Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Hotoffers

Pagina: 1
Acties:

maandag 14 maart 2005 18:12

Acties:
  • -SaveMe-
  • Registratie: Januari 2002
  • Laatst online: 13:51

-SaveMe-

-klik-

Topicstarter
Bij mijn buren op een laptop zit een of ander naar spyware/hijjacker iets wat ik er maar niet vanaf krijg: Hotoffers. Het blijft de startpagina van IE veranderen en er verschijnt om de zoveel tijd een popup met een IE venster wat moet lijken op een windowsvenster met een fake security warning.

Ik heb S&D, HJT, ADAWARE SE allemaal los gerunned en cleaned, daarna hitman pro erover gegooid, helaas is het nog steeds aanwezig. Iemand enig idee hoe ik dit permanent kan verwijderen ???

HJT-log:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89

Logfile of HijackThis v1.99.1
Scan saved at 18:09:59, on 14-3-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\nl\msnappau.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Hitman Pro\srhelper.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\Documents and Settings\Jeffrey Schoppink\Bureaublad\HijackThis.exe
C:\Program Files\Crazy Browser\Crazy Browser.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/179/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///C:\Program Files\TOSHIBA\Free Update Service\splash.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trucklife.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Program Files\iMesh\iMesh5\iMeshBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\nl\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\nl\msntb.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\nl\msnappau.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [SpySweeper] C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Hitman Pro SurfRight Helper] "C:\Program Files\Hitman Pro\srhelper.exe"
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Program Files\TOSHIBA\Free Update Service\splash.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E55F812-95A9-4CEE-9FB4-FECCE68D7147}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{3E55F812-95A9-4CEE-9FB4-FECCE68D7147}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{3E55F812-95A9-4CEE-9FB4-FECCE68D7147}: NameServer = 192.168.1.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Het gaat dus om R44.

EDIT:
de exe's die Pasta aangeeft zijn legitieme TOSHIBA files. Heb wat ik kon uitgezocht via google en diverse security sites, maar die reg. entry blijft terug komen, en ik kan geen bijbehorende exe/dll ofzo vinden. Ik heb system restore al uitgezet zodat het ook niet daarvan kan terug komen.

Als iemand iets weet, Graag

offtopic:
thanks pasta voor het heropenen

[ Voor 91% gewijzigd door -SaveMe- op 14-03-2005 22:48 ]

GamiQ, de game notes app met game maps!

maandag 14 maart 2005 18:14

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

Neem Beveiliging en Virussen - Nieuw topic starten en [rml][ Howto] Spyware scannen en opruimen[/rml] nog eens door. Sowieso is het handig als je even je log meepost van HijackThis, misschien dat wij wat nog wat zien wat je zelf over het hoofd zag. :)Dat had je dus gedaan. :+

[ Voor 5% gewijzigd door pasta op 14-03-2005 18:23 ]

Signature

maandag 14 maart 2005 18:15

Acties:
  • naftebakje
  • Registratie: Februari 2002
  • Laatst online: 15:15

naftebakje

Heb je deze progjes gedraaid in veilige modus??? Anders draait de spyware nog in de achtergrond, en installeert het zichzelf terug als het verwijdert wordt.

[ Voor 53% gewijzigd door naftebakje op 14-03-2005 18:16 ]

Als de boer zijn koeien kust, zijn ze jarig wees gerust. Varkens op een landingsbaan, leiden nooit een lang bestaan. Als de boer zich met stront wast, zijn zijn hersens aangetast. Als het hooi is in de schuur, zit het wijf bij den gebuur.

maandag 14 maart 2005 18:16

Acties:
  • Freee!!
  • Registratie: December 2002
  • Laatst online: 16:54

Freee!!

Trotse papa van Toon en Len!

Heel grof is natuurlijk het installeren van een firewall die het programma gewoon blokkeert, maar verder kom ik niet verder dan "format c:" en daar zit je waarschijnlijk ook niet op te wachten.

The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long

GoT voor Behoud der Nederlandschen Taal [GvBdNT

maandag 14 maart 2005 18:19

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

code:
1
2
3
4
5

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O.a. dit viel je sowieso niet op? Niet even de moeite genomen om de filename even door Google te gooien, of even te scannen op Jotti's online malware scan?

M.a.w. Ik kan niet echt uitmaken dat je zelf, naast het draaien van wat tooltjes, echt iets gedaan hebt. :) Hier in Beveiliging & Virussen verwachten we toch een beetje eigen inzet, en dat haal ik helaas genoeg niet uit je posts. ;)
edit:
Na mail toch weer open

[ Voor 3% gewijzigd door pasta op 14-03-2005 22:14 ]

Signature

maandag 14 maart 2005 22:51

Acties:
  • -SaveMe-
  • Registratie: Januari 2002
  • Laatst online: 13:51

-SaveMe-

-klik-

Topicstarter
Mr. Liu schreef op maandag 14 maart 2005 @ 18:16:
Heel grof is natuurlijk het installeren van een firewall die het programma gewoon blokkeert, maar verder kom ik niet verder dan "format c:" en daar zit je waarschijnlijk ook niet op te wachten.
Een firewall werkt niet want de popups zijn gewoon ie-vensters met bijbehorende poort 80. Die kan ik wel dichtgooien, maar dan kan er niet meer gesurfed worden en verschijnen de popups nog, echter zonder inhoud.

GamiQ, de game notes app met game maps!

maandag 14 maart 2005 23:20

Acties:

Verwijderd

ik heb beetje ge googled en kwam dit tegen http://www.daniweb.com/techtalkforums/thread19959.html


Komt er dus op neer dat ze zeggen dat er onderaan die website van hotoffers een uninstall functie is die het voor je weghaalt (uninstalled).

http://www.hotoffers.info/uninstall/index.html

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

{
How to uninstall?

1. You need to save file uninstall.exe from our server.

2. You need to launch this file.

3. Then open regedit.exe in your Windows directory. And find HKEY_CURRENT_USER "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UninstallHP.

4. Now please delete UninstallHP folder.

5. Now please write in your command field: regsvr32 /u popup_bl.dll

6. Press OK. You're free of this trojan!
}


Volgens dat forum helpt het echt, dus is denk ik het proberen waard.

[ Voor 57% gewijzigd door Verwijderd op 14-03-2005 23:22 ]

dinsdag 15 maart 2005 11:37

Acties:
  • -SaveMe-
  • Registratie: Januari 2002
  • Laatst online: 13:51

-SaveMe-

-klik-

Topicstarter
@ rahftor, bedankt. Ik ga het vanavond proberen. En post hier het resultaat ....

GamiQ, de game notes app met game maps!

donderdag 17 maart 2005 21:24

Acties:
  • Bartjeuhz
  • Registratie: Augustus 2001
  • Laatst online: 14:44

Bartjeuhz

ik heb hetzelfde probleem gehad en net ff die uninstall gedraaid enzo en het werkt :D
bedankt

Steam: CatBearCow

vrijdag 25 maart 2005 11:12

Acties:

Verwijderd

:7 Echt waar het werkt :D
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq