Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[malware] Look2Me Infectie*

Pagina: 1
Acties:

zaterdag 29 oktober 2005 23:16

Acties:
  • Melkbus
  • Registratie: Juni 2003
  • Laatst online: 27-11 20:30

Melkbus

Topicstarter
Na het runnen van een foute run.exe zat m'n computer vol met spyware. Het meeste is verwijderd, alleen een vervelende variant van CoolWebSearch zit er nog op: pop-ups. Ik krijg continu pop-ups, in zowel IE als Firefox. Nu wil ik weten welke variant ik heb van CWS, om 'm zo handmatig te kunnen verwijderen. Weet iemand hoe ik hier makkelijk achter kan komen?
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47

Logfile of HijackThis v1.99.1
Scan saved at 11:06:39 PM, on 10/29/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hotmail Popper\hotpop.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Ties van Veelen\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.melkbusschieten.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.melkbusschieten.nl
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - Startup: Hotmail Popper.lnk = C:\Program Files\Hotmail Popper\hotpop.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123109982880
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\m0460ahsed460.dll (file missing)
O20 - Winlogon Notify: StillImage - C:\WINDOWS\system32\sgdocvw.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe


er staat wel veel over die google toolbar in he, of is dat normaal...?

edit:

ow, lsass.exe lijkt niet helemaal betrouwbaar zie ik na invoering op google... ;)
even kijken hoe ik die weg krijg...

[ Voor 3% gewijzigd door Melkbus op 29-10-2005 23:20 ]

strava

zaterdag 29 oktober 2005 23:20

Acties:
  • BasieP
  • Registratie: Oktober 2000
  • Laatst online: 19-10 08:18

BasieP

deze kan sowieso weg:
O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\m0460ahsed460.dll (file missing)

maar volgens mij deze ook (heb ik iig niet):
O20 - Winlogon Notify: StillImage - C:\WINDOWS\system32\sgdocvw.dll

verder weet ik niet of jij dit zelf heb gedaan, maar zo niet kan die ook weg:
O4 - Startup: Hotmail Popper.lnk = C:\Program Files\Hotmail Popper\hotpop.exe

trouwens heb je wel een hele boel extra zut moet ik zeggen.. 90% daarvan is niet nodig.
ikzelf zie misschien 10 regeltjes text staan van dingen die opgestart worden.
jij ziet er 25

edit:
lsass.exe is een running proces, dus leuk dat je weet dat ie vies is, maar iets start dat ding ook op.

en je bent ook niet helemaal de eerste met CWS:
http://gathering.tweakers...&where=Dit+forum#hitstart

[ Voor 24% gewijzigd door BasieP op 29-10-2005 23:22 ]

This message was sent on 100% recyclable electrons.

zaterdag 29 oktober 2005 23:21

Acties:
  • Snake
  • Registratie: Juli 2005
  • Laatst online: 07-03-2024

Snake

Los Angeles, CA, USA

haal adaware ff af, en herstart in veilige modus, en draai dan ff dat progje, zou heel veel moeten oplossen!

Going for adventure, lots of sun and a convertible! | GMT-8

zaterdag 29 oktober 2005 23:22

Acties:
  • pven
  • Registratie: Oktober 1999
  • Niet online

pven

Probeer meuktracker: CWShredder 2.18 eens (dat is de nieuwste versie van CWShredder)

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

zaterdag 29 oktober 2005 23:26

Acties:
  • Melkbus
  • Registratie: Juni 2003
  • Laatst online: 27-11 20:30

Melkbus

Topicstarter
CWShredder herkent 'm niet. Ik had al gezocht, maar vond het niet toepasselijk omdat het volgens mij net weer om een nieuwe variant van CWS gaat? In veilige modus adaware draaien heb ik ook gedaan, levert niks op...

