[Spyware] Popups niet weg te krijgen*

dinsdag 18 oktober 2005 19:30

Cleverest Strategist

Topicstarter

Afbeeldingslocatie: http://img.photobucket.com/albums/v463/uchiuchi/Clipboard01.gif

bartPE

heb ik niet

is het gratis te downloaden?
of kan ik beter gewoon opnieuw formatten dit lijkt me teveel moeite hhahhaa

[ Voor 23% gewijzigd door Nara Shikamaru op 18-10-2005 19:23 ]

Acties:

Verwijderd

Probeer het eens met http://www.sysinternals.com/Utilities/Autoruns.html dat heeft bij mij nog nooit gefaald. En anders kon je met dit programma http://www.sysinternals.com/Utilities/RootkitRevealer.html nog wel eens iets vinden wat verborgen is.

Zijn geen beginners utils maar toch.

Suc6

dinsdag 18 oktober 2005 19:31

Acties:

Verwijderd

denk dat je deze stappen eens moet bekijken
http://forums.thetechguys.com/showthread.php?t=11896

dinsdag 18 oktober 2005 19:58

Acties:

dinsdag 18 oktober 2005 23:01

Cleverest Strategist

Topicstarter

Verwijderd schreef op dinsdag 18 oktober 2005 @ 19:30:
Probeer het eens met http://www.sysinternals.com/Utilities/Autoruns.html dat heeft bij mij nog nooit gefaald. En anders kon je met dit programma http://www.sysinternals.com/Utilities/RootkitRevealer.html nog wel eens iets vinden wat verborgen is.

Zijn geen beginners utils maar toch.

Suc6

[ Voor 10% gewijzigd door Nara Shikamaru op 18-10-2005 19:59 ]

Acties:

pasta

Ondertitel

Of, als alternatief voor de dingen die SATMarco noemde, F-Secure Blacklight. Sowieso valt aan te raden om het voorzichtig aan te doen met deze producten, niet alle verborgen dingen zijn namelijk malware.

Probeer het ook eens met Kaspersky Anti-Virus (met extended bases).

Ik verplaats je topic sowieso nog even naar Beveiliging & Virussen, en pas je topictitel aan.

Signature

dinsdag 18 oktober 2005 23:10

Acties:

Verwijderd

Nara Shikamaru schreef op dinsdag 18 oktober 2005 @ 19:17:
[afbeelding]

bartPE heb ik niet is het gratis te downloaden?
of kan ik beter gewoon opnieuw formatten dit lijkt me teveel moeite hhahhaa

Welke build van KAV gebruik je?
Gebruik je wel de extended bases?

dinsdag 18 oktober 2005 23:10

Acties:

andyy

scan je pc is voor de lol met een virusscanner in veilige modus

dinsdag 18 oktober 2005 23:24

Acties:

woensdag 19 oktober 2005 19:34

Cleverest Strategist

Topicstarter

Verwijderd schreef op dinsdag 18 oktober 2005 @ 23:10:
[...]

Welke build van KAV gebruik je?
Gebruik je wel de extended bases?

build 5.0.388.1

hoe gebruik je de extended bases?

Acties:

woensdag 19 oktober 2005 19:37

Cleverest Strategist

Topicstarter

ik heb met kaspersky antivirus gescant in veilig modus met extended bases en alles weggehaalt maar elke keer als ik nu mijn computer opstart vind hij het opnieuw en kan je gewoon deleten maar is irritant hoe komt het steeds terug

steeds deze 2 bestanden

hvl.dll
guard.tmp

komen terug na reboot

Acties:

donderdag 20 oktober 2005 15:26

Misschien je computer opstarten in veilige modus zonder netwerkmogelijkheden en dan de bestanden verwijderen alsmede de (mogelijke) verwijzingen ernaar in het register.

Acties:

Stalker

Leon 20 VT Topsport

Probeer het eens met ewido security suite.
Kan je een 14 dagen versie van downloaden.
http://www.ewido.net/en/

Als je die uitvoerd in veilige modus is het wel weg denk ik

Ik ben er erg over te spreken.

Specs

donderdag 20 oktober 2005 16:16

Acties:

donderdag 20 oktober 2005 18:24

Ik heb sinds vandaag precies het zelfde probleem.
Ik herken ook enkele advertentie die "Nara Shikamaru" heeft gepost.

Ad-aware en spy-bot helpen niet.

Hijackthis laat het volgende zien in veilige modus.

code:

