Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Starteuro hijacker

Pagina: 1
Acties:

woensdag 25 mei 2005 11:08

Acties:

Verwijderd

Topicstarter
Ik zit nu met de pc van een klant waar de browser gehijacked is door starteuro.nl

Hierdoor kan de klant bepaalde beveiligde websites niet op en op het moment dat er een onbestaande pagina opgevraagd wordt komt die site tevoorschijn

Heb hier al gezocht en via google maar de enige link die ik terugkrijg die interessant lijkt komt uit de newsgroupen waar iemand anders hetzelfde probleem heeft en geen reactie heeft gekregen.

Evt kan ik een hijackthis log posten. Hier staat echter weinig in....

woensdag 25 mei 2005 11:11

Acties:
  • sariel
  • Registratie: Mei 2004
  • Laatst online: 22-05-2024

sariel

als je een oplossing zoekt, zou je misschien hitmanpro kunnen gebruiken (http://www.hitmanpro.nl).

Succes.

Copy.com

woensdag 25 mei 2005 11:11

Acties:
  • blaataaps
  • Registratie: Juli 2001
  • Niet online

blaataaps

> BV

woensdag 25 mei 2005 11:12

Acties:

Verwijderd

Topicstarter
been there, done that.. Got the t-shirt (and a button)

Ik heb alle antispyware shit eroverheen gegooid. Vind niks

woensdag 25 mei 2005 11:12

Acties:

Verwijderd

Topicstarter
blaataaps schreef op woensdag 25 mei 2005 @ 11:11:
> BV
Oh verrek :+ thnx

woensdag 25 mei 2005 11:16

Acties:
  • tdn135
  • Registratie: December 2003
  • Niet online

tdn135

Wat dacht je van Hijackthis?
Draai het en plak je log file op hijackthis.de

woensdag 25 mei 2005 11:18

Acties:

Verwijderd

Plaats dan nog even die hijack log.

En welke bedoel je met "alle"....

woensdag 25 mei 2005 11:19

Acties:

Verwijderd

Topicstarter
Zoals in OP gezet....

Hijackthis gedraaid. Aangezien ik vaker pc's met spyware schoon ben ik inmiddels redelijk ervaren met het pakket en wat er wel of niet hoort te staan.

Hijackthis geeft geen bijzonderheden aan. Anders had ik dit topic waarschijnlijk niet eens geopend. :)

Tis weer een slim stukje spyware van die gasten

woensdag 25 mei 2005 11:20

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op woensdag 25 mei 2005 @ 11:18:

En welke bedoel je met "alle"....
Alle mij bekende antispyware software. Inclusief hitmanpro.

Log ga ik regelen.

woensdag 25 mei 2005 11:22

Acties:
  • Racemol
  • Registratie: September 2001
  • Laatst online: 30-11 14:28

Racemol

rootkit??

http://www.sysinternals.c...eware/rootkitreveal.shtml

woensdag 25 mei 2005 11:25

Acties:
  • ReallyStupidGuy
  • Registratie: Januari 2002
  • Laatst online: 27-11 16:52

ReallyStupidGuy

Huh?!

Verwijderd schreef op woensdag 25 mei 2005 @ 11:19:
Tis weer een slim stukje spyware van die gasten
Als ik zie welke startpagina er wordt ingesteld is het meer dat ze alleen naar een nederlands domein verwijzen. Toch zou hijackthis dat volgens mij wel moeten zien. Misschien dat het domein wordt aangepast aan de hand van de landinstellingen of het ip adres oid. Lijkt me sterk dat een hijack alleen naar een nederlandse site verwijst.

Duizend wijzen kunnen meer vragen stellen dan één idioot kan beantwoorden.

woensdag 25 mei 2005 11:28

Acties:

Verwijderd

Topicstarter
Racemol schreef op woensdag 25 mei 2005 @ 11:22:
rootkit??

http://www.sysinternals.c...eware/rootkitreveal.shtml
Ga ik eens naar kijken
ReallyStupidGuy schreef op woensdag 25 mei 2005 @ 11:25:
[...]

