smitfraud.c - Privacy en beveiliging

maandag 16 mei 2005 11:16

Acties:

Verwijderd

Topicstarter

Vanmorgen computer aan, e-mail ontvangen, en ja het was raak !

Blauwe achtergrond met "Security warning"

A fatal error in IE has occured at 0028:...... .......Error was caused by Trojan-Spy.HTML.Smitfraud.c

Nou hijacker op hem uitgevoerd die vond het en verwijderde het. Duw hijacker weg, shit nog steeds diezelfde achtergrond. Hijacker opnieuw uitgevoerd en ja hoor de bestanden stonden er weer!

Ik naar deze gezocht kon wel het een en ander vinden maar niet over deze trojan.

Ondertussen nog cwshredder uitgevoerd en spybot zonder resultaat.

Dan maar naar google, hier vind ik de oplossing start op in veilige modus en voer dan hijack en/of cwshredder uit. Ja hoor hup alles verwijdert in veilige modus en het werkte.

Totdat ik nu weer in windows kom alles is weer mooi terug, weer dat fijne blauwe scherm want ik trouwens niet kan wijzigen en al die keys zijn weer terug.

Trouwens in regedit verwijdere helpt ook niet.

Logfile of HijackThis v1.99.1
Scan saved at 11:04:57, on 16-5-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\popuper.exe
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\System32\intmonp.exe
C:\WINDOWS\System32\intmon.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\imapi.exe
F:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.startsearches.net/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.startsearches.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.startsearches.net/
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\WINDOWS\System32\hp3C2E.tmp
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

maandag 16 mei 2005 11:21

Acties:

XTerm

In het vervolg Firefox en Thunderbird gebruiken ?

Modbreak:Doe maar niet - dit soort opmerkingen hebben niets met de vraagstelling te maken

[ Voor 50% gewijzigd door elevator op 16-05-2005 11:52 ]

maandag 16 mei 2005 11:32

Acties:

Verwijderd

Topicstarter

Trouwens ook nog een leuk detail ik gebruik al een geruime tijd firefox. En wat nog mooier is dat ik IE helemaal verwijdert heb van de pc!

Er knippert trouwens steeds een geel driehoekje mer een uitroepteken dat de computer in gevaar is !

[ Voor 53% gewijzigd door Verwijderd op 16-05-2005 11:34 ]

maandag 16 mei 2005 11:41

Acties:

Verwijderd

Hier: check dit even. Ps. google is je vriend. Volgens mij heb je nog niet zo veel gezocht he?

edit. Moet ik wel even de link erbij plaatsen

http://www.antispywareoff...rum/showthread.php?t=4511

[ Voor 39% gewijzigd door Verwijderd op 16-05-2005 11:41 ]

maandag 16 mei 2005 11:43

Acties:

kwiebus

Dus je hebt alles al uitgevoerd wat hier beschreven staat?

maandag 16 mei 2005 12:07

Acties:

Tiiim

Grand Theft Audio

Heb hier ook mee te maken gehad... is een lastige! Deze reply (stappenplan) wordt standaard gegeven op het Anti Spyware Offensief forum voor smitfraud.c problemen. Ik denk dat je hiermee al een stuk verder komt:

http://www.antispywareoff...t.php?p=28269&postcount=2

Overige topics die interessant zijn om te checken zijn.

http://www.antispywareoff...rum/showthread.php?t=4476

en ook:

http://www.antispywareoff...rum/showthread.php?t=4623

http://www.antispywareoff...rum/showthread.php?t=4334

http://www.antispywareoff...rum/showthread.php?t=4301

maandag 16 mei 2005 13:36

Acties:

hessel

Kan het er mee te maken hebben dat het volgende bij jou ontbreekt
Alle windows updates, SP2; Virusscaner; firewall.

uit je log gehaald
* A newer version of service pack is available. Service packs increase the safety of your system. Visit Microsoft's windowsupdate site to download the newest version of the service pack.
* It seems that you don't use an anti-virus scanner or your scanner is not active. Only an anti-virus scanner can protect you against new viruses.
* No active firewall was found on your system or the firewall you use is unknown to us. If you don´t use a firewall you should download and install one or activate windows xp´s own one.

Updates van microsoft zijn niet alleen updates voor Internet explorer maar ook voor je OS. Dus met verwijderen van Internet explorer word het lastig om al deze updates bij te houden. Of je moet een ander methode hebben gevonden om deze update te instaleren.

In het vervolg Firefox en Thunderbird gebruiken ? Dat zegt ook niet alles. Ooit zal er een programeur komen die hier malware voor schrijft zodat we straks gaan roepen "dat heb je als je (ie;firefox;thunderbird) gebruikt"

[ Voor 4% gewijzigd door hessel op 16-05-2005 13:40 . Reden: tipe flaters ]

Grutte Pier fansels

maandag 16 mei 2005 13:40

Acties:

pasta

Ondertitel

code:

1	C:\WINDOWS\popuper.exe

Weet jij wat dit is? Ik anders niet.

Scan het eens op Jotti's online malware scan.

code:

C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\System32\intmonp.exe
C:\WINDOWS\System32\intmon.exe
C:\WINDOWS\System32\imapi.exe

Hetzelfde geldt ook voor deze bestanden, scan deze ook eens op Jotti's online malware scan.

code:

1	F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe

Je shell is normaliter alleen Explorer.exe, die versie van msmgs.exe vertrouw ik dan ook niet.

code:

1	O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\WINDOWS\System32\hp3C2E.tmp

Scan het bestand even eens op Jotti's online malware scan om er zeker van te zijn wat voor malware het is.

Verder vraag ik me af waar de rest van je log is gebleven. Wellicht dat er nog een proces bij O4 staat wat verdacht is. Verder zou ik ook eens upgraden, je surft nu op een onbeveiligde Windows XP bak, die spyware is wel het laatste waar je je eigenlijk zorgen over moet maken. Daarnaast mis ik ook nog iets welke virusscanner je gebruikt. Ik zou het wel aanraden om er een te gebruiken.

Signature

maandag 16 mei 2005 13:48

Acties:

MAZZA

Barbie is er weer!

Verwijderd schreef op maandag 16 mei 2005 @ 11:32:
Trouwens ook nog een leuk detail ik gebruik al een geruime tijd firefox. En wat nog mooier is dat ik IE helemaal verwijdert heb van de pc!

Ik neem aan dat je nog wel gewoon je PC update via winupdate? Want IE compleet uit je systeem halen dat kan niet. Enkel visueel.

De kans bestaat dat je spyware via Firefox naarbinnen haalt bestaat. Maar vaak alleen als je een niet up-to-date JVM hebt draaien (er vanuitgaande dat je wel je FF ook update naar de meest recente release).

IE verwijderen en Firefox gebruiken geeft vaak een gevoel van schijnveiligheid helaas.

maandag 16 mei 2005 18:27

Acties:

Verwijderd

Topicstarter

Zo nu ben ik eindelijk denk ik dan van de troep af alleen nog één probleem

Zwarte achtergrond! rechter-muisknop eigenschappen en dan is het schermbeveiliging of instellingen maar geen achtergrond wijzigen! In configuratiescherm idem! Dus als hier ook nog iemand een slimme oplossing voor heeft!

( Trouwens van de trojan ben ik af alleen zijn er nog een aantal spyware bestanden die maar niet te verwijderen zijn )

maandag 16 mei 2005 18:33

Acties:

Occy74

Verwijderd schreef op maandag 16 mei 2005 @ 18:27:
Zo nu ben ik eindelijk denk ik dan van de troep af alleen nog één probleem
Zwarte achtergrond! rechter-muisknop eigenschappen en dan is het schermbeveiliging of instellingen maar geen achtergrond wijzigen! In configuratiescherm idem! Dus als hier ook nog iemand een slimme oplossing voor heeft!

( Trouwens van de trojan ben ik af alleen zijn er nog een aantal spyware bestanden die maar niet te verwijderen zijn )

You will need to edit the registry.

1. Run REGEDIT
2. Go to HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\System
3. Once at the above location, look on the right hand page for the value
"NoDispBackgroundPage" (DWORD value)
4. You may see that the value is set as 1, so you will have to right click and modify the value to 0
5. If you so not see "NoDispBackgroundPage"
then you will have to create it
Right click the System key and choose to create a new DWORD value, then type
NoDispBackgroundPage
and then set the value as 0

To be able to choose the desktop background again, simply remove the Wallpaper entry in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

[ Voor 9% gewijzigd door Occy74 op 16-05-2005 18:36 ]

Systeem Specs

maandag 16 mei 2005 20:22

Acties:

Verwijderd

Topicstarter

Zo het heeft wat moeite gekost maar ik ben er nu denk ik helemaal vanaf! Bedankt drunkfux en de rest $_/-\o_$