16-06-2004 19:40 ]

woensdag 16 juni 2004 20:17

Acties:

0 Henk 'm!

Anoniem: 35417

Voortaan graag en titel kiezen die het probleem omschrijft, niet een titel waarmee je normaal op een datingsite post

woensdag 16 juni 2004 20:40

Acties:

0 Henk 'm!

wildhagen

Blablabla

Gordijnstok:

Deze is verdacht:

code:

1	O4 - HKLM\..\Run: [mssi32.exe] C:\WINDOWS\mssi32.exe

Haal die maar eens door de Jotti-scan: http://virusscan.jotti.dhs.org/

Verder kan deze entry weg:

code:

1	O2 - BHO: (no name) - {66A6B404-64CF-F22B-5DA9-5DE0B5DEB9EE} - C:\WINDOWS\system32\appce.dll

Virussen? Scan ze hier!

woensdag 16 juni 2004 20:45

Acties:

0 Henk 'm!

SilentStorm

z.o.z

stop de volgende processen:
C:\WINDOWS\mssi32.exe
C:\WINDOWS\appau.exe

(mocht dit niet meteen helpen, doe het dan nog eens in veilige modus)

* haal alle ongewenste R0 en R1 dingen weg
O2 - BHO: (no name) - {66A6B404-64CF-F22B-5DA9-5DE0B5DEB9EE} - C:\WINDOWS\system32\appce.dll
O4 - HKLM\..\Run: [mssi32.exe] C:\WINDOWS\mssi32.exe

Je draait C:\WINDOWS\System32\inetsrv\inetinfo.exe. (IIS) Het _kan_ een exploit zijn.

Luniek:
wildhagen noemde hem al, maar je had m nog niet in je 'dit is weg'-lijstje.
O2 - BHO: (no name) - {B75BCD02-ABA7-9B5A-4478-A8AD97904CAC} - C:\WINDOWS\addmp32.dll

verder natuurlijk alle ongewenste R0 en R1's

edit:
spuit-net-iets-te-laat

edit:
2: misschien handig om even IIS bij inetinfo te zetten

[ Voor 14% gewijzigd door SilentStorm op 16-06-2004 21:12 ]

Localhost is where the heart is

woensdag 16 juni 2004 20:49

Acties:

0 Henk 'm!

Luniek

Topicstarter

OK aardige mensen (ik ben heel blij met jullie hulp!) ik heb nog iets belangrijks gevonden:

In de configuratiescherm bij software zie ik de boosdoener staan:
"HOME SEARCH ASSISTENT", en natuurlijk is deze niet te verwijderen.... krijg je meteen fijne pop-up met weer van die leuke dames die ik NIET wil!!

http://www.luniek.com

woensdag 16 juni 2004 20:56

Acties:

0 Henk 'm!

Luniek

Topicstarter

Nog iets anders wat iemand kan helpen:
AntiVir heeft al uch-keer het bestand magju.dll verwijderd uit de root...
En uiteraard komtie elke keer weer terug! En elke keer weer geeft AntiVir weer een foutmelding. Kan daar iets aan gedaan worden??

http://www.luniek.com

woensdag 16 juni 2004 21:02

Acties:

0 Henk 'm!

Anoniem: 14124

wildhagen schreef op 16 juni 2004 @ 20:40:
Gordijnstok:

Deze is verdacht:
code:
1
O4 - HKLM\..\Run: [mssi32.exe] C:\WINDOWS\mssi32.exe
Haal die maar eens door de Jotti-scan: http://virusscan.jotti.dhs.org/

Verder kan deze entry weg:
code:
1
O2 - BHO: (no name) - {66A6B404-64CF-F22B-5DA9-5DE0B5DEB9EE} - C:\WINDOWS\system32\appce.dll

Die eerste heb je correct, die wordt gekenmerkt als INFECTED/MALWARE, echter die 2de wordt gekenmerkt als INCONCLUSIVE.

Ik ga iig die exe wegmieteren, en maar hopen dat dat iig iets wegneemt. Tevens even de registry doorzoeken op references naar die exe.

appue.exe idem dito, ook infected/malware. Addme bestaat schijnbaar niet.

edit:

alleen die exe wegmieteren en registry cleanen op die entries is dus niet afdoende

Nu maar wat rigoreuzer aanpakken. In de taskman verraden de actieve spyware processes zich wel door allemaal te registeren als SYSTEM, en een mem use van 2 a 3 MB. Ik ga dus nu al die dll's wegknikkeren, uit het registry verwijderen, etc. kijken of dat helpt.

[ Voor 20% gewijzigd door Anoniem: 14124 op 16-06-2004 21:15 ]

woensdag 16 juni 2004 21:51

Acties:

0 Henk 'm!

Anoniem: 14124

Dit heeft gewerkt, de hijack log is nu ook factor x kleiner. Ik heb dus alle bovengenoemde .dll's .exe's eerst verwijderd uit de task manager zodat ze niet stiekem opnieuw de boel aanmaken, daarna alles handmatig uit de directories verwijderd, en daarna alle maar dan ook alle entries in de registry tbv van bovenstaande bestanden verwijderd.

Als laatste nog via properties op het internet explorer icon de start pagina teruggezet naar about:blank (om te voorkomen dat een volgende aanroep van die kaap homepage opnieuw de boel infecteert bij het opstarten van de browser), en alle cache files en cookies weggeknikkerd.

Zo te zien is het probleem verholpen

Waar kan het kratje bier naartoe?

woensdag 16 juni 2004 21:52

Acties:

0 Henk 'm!

Luniek

Topicstarter

de naam van de trojan heb ik ook achterhaald:
dldr.winsh.ac.05

http://www.luniek.com

woensdag 16 juni 2004 21:59

Acties:

0 Henk 'm!

Luniek

Topicstarter

VOOR IEDEREEN MET HETZELFDE PROBLEEM HET LAATSTE NIEUWS IS TE VINDEN OP:
http://forums.spywareinfo.com/index.php?showtopic=7447

http://www.luniek.com

woensdag 16 juni 2004 22:22

Acties:

0 Henk 'm!

Luniek

Topicstarter

**** even voor de duidelijkheid: probleem is nog niet opgelost! ****

http://www.luniek.com

woensdag 16 juni 2004 22:24

Acties:

0 Henk 'm!

Anoniem: 14124

Heb je hetzelfde gedaan als ik heb gedaan? ..

donderdag 17 juni 2004 02:57

Acties:

0 Henk 'm!

Luniek

Topicstarter

Ik heb hele andere bestandsnamen dan die jij benoemt, dus ik durf niet goed aan welke bestanden ik dan zo zou moeten behandelen zoals jij voorstelt. Ik probeer de log van HijackThis hieronder bij te doen van mij, maar elke keer klapt IE eruit als ik dat doe... (dat komt door die Trojan/virus!!!) Ik ga even mijn best doen en anders doe ik het morgen avond even vanuit een andere computer.

http://www.luniek.com

donderdag 17 juni 2004 03:02

Acties:

0 Henk 'm!

Luniek

Topicstarter

Het lukt me niet om de logfile erbij te doen (na 6 pogingen, geef ik het op...) dus je moet het even met de logfile doen die in de eerte post van me staat. Verschilt niet veel alleen is het één en ander weer veranderd qua bestandsnaam...

http://www.luniek.com

donderdag 17 juni 2004 03:42

Acties:

0 Henk 'm!

MrAngry

Het klinkt stom, maar misschien dat je jnou hd even in een andere pc kan hangen, je nelangrijke onzin kan backuppen en dan toch maar een keiharde format c eroverheen..
Als je zelfs insafe mode de boel niet kan verwijderen wordt het toch wel tijd...

Er is maar één goed systeem en dat is een geluidsysteem - Sef

donderdag 17 juni 2004 08:36

Acties:

0 Henk 'm!

BoGhi

Luniek schreef op 17 juni 2004 @ 03:02:
Het lukt me niet om de logfile erbij te doen (na 6 pogingen, geef ik het op...) dus je moet het even met de logfile doen die in de eerte post van me staat. Verschilt niet veel alleen is het één en ander weer veranderd qua bestandsnaam...

Dan is het toch ook duidelijk wat je kunt laten fixen door HT? Naar aanleiding van je eerste log zijn de suggesties al gegeven. En heb je al geprobeerd om daarna in de safe mode op te starten alwaar je de genoemde files (exe's, dll's) daadwerkelijk verwijderd?

Programmers don't die. They GOSUB without RETURN

donderdag 17 juni 2004 10:50

Acties:

0 Henk 'm!

Luniek

Topicstarter

Ja, dat heb ik dus al gedaan, maar je krijgt gewoon weer nieuwe bestanden. Eerst was het die netvm.exe en nu is het atslh.exe. (Ik had hem zojuist uitgeschakeld in msconfig, ik keek net weer even en hij staat weer aangevinkt...). Dus ik kan deze ook wel weer verwijderen met HT en daarna in safemode, maar dan krijg ik hem gewoon weer terug onder een andere naam. En dat geld voor meerdere bestanden die verziekt zijn: bijv. die magju.dll bijvoorbeeld. Die veranderd niet van naam, maar die komt gewoon elke keer toch weer terug! Wat nu? Ik kijk nog even in buitenlandse forums...
Het belangrijkste is nu in ieder geval dat we het volgende weten:
Het is een trojan genaamd: TR dldr.winsh.ac.05
Hij staat vermeld bij software als: "HOME SEARCH ASSISTENT"
De veroorzakers zijn een .exe bestand en een magju.dll bestand die niet te verwijderen zijn, en zowel dan komen ze vanzelf terug. (Ben ook benieuwd wanneer het bij gordijnstok weer terugkomt...).

http://www.luniek.com

donderdag 17 juni 2004 10:57

Acties:

0 Henk 'm!

Anoniem: 14124

Bij mij komt het niet meer terug, ik heb netjes alles verwijderd. Als je niet alles verwijderd, dan wordt er bij een volgende start gewoon opnieuw een reeks exe files aangemaakt, wederom je registry vervuild, etc.

Kortom, alles weghalen, de-registeren, uit memory verwijderen dmv taskmanager, en tussentijds niet IE opstarten.

donderdag 17 juni 2004 14:27

Acties:

0 Henk 'm!

BoGhi

Luniek schreef op 17 juni 2004 @ 10:50:
...De veroorzakers zijn een .exe bestand en een magju.dll bestand die niet te verwijderen zijn, ...

Waarom zijn deze dan niet te verwijderen?

Programmers don't die. They GOSUB without RETURN

donderdag 17 juni 2004 15:02

Acties:

0 Henk 'm!

cutter

Wannabe i7 fanboy

BoGhi schreef op 17 juni 2004 @ 14:27:
[...]

Waarom zijn deze dan niet te verwijderen?

Waarschijnlijk omdat ze als proces draaien. Je kunt geen bestanden verwijderen die gebruikt worden. In safe mode opstarten of processen in taakbeheer killen kan het probleem oplossen.

donderdag 17 juni 2004 15:06

Acties:

0 Henk 'm!

BoGhi

cutter schreef op 17 juni 2004 @ 15:02:
[...]

Waarschijnlijk omdat ze als proces draaien. Je kunt geen bestanden verwijderen die gebruikt worden. In safe mode opstarten of processen in taakbeheer killen kan het probleem oplossen.

Misschien kan de TS hier beter op antwoorden..

Programmers don't die. They GOSUB without RETURN

donderdag 17 juni 2004 17:59

Acties:

0 Henk 'm!

Luniek

Topicstarter

Ik kan ze wel verwijderen, maar dan komt-ie weer terug onder een andere naam. Dus tja, dat heeft niet veel zin. Enne zoals ik al zei ik heb magju.dll al tig keer verwijderd en hij komt ook gewoon weer terug...

http://www.luniek.com

donderdag 17 juni 2004 19:09

Acties:

0 Henk 'm!

BoGhi

Dat kan alleen als er ergens, in de startup of in de IE, nog een entry is achtergebleven, die dan een exe of dll kan vinden die niet verwijderd is. Anderen zijn er ook van af gekomen, dus ik denk echt dat je iets vergeet.

Je kunt ook handmatig de startup-entries en BHO's opzoeken in de registry, maar met HT moet dit ook gewoon lukken, dus dat handmatige werk is (bijna) nooit nodig. Als je nog een poging doet, succes.

EDIT: misschien helpt het als je temporary folders en prullenbak leegt na het opstarten naar de veilige modus.
EDIT2: draait deze service ook op je systeem: Network Security Service ?
EDIT3: je kunt ook even je hele startuplist posten, aangezien de adware toch wel aardig verspreid is geraakt wel even interessant. In HijackThis naar 'Misc Tools', onder de button 'Generate startuplist log' beide vinkjes aanzetten, en op de button klikken.

[ Voor 39% gewijzigd door BoGhi op 17-06-2004 20:23 ]

Programmers don't die. They GOSUB without RETURN

donderdag 17 juni 2004 20:59

Acties:

0 Henk 'm!

Luniek

Topicstarter

Nou ik heb alle adviezen nogmaals uitgevoerd allemaal (ik ben er 5 uur mee bezig geweest...) en het lijkt erop dat het opgelost is. Ik ben nog wat wantrouwend, want de eerste keer ging het in het begin ook goed. Dus ik kijk het nog even af. In ieder geval allemaal erg bedankt en ik hou jullie op de hoogte.

Het rare blijft wel dat ik geen logfiles hier kan posten want dan klapt IE eruit... Hopen maar dat dat niet nog steeds aan die trojan ligt... Iemand een idee hoe dat komt?

http://www.luniek.com

donderdag 17 juni 2004 21:00

Acties:

0 Henk 'm!

wildhagen

Blablabla

Luniek: kan je HijackThis nog wel draaien? Anders ben ik best bereid om even naar je log te kijken, als je hem via mail oid naar mij toestuurt (mijn adres staat in mijn profile)...

Virussen? Scan ze hier!

donderdag 17 juni 2004 21:03

Acties:

0 Henk 'm!

Luniek

Topicstarter

Jep, kan HijackThis wel draaien, maar als ik de log wil plaatsen klapt het venster eruit (inclusief alle andere internetvensters....). Ik ga het nog een keer proberen en anders stuur ik hem via de meel. Thanks voor jullie hulp, echt waar ik kan dat heel erg waarderen.

http://www.luniek.com

donderdag 17 juni 2004 21:05

Acties:

0 Henk 'm!

Luniek

Topicstarter

Nou, hij klapt er telkens uit, dus dat lukt niet. Ik zend je hem via de meel. Kun jij hem misschien dan hieronder voor mij posten? Alvast bedankt!
(En als iemand weet waarom ik zo´n log niet gewoon kan posten met knippen en plakken, dan hoor ik dat graag! Want ik vrees het ergste dat het nog niet opgelost is....)

http://www.luniek.com

donderdag 17 juni 2004 21:11

Acties:

0 Henk 'm!

wildhagen

Blablabla

Oké, dit is de log:

code:

Logfile of HijackThis v1.97.7
Scan saved at 20:47:57, on 17-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
E:\AVPersonal\AVGUARD.EXE
E:\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
E:\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
E:\NORTON~1\navapw32.exe
E:\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Netropa\Multimedia Keyboard\mmusbkb2.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
E:\AVPersonal\AVGNT.EXE
E:\Skype\Phone\Skype.exe
E:\Spy Sweeper\SpySweeper.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Bureaublad\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.luniek.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Laurent
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [hp imaging helper] C:\WINDOWS\system32\hpusbscr.exe
O4 - HKLM\..\Run: [NAV Agent] E:\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [MessengerPlus3] "E:\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [AVGCtrl] E:\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Skype] "E:\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpySweeper] E:\Spy Sweeper\SpySweeper.exe /0
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://E:\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020909/qtinstall.info.apple.com/sikes/nl/win/QuickTimeInstaller.exe
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {5B27C20D-FFB6-4054-BA78-DE4A059BC75A} (Microsoft Office Template Downloader) - http://office.microsoft.com/dutch/TemplateGallery/msotd.cab
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37865.173912037
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF6A0F17-0B1E-11D4-829D-00C04F6843FE} (Microsoft Office Tools on the Web Control) - http://officeupdate.microsoft.com/TemplateGallery/downloads/outc.cab
O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! Webcam Viewer Wrapper) - http://chat.yahoo.com/cab/yvwrctl.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://pv1fd.pav1.hotmail.msn.com/activex/HMAtchmt.ocx
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{216FA942-1E33-4582-8AB4-C1E0234422A5}: NameServer = 212.142.28.66,212.142.28.130
O17 - HKLM\System\CS1\Services\Tcpip\..\{216FA942-1E33-4582-8AB4-C1E0234422A5}: NameServer = 212.142.28.66,212.142.28.130

Om eerlijk te ziet alles er inderdaad goed uit... ik zou echt niet weten wat het zou moeten zijn dat het probleem veroorzaakt.

Het enige wat ik nog kan bedenken is dat er óf iets in Windows gewoon niet goed zit, óf dat je een rootkit hebt...

Virussen? Scan ze hier!

donderdag 17 juni 2004 21:13

Acties:

0 Henk 'm!

Luniek

Topicstarter

Thanx Wildhagen! Ik weet het ook niet, misschien heb ik wel hier en daar iets teveel gedeleted...

http://www.luniek.com

vrijdag 18 juni 2004 08:37

Acties:

0 Henk 'm!

BoGhi

Luniek schreef op 17 juni 2004 @ 20:59:
Nou ik heb alle adviezen nogmaals uitgevoerd allemaal (ik ben er 5 uur mee bezig geweest...) en het lijkt erop dat het opgelost is. ..

Waarom is het nu uiteindelijk wel gelukt, nog wat anders gedaan of is het toch een kwestie geweest van de al genoemde stappen 1 voor 1 aflopen?

Programmers don't die. They GOSUB without RETURN

vrijdag 18 juni 2004 09:45

Acties:

0 Henk 'm!

Luniek

Topicstarter

Het is volgens mij nu wel allemaal gelukt! Jahoeee! En dat komt met name omdat ik het register grondig heb schoongemaakt. En dan bedoel ik dat ik niet alleen de regel waar de betreffende bestanden in stonden heb verwijderd, maar de gehele sleutel. (ik weet niet of dat de juiste term is, maar ipv rechts verwijderen bij regedit, heb ik het aan de linkerkant verwijderd als je begrijpt wat ik bedoel...)

http://www.luniek.com

vrijdag 18 juni 2004 10:08

Acties:

0 Henk 'm!

Luniek

Topicstarter

*** DE OPLOSSING IS: ***

1. Sluit alle IE vensters, niet meer openen bij alle volgende stappen!!!
2. Spy Sweeper downloaden, updaten en runnen op de intensiefste stand.
3. AntiVir downloaden, updaten en runnen op de intensiefste stand.
4. HijackThis downloaden, updaten en runnen. Vraag iemand die er verstand van heeft (hier op het forum genoeg mensen, dus even posten zou ik zeggen) welke regels je uit je logfile van HijackThis kunt verwijderen. Daarna deze bestanden opschrijven zodat je weet welke je moet verwijderen in de volgende stap bij regedit.
5. Ga naar je register (door regedit in te vullen bij "uitvoeren") en haal alle .exe bestanden en .dll bestanden eruit die verdacht waren (dat kun je met "zoeken" doen en dan verwijderen). Het liefst aan de linkerkant verwijderen bij regedit ipv aan de rechterkant. Doe dat ook met "zoeken" in je hele computer.
6. Schakel alle mogelijke verwijzingen naar de verdachte bestanden uit in de opstart van je windows (msconfig invullen bij uitvoeren)
7. Leeg al je cache, cookie en temp mappen.
8. Herstel je startpagina bij internetopties (of met spy sweeper: opties, active shields)
9. Opstarten in veilige modus en herhaal alle stappen. (Je hebt nog steeds geen enkele IE venster geopend gedurende de hele procedure!)
10. Normaal opstarten en als het goed is ben je clean!

stap 1 tm 4 moet je waarschijnlijk doen door wel je browser (IE) te gebruiken, dus daarna moet je weer opnieuw beginnen met stap 1.

Heel veel succes. Dit garandeert je zeker een uurtje of 5 van de straat te zijn... Misschien kan het makkelijker, ik weet het niet. Maar dit heeft bij mij zo geholpen. Als je het niet grondig doet, komt-ie namelijk gewoon weer terug.

http://www.luniek.com

vrijdag 18 juni 2004 12:08

Acties:

0 Henk 'm!

Anoniem: 50873

Luniek schreef op 18 juni 2004 @ 10:08:
2. Spy Sweeper downloaden, updaten en runnen op de intensiefste stand.

$_/-\o_$

ohja

numer 11 Firefox downloaden en installeren

en nooit meer naar Internet Exploder

Gaan behalve voor windows updates

[ Voor 28% gewijzigd door Anoniem: 50873 op 18-06-2004 12:10 ]

zaterdag 19 juni 2004 03:08

Acties:

0 Henk 'm!

Booth

¯¯¯¯¯¯

Laatste tijd zie ik ook een programmaatje runnen bij Windows Taakbeheer onder de naam RunDLL.exe. Is dit nou troep of wat is dit? Ik neem aan dat ik dit gewoon weg kan halen, dat men gewoon de naam RunDLL heeft gekozen om mensen af te schrikken?

zaterdag 19 juni 2004 09:51

Acties:

0 Henk 'm!

Mike Jarod

Dit lees ik net op http://www.spywareinfo.com/~merijn/

June 18, 2004:
Please stop emailing me about the new CWS variant that hijacks you to res://<random>.dll/sp.html#96676. I am aware of this new thing, but it's a beast to remove.
A solution is being worked on, see this thread on the SWI forums.

If it's not working for you, or it's too complicated, I heard from several people that this workaround works as well:

* Open the DLL you get hijacked to in Notepad
* Select all content (Ctrl-A) and delete it
* Save the file and exit Notepad
* Find the file in Explorer, right-click it, select Properties, put a checkmark in 'Read-Only' and click OK.

If you can't find the DLL file, make sure your settings allow you to view "Hidden files". Open up any explorer windows and click on "Tools", "Folder Options", "View" and be sure to check off "Show Hidden Files and Folders".

Kortom CWShredder gaat deze vermoedelijk binnenkort herkennen/cleanen

zaterdag 19 juni 2004 09:56

Acties:

0 Henk 'm!

wildhagen

Blablabla

Booth schreef op 19 juni 2004 @ 03:08:
Laatste tijd zie ik ook een programmaatje runnen bij Windows Taakbeheer onder de naam RunDLL.exe. Is dit nou troep of wat is dit? Ik neem aan dat ik dit gewoon weg kan halen, dat men gewoon de naam RunDLL heeft gekozen om mensen af te schrikken?

RUNDLL.EXE hoort idd niet bij Windows, is waarschijnlijk bedoeld om mensen te laten denken van wel.

RUNDLL32.EXE is wél van Windows overigens, maar alleen als hij in \WINNT\System32 staat (of \WINDOWS\System32 bij XP). Op andere plaatsen hoort hij ook niet thuis.

Virussen? Scan ze hier!

maandag 21 juni 2004 19:31

Acties:

0 Henk 'm!

Anoniem: 116518

Hallo mensen, ik heb een soortgelijk probleem gehad. Ik heb het volgende gedaan:

Met Hijackthis de rare entry's eruit gehaald. Met MSconfig 'screentime' in win.ini uitschakelen. Opstarten in veilige modus en alle spy bestanden verwijderen. Alle cookies e.d. verwijderen. (bij mij stonden er ook nog een paar losse bij docs & settings die ik handmatig heb verwijderd)

Scannen met ad-aware, spysweeper, spybot search & destroy. Allen updated en op de zwaarste stand.

Vervolgens scannen met Tweaknow regcleaner.

Opnieuw opstarten en klaar

woensdag 23 juni 2004 19:42

Acties:

0 Henk 'm!

Wapwap

Sinds een paar dagen wordt ik ook geteisterd door deze troep. Wanneer ik naar mijn home pagina ga, komt er een vage zoekpagina tevoorschijn met als adres: about:blank, tevens een popup met de melding dat er spyware op de pc staat.

Heb gescanned met Ad-Aware & Spy-Bot, die vinden een aantal register entries. Het probleem is niet opgelost na het verwijderen van deze keys. Ook gescanned met AntiVir, maar niets gevonden.

HijackThis log:

code:

Logfile of HijackThis v1.97.7
Scan saved at 19:31:50, on 23-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Installed\AVPersonal\AVGUARD.EXE
D:\Installed\AVPersonal\AVWUPSRV.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Microsoft IntelliPoint\point32.exe
D:\Installed\Daemon Tools\daemon.exe
C:\WINDOWS\System32\svchost.exe
D:\Installed\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\Installed\mIRC\mirc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\comsnap.exe
D:\Installed\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Marcel\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Marcel\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Marcel\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Marcel\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Marcel\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Marcel\LOCALS~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\INSTAL~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {59AC12AC-D316-4F4A-98E0-6DC1D26C4649} - C:\WINDOWS\System32\bfhn.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Installed\Daemon Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "D:\installed\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] D:\Installed\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [comsnap] C:\WINDOWS\System32\comsnap.exe
O4 - Global Startup: hp psc 2000 Series.lnk.disabled
O4 - Global Startup: hpoddt01.exe.lnk.disabled
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Onderzoek (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://support.vugames.com/betasubmission/sysinfo/Si.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38133.2699884259
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Ik heb m'n twijfels bij:

code:

1 2	O4 - HKCU\..\Run: [comsnap] C:\WINDOWS\System32\comsnap.exe O2 - BHO: (no name) - {59AC12AC-D316-4F4A-98E0-6DC1D26C4649} - C:\WINDOWS\System32\bfhn.dll

Ziet iemand anders nog iets verdachts?

woensdag 23 juni 2004 19:44

Acties:

0 Henk 'm!

wildhagen

Blablabla

Die twee zijn de enige verdachte zaken die ik idd zo zie... haal met name die .EXE maar eens door de Jotti-scan: http://virusscan.jotti.dhs.org/

Verder kan deze entry nog weg (hij kan weinig kwaad, maar nuttig is-tie ook niet):

code:

1	O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

Virussen? Scan ze hier!

woensdag 23 juni 2004 20:44

Acties:

0 Henk 'm!

Wapwap

Die twee bestanden bleken inderdaad niet pluis te zijn, bedankt voor de tip

woensdag 23 juni 2004 23:21

Acties:

0 Henk 'm!

BoGhi

Is het probleem na verwijdering van die twee opgelost?

Programmers don't die. They GOSUB without RETURN

donderdag 24 juni 2004 00:18

Acties:

0 Henk 'm!

Wapwap

BoGhi schreef op 23 juni 2004 @ 23:21:
Is het probleem na verwijdering van die twee opgelost?

Yep

Het .dll bestand moest wel in Veilige Modus verwijderd worden.

vrijdag 2 juli 2004 03:08

Acties:

0 Henk 'm!

Anoniem: 117726

Dit heeft mij geholpen (tot nu toe tenminste) en is erg makkelijk. Gevonden op een ander forum, hoop dat het helpt..

Name: Bryan (by bam3783)
Date: June 30, 2004 at 13:01:04 Pacific
Subject: home search assistent

Reply:
DO THIS! I HAVE HAD TRIED EVERY BIT OF ADVICE ON THE INTERNET AND NOTHING WORKED. BUT THIS DID. REMOVED HSA, SHOPPING WIZARD, AND SEARCH EXTENDER AND MY HOMEPAGE DOESN'T RESET ITSELF TO THAT DUMBASS RES:// CRAP!!!!!!
http://tools.zerosrealm.com/AboutBuster.zip or
http://www.downloads.subratam.org/AboutBuster.zip

DOWNLOAD ABOUT BUSTER FROM ONE OF THESE SITES AND RUN THE PROGRAM AND SCAN. ALL .DLL & .DAT FILES WILL BE REMOVED WHICH MUST BE CAUSING THIS PROBLEM. IF THERE ARE ANY "ERROR REMOVING" THEN FIND THE FILE YOURSELF AND DELETE IT. IT WILL SHOW WHERE THE FILE IS. THEN RUN THE HIJACK AND CLICK ON THE BOX NEXT TO THE RANDOM 02 (BHO WHICH IS A .DLL)

I DID THIS AND IT WORKED!

vrijdag 2 juli 2004 08:24

Acties:

0 Henk 'm!

chromeeh

the Gnome

Ik heb deze ook al wel eens verwijderd met PestPatrol

"Some day, I hope to find the nuggets on a chicken."

vrijdag 16 juli 2004 18:40

Acties:

0 Henk 'm!

Anoniem: 787

Ik had ook last van deze troep. Volgens mij is het vanuit Internet Explorer automatisch geïnstalleerd op mijn PC toen ik een site bezocht - dus zonder dat ik zelf iets installeerde.

Ik ben het nu waarschijnlijk kwijt (Hijack en Spysweeper), maar ik vraag me wel af of deze praktijk niet verboden is: het ongevraagd installeren van (spyware) programma's? Zoja, dan moeten de daders toch te achterhalen zijn?
Ik ben opeens heel erg voor de doodstraf.

Pagina: 1

Reageer