Logfile of HijackThis v1.99.1
Scan saved at 16:24:45, on 20-10-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
G:\FTP\Download\Programma's\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tweakers.net/
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTStartup] "C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE" /run
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [IDesktop.2.5] C:\PROGRA~1\IMMERS~1\TOUCHS~1\Clients\Desktop\IDesktop.exe 1
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~3\GAMECO~1\common\swtrayv4.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [ProdikeysAutorun] "C:\Program Files\Creative\Prodikeys\Prodload.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TerraTec Scheduler] "C:\Program Files\Common Files\TerraTec\Scheduler\TTTimer.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Program Files\Common Files\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ChrisTV Agent] "D:\ChrisTV\ChrisTV_Agent.exe"
O4 - HKCU\..\Run: [Steam] "n:\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: UltraMon.lnk = C:\Program Files\UltraMon\UltraMon.exe
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verzenden naar &Bluetooth - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15009/CTSUEng.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/sikes/nl/win/QuickTimeInstaller.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://simcity.ea.com/patch/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121281821250
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://stroms.dyndns.biz/activex/AMC.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://195.18.69.102/activex/AxisCamControl.cab
O16 - DPF: {A409700E-0751-11D5-BDA7-00A0C982BA51} (PDDrivesListCtrl Class) - http://www.raxco.com/analyze/PDWeb.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BF78BF45-4876-11D5-ADB0-000103484A5D} (PageDive Control) - http://www.pagedive.com/pagedive400/PageDive.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game15.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/update/MaxisSimCity4PatcherX.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game18.zylomgames.com/activex/zylomloader.cab
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Service Client v.3.4) - http://ccon.futuremark.com/global/msc34.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp08.photoprintit.de/microsite/2663/defaults/activex/IPSUploader.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4285/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15010/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DEFA4DBE-EA01-4389-B04C-5CB60A3C921A}: NameServer = 62.251.0.6,62.251.0.7
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\q0rqla951d.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: dev4_423 - Unknown owner - C:\phpdev\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Program Files\Portrait Displays\MagicTune\dtsrvc.exe
O23 - Service: gearsec - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Ik heb wel 3 vreemde DLL's kunnen vinden in mij PC.
Ze staan in C:/windows/system32

- t4r80e9ueh.dll
- iVshlpr.dll
- enjol1131.dll

[edit]

Na een reboot heten ze:

- necpl.dll
- hp0023dmg.dll
- kt8ml7l11.dll

Ze zijn 230KB groot en zijn allemaal gewijzigd vandaag tijdens het booten.
In veilige modus zijn ze niet te verwijderen, omdat een ander programma te gebruikt.
Hoe krijg ik ze weg?

[ Voor 103% gewijzigd door KillerDream op 20-10-2005 17:26 ]

Acties:

donderdag 20 oktober 2005 18:42

Ze heten nu weer:

- IKIresizeM6.dll
- d4j00e1meh.dll
- dn2201foe.dll

Ook in veilige modus kan je ze niet verwijderen.
Explorer geeft aan dat de bestanden in gebruik zijn.

Hebben jullie tips voor me om van die irritante reclame pop-up af te komen?

Acties:

donderdag 20 oktober 2005 18:45

Wat je kan doen (aangezien je de namen hebt) is de verwijzingen naar die bestanden te deleten uit je register zodat ze niet meer terugkomen. Daarna kun je de bestanden meestal handmatig verwijderen.

Acties:

donderdag 20 oktober 2005 20:34

Of misschien opstarten in DOS-modus en dan handmatig te verwijderen. Ben benieuwd.

Acties:

defiant

Moderator General Chat

Mischien geeft dit progje wat meer informatie?

Als de spyware dll ziet, kan je met rechtklik->properties een hoop informatie krijgen.

"When I am weaker than you I ask you for freedom because that is according to your principles; when I am stronger than you I take away your freedom because that is according to my principles"- Frank Herbert

donderdag 20 oktober 2005 20:35

Acties:

donderdag 20 oktober 2005 20:44

usgaap1976 schreef op donderdag 20 oktober 2005 @ 18:42:
Wat je kan doen (aangezien je de namen hebt) is de verwijzingen naar die bestanden te deleten uit je register zodat ze niet meer terugkomen. Daarna kun je de bestanden meestal handmatig verwijderen.

Ik heb net gezocht in regedit, maar ze komen er niet in voor.

Ze heten btw nu:

- dn2201foe.dll
- q8rqli9518.dll

[ Voor 11% gewijzigd door KillerDream op 20-10-2005 20:40 ]

Acties:

donderdag 20 oktober 2005 20:44

Defiant schreef op donderdag 20 oktober 2005 @ 20:34:
Mischien geeft dit progje wat meer informatie?

Als de spyware dll ziet, kan je met rechtklik->properties een hoop informatie krijgen.

Ik heb gekeken, en ik zie 100% geen vreemde processen.
Het zijn allemaal processen die ik kan herleiden naar programma's die ik heb geinstalleerd.

Acties:

donderdag 20 oktober 2005 20:44

ipso iure

onder t hitmanpro sweepen lees ik dit ook maar vast door....heb dus idd exact dit probleem ook sinds 18u

Huh..?? Neuh...bedankt | Qui habet aures audiendi audiat

Acties:

defiant

Moderator General Chat

Wat je ook kan doen is \windows en \windows\system32 met explorer sorteren op datum, de exe/dll's die vrij nieuw zijn, kunnen wel eens verdacht zijn.

De processen die je ziet zijn inderdaad ontraceerbaar, want ze worden waarschijnlijk gestart vanuit een ander proces, dat zichzelf beindigd om niet op te vallen. Die master exe/dll moet je zien te vinden.

donderdag 20 oktober 2005 20:45

Acties:

donderdag 20 oktober 2005 20:49

En als je in DOS opstart en dan probeert te verwijderen?

Dat progje van Sysinternal van hierboven is ook handig en kan je de mogelijkheid bieden processen (iq DLL'tjes) handmatig te stoppen, alhoewel ik vrees dat dat bij deze niet lukt.

Over register? Sorry, wat ik bedoelde was dat het oorsronkelijke spyware programma (bv. Alexa ofzo)vast nog veel resten heeft laten zitten in het register. Die op hun beurt er weer voor zorgen dat die dll'tjes blijven terugkomen en hernoemen. Probeer alle vage sleutels van adware en spyware uit je register te halen (bv aan de hand van je loglijst van Webroot). Ben benieuwd.

Acties:

donderdag 20 oktober 2005 20:49

@Kamstra

* Systeemherstel uitschakelen
* Opstarten in veilige modus zonder netwerkmogelijkheden
* Alle spyware de-installeren (PC Guard etc), evt. handmatig
* Alle anti-virus en spyware programma's laten lopen
* Aan de hand van je logfile restanten uit register halen

Acties:

donderdag 20 oktober 2005 20:52

Defiant schreef op donderdag 20 oktober 2005 @ 20:44:
Wat je ook kan doen is \windows en \windows\system32 met explorer sorteren op datum, de exe/dll's die vrij nieuw zijn, kunnen wel eens verdacht zijn.

De processen die je ziet zijn inderdaad ontraceerbaar, want ze worden waarschijnlijk gestart vanuit een ander proces, dat zichzelf beindigd om niet op te vallen. Die master exe/dll moet je zien te vinden.

Ja, dat sorteren is inderdaad de methode om de namen te vinden van de 2 á 3 DLL die het probleem veroorzaken.

Heb je een idee hoe we die master exe/dll kunnen vinden?

Acties:

donderdag 20 oktober 2005 20:56

usgaap1976 schreef op donderdag 20 oktober 2005 @ 20:49:
* Systeemherstel uitschakelen
* Opstarten in veilige modus zonder netwerkmogelijkheden
* Alle spyware de-installeren (PC Guard etc), evt. handmatig
* Alle anti-virus en spyware programma's laten lopen
* Aan de hand van je logfile restanten uit register halen

De grap is dat geen één spyware tool ons probleem detecteerd.
In veilige modus is het niet eens mogelijk om deze DLL's met de hand te verwijderen.
Je krijgt de mededeling dat ze in gebruik zijn.

Acties:

donderdag 20 oktober 2005 21:00

ipso iure

KillerDream schreef op donderdag 20 oktober 2005 @ 20:52:
[...]
De grap is dat geen één spyware tool ons probleem detecteerd.
In veilige modus is het niet eens mogelijk om deze DLL's met de hand te verwijderen.
Je krijgt de mededeling dat ze in gebruik zijn.

idd, met stom

heb al die opties al doorlopen, maar heeft geen zin, ik blijf zitten met die DLL ('s)
g0220afoed2c0.dll

na een volledige hitmanpro scan houdt ik dit over:
Afbeeldingslocatie: http://www.paulkamminga.nl/misc/meuk.PNG

(dat zijn dus bestanden die vandaag gewijzigd/gemaakt zijn in system32)

[ Voor 20% gewijzigd door kamstra op 20-10-2005 21:01 ]

Huh..?? Neuh...bedankt | Qui habet aures audiendi audiat

Acties:

donderdag 20 oktober 2005 21:02

En als je het programma wat voor de koppijn zorgde (en alle andere vage verwijzingen) verwijdert uit het register?

Acties:

donderdag 20 oktober 2005 21:05

usgaap1976 schreef op donderdag 20 oktober 2005 @ 21:00:
En als je het programma wat voor de koppijn zorgde (en alle andere vage verwijzingen) verwijdert uit het register?

Die DLL's (die dus steeds van naam veranderen na een reboot) staan niet in het register geregistreerd.

Acties:

donderdag 20 oktober 2005 21:05

Maar de programma's die die dll'tjes geinstalleerd heeft zoals Alexa of Cydoor of zoiets (waarschijnlijk biedt je logfile van Spysweeper een goed overzicht).

Ik neem aan dat er wel een programma is wat gevonden werd bij een controle?

Acties:

donderdag 20 oktober 2005 21:12

Kenmerken van infectie

1. pop-up in IE met daarin reclame. (meerendeel nederlandse reclame)
2. 3 DLL's bestanden in c:/windoes/system32 die gewijzigt zijn op de dag van vandaag.
3. De bestandgroote is 230Kb of 229Kb

Problemen bij verwijdering

De DLL's zijn niet te verwijderen, zijn in gebruik (die geldt ook wanneer je in veilige modus opstart)
Geen één spyware tool registeerd deze DLL's
Er is geen processen te zien die deze DLL's aanstuurd.

Acties:

donderdag 20 oktober 2005 21:12

usgaap1976 schreef op donderdag 20 oktober 2005 @ 21:05:
Maar de programma's die die dll'tjes geinstalleerd heeft zoals Alexa of Cydoor of zoiets (waarschijnlijk biedt je logfile van Spysweeper een goed overzicht).

Ik neem aan dat er wel een programma is wat gevonden werd bij een controle?

Ja, HijackThis vindt wel wat.

Deze regel is in dit geval voor ons van belang.
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\q8rqli9518.dll

Zo heet één van de DLL's op dit moment.

Acties:

donderdag 20 oktober 2005 21:13

ipso iure

KillerDream, krijg jij na reboot ook steeds zoiets?
Afbeeldingslocatie: http://www.paulkamminga.nl/misc/meuk2.PNG

voor de rest moet ik aansluiten bij je samenvatting hierboven

Huh..?? Neuh...bedankt | Qui habet aures audiendi audiat

Acties:

donderdag 20 oktober 2005 21:15

kamstra schreef op donderdag 20 oktober 2005 @ 21:12:
KillerDream, krijg jij na reboot ook steeds zoiets?
[afbeelding]

voor de rest moet ik aansluiten bij je samenvatting hierboven

Yep

Maar de naam van die DLL is steeds anders.
Heb jij toevallig ook 1 DLL van die 3 kunnen verwijderen?

Nadat ik dat namelijk had gedaan kreeg ik na reboten die error namelijk.

[ Voor 23% gewijzigd door KillerDream op 20-10-2005 21:15 ]

Acties:

donderdag 20 oktober 2005 21:18

ipso iure

mooi, dan heb ik niet al teveel meuk weggehaald in mijn search en destroy festijn hier

Nou die klote dll's nog

edit:
ja klopt, die naam is telkens anders. Ik ben er niet zeker van of ik 1 DLL heb weg weten te krijgen, maar zou wel goed kunnen...

[ Voor 39% gewijzigd door kamstra op 20-10-2005 21:16 ]

Huh..?? Neuh...bedankt | Qui habet aures audiendi audiat

Acties:

donderdag 20 oktober 2005 21:20

kamstra schreef op donderdag 20 oktober 2005 @ 21:15:
Ik ben er niet zeker van of ik 1 DLL heb weg weten te krijgen, maar zou wel goed kunnen...

Je kan ze niet direct deleten.
Eerste de extentie wijzigen, wanneer je hier toegang tot krijgt, toen kon ik 1 deleten.
Bij de andere 2 mag ik niet eens zijn naam veranderen, stoute DLL

Acties:

donderdag 20 oktober 2005 21:20

Volgens deze site heb je een VX2 (wat dat ook is, zo nog maar verder Googlen

Er staat iets verderop hoe je die kan verwijderen met L2mfix. Heb er geen ervaring mee maar misschien een suggestie? Downloadlocaties en instructies staan ook op die site.

Acties:

donderdag 20 oktober 2005 21:21

ipso iure

hmm ok. In dat geval heb ik niets weten te verwijderen, en dat lukt me nu ook niet dmv rename

Huh..?? Neuh...bedankt | Qui habet aures audiendi audiat

Acties:

donderdag 20 oktober 2005 21:21

Vertaling van die site

Acties:

donderdag 20 oktober 2005 21:27

usgaap1976 schreef op donderdag 20 oktober 2005 @ 21:20:
Er staat iets verderop hoe je die kan verwijderen met L2mfix. Heb er geen ervaring mee maar misschien een suggestie? Downloadlocaties en instructies staan ook op die site.

Ik ben vanmiddag ook al met L2mfix bezig geweest, maar die start hier niet op aangezien het een dos applicatie is.

* KillerDream heeft Win XP Pro build 2600 SP2

Acties:

donderdag 20 oktober 2005 21:31

usgaap1976 schreef op donderdag 20 oktober 2005 @ 21:21:
Vertaling van die site

Hoe verwijderen:
Download L2Mfix. (Dit programma is gemaakt door Shadowwar en OSC.)
Plaats het bestand op je buroblad. Klik op l2mfix.exe.
Klik op "Accept". Zorg dat de l2mfix-map op je bureaublad geplaatst wordt. Klik op "Install".
Op je bureaublad open je de map l2mfix.
Klik op l2fix.bat.
Klik op "1" om optie te 1 selecteren: Run Find Log.

Ik kon tot hier, en dan krijg is een standaard windowserror over DOS en NT.

Ik krijg wel een txt logbestand.

code:

L2MFIX find log 1.04a
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AutorunsDisabled]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AutorunsDisabled\RunOnce]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\hp0023dmg.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
  6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Internet Settings]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\q8rqli9518.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
  6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(NI)    ALLOW  Full access  NT AUTHORITY\SYSTEM
(IO)    ALLOW  Full access  NT AUTHORITY\SYSTEM
(NI)    ALLOW  Full access  NT AUTHORITY\SYSTEM
(IO)    ALLOW  Full access  NT AUTHORITY\SYSTEM
(ID-NI) ALLOW  Read         INGEBOUWD\Gebruikers
(ID-IO) ALLOW  Read         INGEBOUWD\Gebruikers
(ID-NI) ALLOW  Read         INGEBOUWD\Hoofdgebruikers
(ID-IO) ALLOW  Read         INGEBOUWD\Hoofdgebruikers
(ID-NI) ALLOW  Full access  INGEBOUWD\Administrators
(ID-IO) ALLOW  Full access  INGEBOUWD\Administrators
(ID-NI) ALLOW  Full access  NT AUTHORITY\SYSTEM
(ID-IO) ALLOW  Full access  NT AUTHORITY\SYSTEM
(ID-IO) ALLOW  Full access  MAKER EIGENAAR


**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{B57B4340-4477-4307-32B3-3A8F2DEADCBC}"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschappenvenster van multimediabestand"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-scannerbeheer"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="Het tabblad Beveiliging"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="Eigenschappenblad voor OLE-docbestand"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shell-uitbreidingen voor delen"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Configuratiescherm-uitbreiding Beeldschermadapter"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Configuratiescherm-uitbreiding Monitor"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Configuratiescherm-uitbreiding Beeldscherm-panning"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="Het tabblad Beveiliging"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Compatibiliteitspagina"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Knipselgegevensverwerker van shell"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Schijfkopieer-uitbreiding"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shell-uitbreidingen voor Microsoft Windows Network-objecten"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-monitorbeheer"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-printerbeheer"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shell-uitbreidingen voor bestandscompressie"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Shell-uitbreiding voor Web Printer"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Snelmenu Codering"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Werkmap"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="HyperTerminal-pictogramuitbreiding"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fonts"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-profiel"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Het tabblad Beveiliging voor printers"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shell-uitbreidingen voor delen"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Crypto PKO-extensie"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Crypto-handtekeningextensie"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netwerkverbindingen"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netwerkverbindingen"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanners en camera's"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanners en camera's"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanners en camera's"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanners en camera's"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanners en camera's"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shell-uitbreidingen voor Windows Script Host"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Data Link"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplande taken"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taakbalk en menu Start"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Zoeken"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Help en ondersteuning"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Help en ondersteuning"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Uitvoeren..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-mail"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Lettertypen"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Systeembeheer"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet-werkbalk"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Downloadstatus"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Uitgebreide shell-map"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Uitgebreide shell-map 2"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft-browserbalk"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Zoekbalk"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Mediabalk"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="Zoeken binnen deelvenster"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Zoeken op het web"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Hulpprogramma met opties voor registerboomstructuur"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adres"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoAanvullen"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU-lijst voor AutoAanvullen"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Aangepaste MRU-lijst voor AutoAanvullen"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Toegankelijk"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Pop-upbalk Volgen"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Parser voor adresbalk"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Lijst voor AutoAanvullen: Microsoft Geschiedenis"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Lijst voor AutoAanvullen: Microsoft Shell-map"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft-container met meervoudige lijst voor AutoAanvullen"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Sitemenu van shell-band"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="Gebruikersondersteuning"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Globale mapinstellingen"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft Url-geschiedenisservice"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Geschiedenis"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Tijdelijke Internet-bestanden"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Tijdelijke Internet-bestanden"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url-zoeken Hook"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-welkomstscherm"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Het Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="Cachemap van ActiveX"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Map met abonnementen"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Toepassingsbeheer"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Programma voor inventarisatie van ge&#8249;nstalleerde toepassingen"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI- en bestandsextractieprogramma voor miniaturen"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Informatie over de handler voor miniatuurweergaven (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-extractie voor miniatuurweergaven"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Wizard Webpublicaties"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Afdrukken via het web bestellen"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shell-object voor publicatiewizard"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Wizard Passport"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Gebruikersaccounts"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Kanaal-bestand"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Kanaal-snelkoppeling"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Handler-object voor kanalen"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Map Off line bestanden"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Personen..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Webmappen"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension"
"{FED7043D-346A-414D-ACD7-550D052499A7}"="dBpowerAMP Music Converter 1"
"{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5}"="dBpowerAMP Music Converter"
"{1D2680C9-0E2A-469d-B787-065558BC7D43}"="Fusion Cache"
"{654D0431-C930-43C4-B8DA-9AA01BA5B486}"="PDI GUI Engine COM Obj"
"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"
"{A70C977A-BF00-412C-90B7-034C51DA2439}"="NvCpl DesktopContext Class"
"{32020A01-506E-484D-A2A8-BE3CF17601C3}"="AlcoholShellEx"
"{1CDB2949-8F65-4355-8456-263E7C208A5D}"="Desktop Explorer"
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}"="Desktop Explorer Menu"
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}"="nView Desktop Context Menu"
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}"="Play on my TV helper"
"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Previous Versions Property Page"
"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Previous Versions"
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"
@=""
"{6af09ec9-b429-11d4-a1fb-0090960218cb}"="My Bluetooth Places"

**********************************************************************************
HKEY ROOT CLASSIDS:
**********************************************************************************
Files Found are not all bad files:
Locate .tmp files:
**********************************************************************************
Directory Listing of system files:
 De volumenaam van station C is WINXPPRO
 Het volumenummer is 8C79-7E72

 Map van C:\WINDOWS\System32

20-10-2005  21:00           234.263 guard.tmp
26-05-2004  21:48    <DIR>          Microsoft
02-02-2003  13:10    <DIR>          dllcache
               1 bestand(en)          234.263 bytes
               2 map(pen)     137.592.832 bytes beschikbaar

Deze is dus besmet

code:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Internet Settings]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\q8rqli9518.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[ Voor 19% gewijzigd door KillerDream op 20-10-2005 21:31 ]

Acties:

donderdag 20 oktober 2005 21:32

WOW, wat een lap tekst. Heb zoals gezegd helaas geen ervaring met dit programma maar staat er op de Engelse of Nederlandse site geen goede uitleg verder over wat te doen enzo?

Acties:

donderdag 20 oktober 2005 21:32

Hee, maar dan zou je de sleutel toch kunnen verwijderen?? Of ben ik gek?

Acties:

EricJH

Ad Aware heeft een VX 2 plug in die je kunt installeren. Voer die uit in Ad Aware en kijk wat er gebeurt. Ik heb er geen ervaring mee verder.

donderdag 20 oktober 2005 21:33

Acties:

Verwijderd

usgaap1976 schreef op donderdag 20 oktober 2005 @ 21:32:
Hee, maar dan zou je de sleutel toch kunnen verwijderen?? Of ben ik gek?

En die word dan direct bij het afsluiten weer aangemaakt naar die dll die zojuist gerenamed is.
En waarschijnlijk als je het process vind en killed word er automatisch een volgend process gestart.
Enige wat je dan volgens mij nog kan doen is onder dos die nieuw aangemaakte dll's deleten.

[ Voor 27% gewijzigd door Verwijderd op 20-10-2005 21:35 ]

donderdag 20 oktober 2005 21:59

Acties:

donderdag 20 oktober 2005 21:59

Ik kom er nog niet vanaf.
Na een reboot, zijn alle DLL's er weer, alle regsiter sleutels in Notify staan erweer.
Ga morgen wel weer verder kijken.

Acties:

donderdag 20 oktober 2005 22:04

ipso iure

EricJH schreef op donderdag 20 oktober 2005 @ 21:32:
Ad Aware heeft een VX 2 plug in die je kunt installeren. Voer die uit in Ad Aware en kijk wat er gebeurt. Ik heb er geen ervaring mee verder.

ghehe, leuke plugin, maar die helpt ook niet echt:

Posssible new VX2 variant file:
C:\WINDOWS\system32\mvnql9551.dll

ja zover was ik zelf ook al

Huh..?? Neuh...bedankt | Qui habet aures audiendi audiat

Acties:

donderdag 20 oktober 2005 22:11

Heb jij deze ook kamstra in system 32 zitten? vsconfig.xml

Dit staat erin:

code:

<?xml version="1.0"?>
<securitypolicy version="1">
    <lockupinfo server="208.185.174.60" enable="true"/>
    <ruleset name="startupruleset" start="onstartup" stop="afterstartup">
        <firewall>
        </firewall>
    </ruleset>
</securitypolicy>

Dit bestand en net zoals de 3 DLL niet te verwijderen, hij is in gebruik.
Daarnaast heb ik nu ook guard.tmp, deze is ook niet te verwijderen.

Beide bestanden zijn gewijgd net nadat ik gereboot ben.

Acties:

donderdag 20 oktober 2005 22:37

Morgen dit maar eens proberen: http://www.geekstogo.com/forum/index.php?showtopic=70864

Acties:

vrijdag 21 oktober 2005 01:01

ipso iure

nope, die heb ik niet. Ben nu online scan met kaspersky aan t doen, met extended bases aan, ben benieuwd wat die zegt

Huh..?? Neuh...bedankt | Qui habet aures audiendi audiat

Acties:

vrijdag 21 oktober 2005 01:18

ipso iure

Even laatste stand van zaken:

Met knoppix wat geprobeerd, maar dat faalt omdat ik geen DEL rechten krijg, vanwege een NTSC schijf ofzo. Verder nog winXP cd erin gestouwd en repair geprobeerd, maar dan krijg ik een nette access denied als ik del <file> doe...kortom, nog geen steek verder.
Ben nu een XP live cd aan het downen, ga die zo nog even proberen, en anders regel ik morgen wel een andere PC en hang mijn schijf daar even in.

Huh..?? Neuh...bedankt | Qui habet aures audiendi audiat

Acties:

EricJH

kamstra schreef op vrijdag 21 oktober 2005 @ 01:01:
Even laatste stand van zaken:

Met knoppix wat geprobeerd, maar dat faalt omdat ik geen DEL rechten krijg, vanwege een NTSC schijf ofzo. Verder nog winXP cd erin gestouwd en repair geprobeerd, maar dan krijg ik een nette access denied als ik del <file> doe...kortom, nog geen steek verder.
Ben nu een XP live cd aan het downen, ga die zo nog even proberen, en anders regel ik morgen wel een andere PC en hang mijn schijf daar even in.

Cool. Keep us posted.... De schijf in een ander systeem hangen is een sterke zet.

vrijdag 21 oktober 2005 07:25

Acties:

vrijdag 21 oktober 2005 07:41

EricJH schreef op vrijdag 21 oktober 2005 @ 01:18:
De schijf in een ander systeem hangen is een sterke zet.

Kan je dan ook het register aanpassen?

Acties:

kamstra schreef op donderdag 20 oktober 2005 @ 21:59:
[...]

ghehe, leuke plugin, maar die helpt ook niet echt:

Posssible new VX2 variant file:
C:\WINDOWS\system32\mvnql9551.dll

ja zover was ik zelf ook al

Hmm...

VX2 is one of the most problematic applications to remove from your computer. While Ad-Aware SE effectively deals with most VX2 variants, there are a few that none of today's available antispyware application can detect or remove.

Da's dus een lastige.. is het een nieuwe.. of een oude ..

Heb er dus ook zelf last van ..

- S&D geprobeerd
- Hitman Pro
- Webroot
- Spy Doctor <----- vond wel meer.. maar blijkbaar niet datgene wat het is ..

Met msconfig geen rare dingen m.b.t. opstarten etc.
Met Netlimiter zitten speuren naar uitgaande data <-> apps.. niets bijzonders.

Spy Doctor heb ik nu aan staan die de popup .. of under blocked.. maar ga zeker ff die plugin proberen.

Registry, hijack file en anti-trojan niets gevonden..

vrijdag 21 oktober 2005 07:55

Acties:

vrijdag 21 oktober 2005 10:21

Zephyer schreef op vrijdag 21 oktober 2005 @ 07:41:
Registry, hijack file en anti-trojan niets gevonden..

Kwam deze regels niet in je hijack log file voor?

code:

1	O20 - Winlogon Notify: *** - C:\WINDOWS\system32\***.dll

(***** = heeft steeds andere naam)

Acties:

Nope ..

Wel :

O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode

Weet niet wat DAT is..
Heeft iemand met die, continue hernoemende dll, z'n log laten checking op de hijack site ?
Ik wel, hier was niets mee aan de hand, enkel dat ie continue aangaf dat m'n Radmin en RemotelyAnywhere 'suspicious' is ..

Zojuist Ad-Aware PE gedraaid met die VX2 plugin ..
De plugin gaf aan dat m'n pc "clean" is..

Nu moet ik zeggen dat ik dus gister dat hele verhaal boven op m'n pc heb los gelaten en
sindsdien geen popups meer heb .. of popunders..

Ik laat nog wel weten in de loop van de dag of m'n pc nog last krijgt van het e.e.a.

[ Voor 36% gewijzigd door Zephyer op 21-10-2005 10:25 ]

vrijdag 21 oktober 2005 12:21

Acties:

vrijdag 21 oktober 2005 13:28

ipso iure

Ok, hier is ie weg...

Ik heb vanmorgen op een oude Quantum Fireball van 1,5 GB een nieuwe XP install gezet, vervolgens mijn normale HD erin als slave, en die files uit sytem32 verwijderd. Zo te zien is er nu niets meer aan het handje

(overigens, een schone XP pro install op een schijf van 1,5 GB houdt niet echt over, 3 MB om precies te zijn

)

edit: je merkt t eigenlijk meteen al als je opnieuw opstart, want die foutmelding ->
Afbeeldingslocatie: http://www.paulkamminga.nl/misc/meuk2.PNG

bleef netjes weg

Ga zo nog ff mijn hele systeem scannen, maar ik gok dat t wel weer safe is zo

[ Voor 26% gewijzigd door kamstra op 21-10-2005 12:34 ]

Huh..?? Neuh...bedankt | Qui habet aures audiendi audiat

Acties:

vrijdag 21 oktober 2005 15:01

Remotely Anywhere en eventueel andere Remote Desktop app (VNC enzo) worden wel vaker herkend ddor anti-virus en spyware programma's alszijnde verdacht.

Ik dacht dat er in AdAware ook een Plug-in zat/zit (Process Watch) waarmee je processen kan stopzetten maar daar zal het ook wel niet mee lukken denk ik, of wel

[ Voor 4% gewijzigd door usgaap op 21-10-2005 13:30 ]

Acties:

vrijdag 21 oktober 2005 15:23

kamstra schreef op vrijdag 21 oktober 2005 @ 12:21:
Ok, hier is ie weg...

Ik heb vanmorgen op een oude Quantum Fireball van 1,5 GB een nieuwe XP install gezet, vervolgens mijn normale HD erin als slave, en die files uit sytem32 verwijderd. Zo te zien is er nu niets meer aan het handje

En het register dan?

Acties:

Ok .. net ff gechecked thuis.. geen problemen so far..

Lijkt erop dat ie weg is..
(kan natuurlijk nog een trigger hebben..

)

vrijdag 21 oktober 2005 15:36

Acties:

EricJH

usgaap1976 schreef op vrijdag 21 oktober 2005 @ 13:28:
Remotely Anywhere en eventueel andere Remote Desktop app (VNC enzo) worden wel vaker herkend ddor anti-virus en spyware programma's alszijnde verdacht.

Ik dacht dat er in AdAware ook een Plug-in zat/zit (Process Watch) waarmee je processen kan stopzetten maar daar zal het ook wel niet mee lukken denk ik, of wel

Iets soortgelijks kun je ook met Proces Explorer van Sysinternals doen. Deze zeer uitgebreide Taskmanager laat ook zien welke programma's gekoppeld zijn en tevens de ouder-kinder relatie tussen de gekoppelde bestanden. Selecteer het clubje, kies suspend en kill ze dan. Door suspend kunnen ze elkaar niet meer beschermen. Wis de bestanden op de harde schijf en haal de resten uit het register.

De beschreven procedure heb ik van een filmpje van een lezing van Mark Russinovich van Sysinternals op een Microsoft lezing. Hier te downloaden bij Microsoft.

vrijdag 21 oktober 2005 16:50

Acties:

vrijdag 21 oktober 2005 17:21

ipso iure

KillerDream schreef op vrijdag 21 oktober 2005 @ 15:01:
[...]
En het register dan?

ik heb nadat ik die DLL meuk en die TMP had weggekeild gewoon mijn register op "look2me" doorzocht, en alle hits weggepleurd
Die heb ik ook niet meer teruggezien na reboot.

Huh..?? Neuh...bedankt | Qui habet aures audiendi audiat

Acties:

vrijdag 21 oktober 2005 17:57

kamstra schreef op vrijdag 21 oktober 2005 @ 16:50:
ik heb nadat ik die DLL meuk en die TMP had weggekeild gewoon mijn register op "look2me" doorzocht, en alle hits weggepleurd
Die heb ik ook niet meer teruggezien na reboot.

Toen had je je HDD alweer in je eigen PC zitten?
En hoe kom je trouwens aan "look2me"?

[ Voor 8% gewijzigd door KillerDream op 21-10-2005 17:28 ]

Acties:

vrijdag 21 oktober 2005 19:14

ipso iure

KillerDream schreef op vrijdag 21 oktober 2005 @ 17:21:
[...]
Toen had je je HDD alweer in je eigen PC zitten?
En hoe kom je trouwens aan "look2me"?

toen zat hd weer in eigen pc idd, en ik kom aan dat look2me door die online scan van kaspersky, die id'de die guard.tmp als look2me Trojan.

edit: maar heb jij je HD dan al eens in een andere pc gehangen en die bestanden weggehaald in /system32?

Dat is feitelijk all you need to do volgens mij, daarna nog ff register leegvegen en een laatste hijackthis en hij loopt hier weer als een zonnetje iig

[ Voor 30% gewijzigd door kamstra op 21-10-2005 18:00 ]

Huh..?? Neuh...bedankt | Qui habet aures audiendi audiat

Acties:

Verwijderd

Ik heb de oplossing via DOS:

[rml]IS123 in "[ malware] Browser surft naar adsites zon..."[/rml]

vrijdag 21 oktober 2005 21:35

Acties:

vrijdag 21 oktober 2005 23:37

kamstra schreef op vrijdag 21 oktober 2005 @ 17:57:
edit: maar heb jij je HD dan al eens in een andere pc gehangen en die bestanden weggehaald in /system32?

Ik heb niet zomaar een andere PC voor handen.

Acties:

Verwijderd

Ik ben lui, geen zin om het netjes uit te typen...dit zou moeten voldoen, maar een paar minuten werk.

Installeer Kaspersky Anti-Virus P(P) 5.0.388, reboot en selecteer de extended bases
Reboot, ga naar safe-mode
Ga naar systemdir, sort by "date modified"
Scan de laatste 20 or so files
Delete alle gedetecteerde .dll files
Waarschijnlijk blijven 3 .dll files + guard.tmp over
Verander de NTFS rechten voor de betreffende files, _set all_ to deny (guard.tmp als laatste)
Reboot, bij het afsluiten eerst een error mbt. winlogon.exe verschijnen, daarop volgt een BSOD
Open regedit.exe, navigeer naar [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
Deze keys hebben allemaal een "DllName" value, zoek degene welke bij een van de malicious .dll's hoort en delete de betreffende key
Undo de veranderingen mbt. NTFS rechten
Delete de files

Done, hoewel een full system scan met extended bases evengoed nog aan te raden is.

[ Voor 12% gewijzigd door Verwijderd op 21-10-2005 23:38 ]

zaterdag 22 oktober 2005 00:54

Acties:

zaterdag 22 oktober 2005 03:01

ipso iure

mijn oplossing was echt relaxter hoor schouw, uiteindelijk dan, gewoon je HD in een andere pc proppen en daarna je register leegvegen werkt net zo snel en veel relaxter

edit:
@killerdream, ik had nog een oude HD met een schone XP install, die heb ik er als master ingedrukt en mijn normale HD als slave...misschien voor jou nog een optie?
En anders die truc van Schouw eens proberen...

[ Voor 40% gewijzigd door kamstra op 22-10-2005 01:00 ]

Huh..?? Neuh...bedankt | Qui habet aures audiendi audiat

Acties:

Occy74

die dll's in veilige modus "unlocken" met unlocker, dan kun je ze hoogstwaarschijnlijk wel verwijderen.

Ben nog geen bestand tegengekomen welke je niet unlocked kon krijgen met dit programma, dat is incl. filmpjes, dll's die door explorer.exe zelf in gebruik waren (en dit programma doet dat zelfs zonder explorer.exe te moeten afsluiten/killen)

[ Voor 5% gewijzigd door Occy74 op 22-10-2005 03:02 ]

Systeem Specs

zaterdag 22 oktober 2005 10:03

Acties:

zaterdag 22 oktober 2005 10:08

Ik ben de kwaadaardige DLL's nu ook gelukkig kwijt.

Het kost je even een nacht maar dan heb je ook wat

Deze forum threat heeft mij trouwens geholpen om het probleem te verhelpen:
http://www.geekstogo.com/forum/index.php?showtopic=73124

Acties:

zaterdag 22 oktober 2005 10:22

Het is met opgevallen dat er 3 versies zijn van het soortgelijke virus/spyware/trojan.
De verschillende versie zijn met HijackThis wel te zien.

(De naam tussen de *.* zijn bij iedere reboot weer anders.)

look2me

code:

1	O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\h4l20e3oeh.dll

Je ziet alleen maar deze verwijzing in HijackThis staan.

winfixer & Vundo

code:

1
2
3

O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\WINDOWS\system32\*ddcyv*.dll
O20 - Winlogon Notify: ddcyv - C:\WINDOWS\system32\*ddcyv*.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\*igfxsrvc*.dll

Er staan meerdere verwijzigingen in HijackThis, vooral code O2 geeft aan dat het geen look2me is.

Acties:

Verwijderd

Heb vorige week ook ruzie gehad met winfixer, ergens een oplossing gevonden op een usa tech forum, waar je ongeveer 3 uur mee bezig bent om het uit te voeren.

Ik heb Spyware Doctor ingezet en alles gedelete wat hij aangaf.

(adaware vind maar de helft....)
Dit een aantal keer herhaalt en mijn Winfix pop up is al een week weg. Dus ik denk dat het geholpen heeft

zondag 23 oktober 2005 15:27

Acties:

Tot nu toe is zelfs na een x aantal reboots niets terug gekomen.. my verdict.. :

CLEAN