Als ik zie welke startpagina er wordt ingesteld is het meer dat ze alleen naar een nederlands domein verwijzen. Toch zou hijackthis dat volgens mij wel moeten zien. Misschien dat het domein wordt aangepast aan de hand van de landinstellingen of het ip adres oid. Lijkt me sterk dat een hijack alleen naar een nederlandse site verwijst.
hierbij het log
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68

Logfile of HijackThis v1.99.1
Scan saved at 11:24:59, on 25-5-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\sistray.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hitman Pro\hitmanpro2.exe
C:\Documents and Settings\Tatiana\Bureaublad\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ilse.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.ilse.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

woensdag 25 mei 2005 11:36

Acties:
  • djexplo
  • Registratie: Oktober 2000
  • Laatst online: 27-10 15:31

djexplo

p het moment dat er een onbestaande pagina opgevraagd wordt komt die site tevoorschijn
Oftewel de 404 pagina is aangepast, dit is waarschijnlijk niet de oorzaak dat beveiligde sites niet werken. Zoek eens op Got naar 404 pagina aangepast b.v.:

http://gathering.tweakers...es/424811///404%2Cpaginap
http://gathering.tweakers...essages/511225///404%2Cxp

Wat de eerste url beschrijft is het overschrijven van de \System32\shdoclc.dll door een niet aangetaste dll, het probleem is dat windows die weer door de mal-ware versie vervangt daarom moet je het SFC commando gebruiken die in de 2e url is beschreven ..

[ Voor 35% gewijzigd door djexplo op 25-05-2005 11:44 . Reden: more info... ]

'if it looks like a duck, walks like a duck and quacks like a duck it's probably a duck'

woensdag 25 mei 2005 11:38

Acties:
  • Dido
  • Registratie: Maart 2002
  • Laatst online: 13:02

Dido

heforshe

Kijk eens naar die sistray.exe, volgens mij hoort die daar niet.
Eerste hit op google vind hem ook niet lekker.

Wat betekent mijn avatar?

woensdag 25 mei 2005 11:40

Acties:

Verwijderd

Topicstarter
djexplo schreef op woensdag 25 mei 2005 @ 11:36:
[...]
Oftewel de 404 pagina is aangepast, dit is waarschijnlijk niet de oorzaak dat beveiligde sites niet werken. Zoek eens op Got naar 404 pagina aangepast b.v.:
http://gathering.tweakers...es/424811///404%2Cpaginap
ga ik even kijken
Dido schreef op woensdag 25 mei 2005 @ 11:38:
Kijk eens naar die sistray.exe, volgens mij hoort die daar niet.
Eerste hit op google vind hem ook niet lekker.
Description:
sistray.exe is installed alongside the hardware drivers for SIS video output devices, and offers additional configuration and diagnostic features. This program is a non-essential system process, but should not be terminated unless suspected to be causing problems.

Maar ik gooi em er wel ff uit :)

Ik heb de pc ook gescand op virussen.. Lijkt me dat als het op de symantec site staat dat ie em dan herkent..

[ Voor 6% gewijzigd door Verwijderd op 25-05-2005 11:41 ]

woensdag 25 mei 2005 11:41

Acties:
  • Dido
  • Registratie: Maart 2002
  • Laatst online: 13:02

Dido

heforshe

offtopic:
Ok, ik moet iets verder kijken :X
Maar wie verzint er dan ook een naam die gelijk is aan de naam van een malware bestand?

Wat betekent mijn avatar?

woensdag 25 mei 2005 11:43

Acties:

Verwijderd

Topicstarter
offtopic:
ik denk eerder dat het andersom is :) dat eerst sistray van SiS bestond en dat 1 of andere hufter daar gebruik van heeft gemaakt.. is wel slim natuurlijk ;)

woensdag 25 mei 2005 11:46

Acties:
  • tdn135
  • Registratie: December 2003
  • Niet online

tdn135

sistray.exe zal wel goed zijn. Ik heb niets kunnen vinden in de log dat verkeerd eruit ziet!
Trouwens kan je niet met MS Antispyware de zoek, startpagina settings op default zetten
Verwijderd schreef op woensdag 25 mei 2005 @ 11:47:
wat is die ctfmon.exe? Die heb ik nog nooit gezien en er hoort ook niet zoveel in c:\windows te staan van exe files. Kijk eens naar datum en tijd van dit bestand...... zegt vaak ook iets
Ctfmon is iets van Office.

[ Voor 62% gewijzigd door tdn135 op 25-05-2005 11:48 ]

woensdag 25 mei 2005 11:47

Acties:

Verwijderd

wat is die ctfmon.exe? Die heb ik nog nooit gezien en er hoort ook niet zoveel in c:\windows te staan van exe files. Kijk eens naar datum en tijd van dit bestand...... zegt vaak ook iets

woensdag 25 mei 2005 11:58

Acties:

Verwijderd

Topicstarter
nljagfan schreef op woensdag 25 mei 2005 @ 11:46:
sistray.exe zal wel goed zijn. Ik heb niets kunnen vinden in de log dat verkeerd eruit ziet!
Trouwens kan je niet met MS Antispyware de zoek, startpagina settings op default zetten


[...]


Ctfmon is iets van Office.
Description:
ctfmon.exe is a part of the Microsoft Office suite. It activates the Alternative User Input Text Input Processor (TIP) and the Microsoft Office XP Language Bar. This program is a non-essential system process, but should not be terminated unless suspected to be causing problems.

Met MS AntiSpyware al gekeken of de startpagina's settings terug gezet kunnen worden... die staan allemaal standaard.. Dus ik ga even proberen om dat shdoclc.dll ter vervangen. Kijken of dat iets uitmaakt

woensdag 25 mei 2005 12:07

Acties:

Verwijderd

Topicstarter
hmm


opgelost...

Er stond nog bestand khooker.exe... Deze opgezocht en dit is de description:

Description:
khooker.exe is installed alongside hardware drivers for the SIS Control Console which allows easy access to the diagnostics utility for this range of graphics cards. This program is non-essential process to the running of the system, but should not be terminated unless suspected to be causing problems.

Aangezien sistray er ook in stond ging ik ervanuit dat dit goed was. Maar mijn achterdocht bleek gegrond te zijn. Deze weggehaald, reboot en nu krijg ik mijn gewone pagina is niet gevonden onzin :)

Nu alleen nog kijken of ik de site op kom waar het uiteindelijk om gaat. Alleen de klant neemt niet op en ik weet de inlog niet :|

[ Voor 10% gewijzigd door Verwijderd op 25-05-2005 12:08 ]

woensdag 25 mei 2005 12:14

Acties:
  • woekele
  • Registratie: Juni 2002
  • Niet online

woekele

woekele

Verwijderd schreef op woensdag 25 mei 2005 @ 11:12:
been there, done that.. Got the t-shirt (and a button)

Ik heb alle antispyware shit eroverheen gegooid. Vind niks
Lijkt me vrij belangrijke info om in de OP te zetten dan... in plaats van met zo'n houding te reageren op mensen die je proberen te helpen.

woensdag 25 mei 2005 12:15

Acties:

Verwijderd

Topicstarter
euhm...

Je hebt de rest van het topic ook gelezen?

Bedankt voor je bijdrage overigens

woensdag 25 mei 2005 12:19

Acties:

Verwijderd

Topicstarter
Nou, om het dan goed af te sluiten:

Ik wil graag iedereen bedanken die in dit topic zijn/haar bijdrage geleverd heeft wat geleid heeft tot de (voorlopige) oplossing van mijn probleem :) _/-\o_

Hopelijk kan iedereen zijn voordeel ermee doen aangezien deze hijacker nog niet al te bekend is op internet.

woensdag 25 mei 2005 12:28

Acties:
  • marquis
  • Registratie: Januari 2003
  • Laatst online: 27-08 21:28

marquis

Heb je ook al eens in veilige modus gescand?
Op dat ogenblik kan ie nie actief zijn waardoor het misschien beter te vinden is voor een antispy scanner.

Adem in...... adem uit. Poeh, weer gered :-)

woensdag 25 mei 2005 12:44

Acties:
  • Skaah
  • Registratie: Juni 2001
  • Laatst online: 29-11 20:20

Skaah

Waarom staat er zowel nVidia als SiS meuk op?

woensdag 25 mei 2005 12:55

Acties:

Verwijderd

Topicstarter
2 videokaarten :) 2 monitoren..

SiS onboard geforce extra

woensdag 25 mei 2005 12:58

Acties:

Verwijderd

Topicstarter
Wat er nu ook nog aan de hand is.

Als ik wil inloggen op een pagina..laten we zeggen... GoT dan vul ik mijn gegevens in en klik op login. Vervolgens blijft op dat scherm staan en ben niet ingelogd.

Dit is ook met de site van het astmafonds. daar probeer ik in te loggen maar dat lukt dus niet, dan gaat ie terug naar het inlogscherm met de mededeling dat ik niet bekend ben.

Als ik het met firefox probeer lukt het wel.. (op beide sites)

Echter, andere sites waar ik moet inloggen van bijvoorbeeld een leverancier, lukt zonder problemen.

Alles in IE standaard gezet. maakt geen verschil.

Het lijkt erop alsof het alleen bij jsp pagina's is. Wellicht brengt dat wat meer licht op de zaak

[ Voor 13% gewijzigd door Verwijderd op 25-05-2005 13:04 . Reden: jsp toevoeging ]

woensdag 25 mei 2005 13:32

Acties:

Verwijderd

Topicstarter
Update..

Ook opgelost... Cookies beveiliging stond hoog...

En bedankt, collega ;) (deze had dit voor het gemak maar even aangepast :)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq