Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Hardnekkige spyware, horse-search.net....

Pagina: 1
Acties:

donderdag 17 maart 2005 21:01

Acties:

Verwijderd

Topicstarter
Ik heb een probleem met een continu terugkerende site, te weten: http://horse-search.net/search1/search.php?q=spyware

Ook nu typ ik mijn zoveelste bericht, omdat dat ^$#$&^$%- ding er elke keer tussen komt. Goed, ik heb Hitman Pro gedraaid, alsmede alle andere programma's zoals die hier worden aangeraden. Hieronder mijn Hijack This logfile. Wat vreemd is, is dat mijn MC Afee aanspringt op hetzelfde moment dat de site verschijnt. Heb de bestanden die MC Afee dan aangeeft, verwijderd, maar het probleem blijft.

LOGFILE:

Logfile of HijackThis v1.98.2
Scan saved at 21:01:31, on 17-03-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\open32.exe
C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
C:\Program Files\Hitman Pro\srhelper.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Hijack This\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Shell] open32.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Hitman Pro SurfRight Helper] "C:\Program Files\Hitman Pro\srhelper.exe"
O4 - Startup: winupdate47816565[1].exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/...com/housecall/xscan53.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab

Wat kan ik nog doen?? Ook via het register heb ik het bestand handmatig proberen te verwijderen, werkt ook niet.

donderdag 17 maart 2005 21:06

Acties:
  • plakbandrol
  • Registratie: Juni 2002
  • Laatst online: 24-11 22:02

plakbandrol

MS Antispyware al geprobeerd?

donderdag 17 maart 2005 21:09

Acties:

Verwijderd

Even gezocht op Google met open32.exe

Kom je uit op de volgende link http://castlecops.com/postt108292.html

Volgens mij is dat em. Tenminste daar hebben ze het ook over "horseserver associated"

donderdag 17 maart 2005 21:09

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

code:
1
2

C:\WINDOWS\System32\open32.exe
O4 - HKLM\..\Run: [Shell] open32.exe


Dat is het enige bestand wat ik zo niet 1,2,3 vertrouw. Scan het eens op Jotti's online malware scan. :)

Signature

donderdag 17 maart 2005 21:10

Acties:
  • Steph Kai
  • Registratie: September 2004
  • Laatst online: 12-11 23:32

Steph Kai

Backup je bestanden en format de zooi.... install XP (or w/e) gooi er Spyware Doctor, Hijack This, McAfee en SpyBot, misschien als je XP hebt SP2, en een popupblocker.
Ik heb dit, en heb nooit meer last van Spyware.

CCleaner is ook een goed programma, die gooit alle overbodige meuk van je pc, install dat ook maar. Misschien krijg je het daar nog mee weg.

donderdag 17 maart 2005 21:13

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

Steph Kai schreef op donderdag 17 maart 2005 @ 21:10:
Backup je bestanden en format de zooi.... install XP (or w/e) gooi er Spyware Doctor, Hijack This, McAfee en SpyBot, misschien als je XP hebt SP2, en een popupblocker.
Ik heb dit, en heb nooit meer last van Spyware.

CCleaner is ook een goed programma, die gooit alle overbodige meuk van je pc, install dat ook maar. Misschien krijg je het daar nog mee weg.
Een format c: is wel een heel rigoreuze oplossing. ;) Verder zou ik je wel aanraden om even je PC ook nog verder te updaten, SP2 is toch al een tijdje uit. :)

Ook zou ik nog even proberen om even met een nieuwere versie van HJT te scannen. 1.99.1 is ondertussen ook al uit, misschien ziet het nog iets wat in deze versie nog niet zat. ;)

Signature

donderdag 17 maart 2005 21:20

Acties:

Verwijderd

Topicstarter
Dat open32.exe bestand wordt door Jotti als infected beschouwd, via HijackThis kan ik 'm niet verwijderen. Enige andere opties hoe wel? Ik zal nog even proberen een nieuwe versie te downen.

donderdag 17 maart 2005 21:23

Acties:

Verwijderd

Probeer het eens in de "veilige modus" van Windows (F8 bij het booten).
Anders moet het onder DOS wel lukken (bootdisk).

Vergeet de key in het register niet trouwens.

donderdag 17 maart 2005 21:34

Acties:
  • sjonxp
  • Registratie: April 2002
  • Laatst online: 18-11 14:50

sjonxp

Who is Smart?

Misschien helpt HSFix ?
(wel even in veilige modus starten)

Real programmers don't comment their code. It was hard to write, it should be hard to understand.

donderdag 17 maart 2005 21:47

Acties:

Verwijderd

Topicstarter
Heb net open32.exe via de veilige modus verwijderd alsmede de regkeys. Nu afwachten wat er gebeurt. Via Hijack This krijg ik nu de volgende logfile:

Logfile of HijackThis v1.98.2
Scan saved at 21:47:53, on 17-03-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
C:\Program Files\McAfee\McAfee VirusScan\Webscanx.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Hitman Pro\srhelper.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\DOCUME~1\JB47A~1.VAN\LOCALS~1\Temp\tmp6.tmp
C:\DOCUME~1\JB47A~1.VAN\LOCALS~1\Temp\tmp8.tmp
C:\WINDOWS\System32\open32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Hijack This\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Shell] open32.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Hitman Pro SurfRight Helper] "C:\Program Files\Hitman Pro\srhelper.exe"
O4 - Startup: winupdate47816565[1].exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/...com/housecall/xscan53.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab


Trouwens, vreemd genoeg na mijn reboot kreeg ik weer een shitload spyware pagina's die door mijn hijack this vermeld worden. Dit gebeurt overigens naar mijn weten, dit is niet mijn computer, bij elke reboot. Overigens, heb ik de kleine tien minuten die ik nu online, nog geen horse-active gezien... :X

donderdag 17 maart 2005 22:09

Acties:

Verwijderd

Topicstarter
Hij is weer terug....pffff..... 8)7 |:(

donderdag 17 maart 2005 22:25

Acties:
  • Sassie
  • Registratie: November 1999
  • Laatst online: 13:07

Sassie

code:
1

O4 - Startup: winupdate47816565[1].exe

Wat is dit precies? Gooi het bestand anders ook eens door de jotti scan.
Als ik op 'winupdate.exe' google vind ik dingen die niet pluis zijn (het hoeft niet hetzelfde te zijn, maar maakt het wel wat verdacht in mijn ogen).
http://www.liutilities.co...processlibrary/winupdate/
http://www.iamnotageek.com/a/winupdate.exe.php

code:
1
2

O4 - HKLM\..\Run: [Shell] open32.exe
C:\WINDOWS\System32\open32.exe

En deze kunnen ook wel weer weg... ;)
(gooi het bestand ook ff weg in de veilige modus)

code:
1
2

C:\DOCUME~1\JB47A~1.VAN\LOCALS~1\Temp\tmp6.tmp
C:\DOCUME~1\JB47A~1.VAN\LOCALS~1\Temp\tmp8.tmp

Wat is dit? Kun je dat ook eens nader onderzoeken?

donderdag 17 maart 2005 22:44

Acties:

Verwijderd

Topicstarter
O4 - Startup: winupdate47816565[1].exe is verwijderd, nu laat Hijack This dezelfde 'correcte' logfile zien als toen ik 'm rebootte. Dat gebeurde net niet. Het kan goed zijn dat dit bestand de spyware pages constant activeerde. We wachten wederom af... :D

donderdag 17 maart 2005 23:02

Acties:
  • Sassie
  • Registratie: November 1999
  • Laatst online: 13:07

Sassie

Ik zie trouwens dat je nog steeds een oudere versie van hijackthis gebruikt, inmiddels is zoals pasta in "Hardnekkige spyware, horse-search.net......" zegt versie 1.99.1 al uit, zie http://www.spywareinfo.com/~merijn/.
Misschien vindt die nog wat extra dingen (hij kijkt iig op meer plekken).
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq