Hardnekkige startpagina hijack - Internet en hosting

zondag 6 maart 2005 14:51

Acties:

Verwijderd

Topicstarter

http://members.home.nl/megavc/Startpagina.bmp

Dit is een screen van de startpagina. Maar naar mijn idee staat de startpagina op mijn hardeschijf, want de adresbalk blijft about:blank.

Ik heb norman viruscontrol gedraaid en adaware. Ook heb ik Hijackthis geprobeerd, wat de volgende logfile opleverde:

http://members.home.nl/megavc/hijackthislog.txt

Heeft iemand enig idee hoe dit op te losseN?

[ Voor 2% gewijzigd door Korakal op 06-03-2005 16:22 ]

zondag 6 maart 2005 14:53

Acties:

rswar

hitman pro haalt deze weg

zondag 6 maart 2005 14:58

Acties:

pasta

Ondertitel

Dit is toch al vrij vaak voorbij gekomen. Het probleem ligt in o.a. de se.dll file, deze valt te unregisteren met

code:

1	regsrv32 -u c:\windows\temp\se.dll

Verder zou ik ook nog even kijken naar

code:

1	C:\WINDOWS\SYSTEM\OIF.EXE

, scan dit bestand eens op Jotti's online malware scan.

Daarnaast is ook

code:

1	O2 - BHO: (no name) - {7807C747-D5A3-4D72-9CEA-4E55EFE16A6E} - C:\WINDOWS\SYSTEM\DPND.DLL

iets wat ik niet vertrouw, ook even scannen dus.

code:

O4 - HKLM\..\Run: [Ehc] C:\WINDOWS\SYSTEM\Idp.exe
O4 - HKLM\..\Run: [Vff] C:\WINDOWS\Viu.exe
O4 - HKLM\..\Run: [Mkh] C:\WINDOWS\SYSTEM\Kfv.exe
O4 - HKLM\..\Run: [Kgp] C:\WINDOWS\SYSTEM\Bst.exe
O4 - HKLM\..\Run: [Nch] C:\WINDOWS\Cni.exe
O4 - HKLM\..\Run: [Srv] C:\WINDOWS\Bjm.exe
O4 - HKLM\..\Run: [Rqa] C:\WINDOWS\Ohb.exe

Dit zijn ook een aantal bestandjes die ik niet vertrouw, scan die ook maar es.

code:

O4 - HKCU\..\Run: [Guv] C:\WINDOWS\SYSTEM\Oif.exe
O4 - HKCU\..\Run: [Ehc] C:\WINDOWS\SYSTEM\Idp.exe
O4 - HKCU\..\Run: [Vff] C:\WINDOWS\Viu.exe
O4 - HKCU\..\Run: [Mkh] C:\WINDOWS\SYSTEM\Kfv.exe
O4 - HKCU\..\Run: [Kgp] C:\WINDOWS\SYSTEM\Bst.exe
O4 - HKCU\..\Run: [Nch] C:\WINDOWS\Cni.exe
O4 - HKCU\..\Run: [Srv] C:\WINDOWS\Bjm.exe
O4 - HKCU\..\Run: [Rqa] C:\WINDOWS\Ohb.exe

Dit maakt het wat duidelijker dat het malware gerelateerd zou kunnen zijn, het is normaliter niet nodig om het 1x uit te voeren.

code:

1 2	O18 - Filter: text/html - {DD06D2DF-16FA-4C76-B2A9-6D8B62B47766} - C:\WINDOWS\SYSTEM\DPND.DLL O18 - Filter: text/plain - {DD06D2DF-16FA-4C76-B2A9-6D8B62B47766} - C:\WINDOWS\SYSTEM\DPND.DLL

Deze 2 entries mogen voor de zekerheid ook nog es weg.

Signature

zondag 6 maart 2005 15:05

Acties:

MRic3

Of praat ik weer poep?

of selecteer de hele log.txt en plak die in het vakje op www.hijackthis.de en klik [analyze]
daarna is het verder vrij simpel op te lossen ...

If the world didn't suck, we would all fall off!!!

zondag 6 maart 2005 15:08

Acties:

magnifor

MRic3 schreef op zondag 06 maart 2005 @ 15:05:
of selecteer de hele log.txt en plak die in het vakje op www.hijackthis.de en klik [analyze]
daarna is het verder vrij simpel op te lossen ...

Die site is niet echt betrouwbaar. Het beste is gewoon het hele log zelf te doorlopen en research te doen.

zondag 6 maart 2005 16:23

Acties:

Korakal

Up up up!

ok, dit was dus prima te vinden.

megavc, je had in je startpost een screenshot staan in .bmp formaat, deze was anderhalve MB groot! Niet de bedoeling, en niet plezierig om binnen te halen. Let daar in het vervolg op ajb (gebruik bijv .jpg in plaats van .bmp).