[ Voor 4% gewijzigd door Melkbus op 29-10-2005 23:30 ]

strava

zaterdag 29 oktober 2005 23:27

Acties:
  • Klaus_1250
  • Registratie: December 2000
  • Laatst online: 29-11 10:03

Klaus_1250

Probeer eens HitmanPro uit, met een berg scanners aangevinkt! Eventueel met Nod32 Anti-threat. Neem aan dat je ook MS Anto-spyware hebt, en SpywareBlaster gebruikt?

[ Voor 199% gewijzigd door Klaus_1250 op 29-10-2005 23:30 ]

zaterdag 29 oktober 2005 23:34

Acties:
  • Brede P
  • Registratie: Oktober 2000
  • Laatst online: 27-11 21:35

Brede P

Wat bij mij over het algemeen perfect werkt is via MSCONFIG alle opstartopties uitvinken, herstarten in veilige modus met netwerkondersteuning (i.v.m. updates binnenhalen van Hitman pro), Hitman laten draaien, en vervolgens heel selectief in MSCONFIG weer aanvinken wat je nodig hebt, dus dingen als MSN, Antivirus en andere meuk die je nodig hebt...

zaterdag 29 oktober 2005 23:34

Acties:
  • Melkbus
  • Registratie: Juni 2003
  • Laatst online: 27-11 20:30

Melkbus

Topicstarter
zal HitmanPro _nog_ een keer draaien... ;)

strava

zaterdag 29 oktober 2005 23:41

Acties:
  • pven
  • Registratie: Oktober 1999
  • Niet online

pven

Melkbus schreef op zaterdag 29 oktober 2005 @ 23:26:
CWShredder herkent 'm niet. Ik had al gezocht, maar vond het niet toepasselijk omdat het volgens mij net weer om een nieuwe variant van CWS gaat? In veilige modus adaware draaien heb ik ook gedaan, levert niks op...
Heb je de nieuwste versie van CWShredder geprobeerd (waar ik dus naar link)? Lijktme geen kwaad te kunnen om het te proberen.

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

zondag 30 oktober 2005 00:07

Acties:
  • Klaus_1250
  • Registratie: December 2000
  • Laatst online: 29-11 10:03

Klaus_1250

Uiteindelijk zul je waarschijnlijk (als het echt een heel nieuwe versie is) toch het eea met de hand moeten controleren. IK heb wel eens vaker systemen onder mijn hand gehad die geinfecteerd waren met spyware en trojans die werkelijk door niks werden herkend (zelf virusscan.jotti.org vond niks) en die waren vrij moeilijk schoon te maken. Vooral omdat er her en der droppers waren verspreid over de HD die werden aangeroepen waneer bepaalde bestandstypen werden geopend :-s

Beste is met de hand vreemde opstartprogramma's verwijderen, programma's wanaar ze verwijzen te quarentine'n / op te sturen naar anti-virus en anti-spyware bedrijven, en je C-schijf eens goed door te nemen. Vind je iets vreemds, scannen op virusscan.jotti.org en eventueel in het registry via regedit op de bestandsnaam / directory zoeken.

zondag 30 oktober 2005 00:22

Acties:
  • Sassie
  • Registratie: November 1999
  • Laatst online: 28-11 22:30

Sassie

Ik denk dat je het niet meteen op CWS moet vastpinnen.

In je hijackthis-log geven die O20-entries een aanwijzing (igg die eerste en die tweede zou ik ook ff uitzoeken of ie niet malafide is). De laatste tijd duiken hier veel logs op met een rare dll in de O20-entry en klachten zoals popups en surfen naar reclame websites.
Kijk eens (met verborgen bestanden weergeven aan) in je system32 folder of je die .dll file dan wel kunt vinden (of andere 'rare' dll files). Als je hem kunt vinden probeer hem dan eens up te loaden @ http://virusscan.jotti.org
Zie ook: http://www.spywareinfo.com/~merijn/htlogtutorial.html#o20, http://www.hijackthis.nl/hjthandleiding.html#H34 en http://castlecops.com/o20-all.html en [rml]Sassie in "[ spyware]sites worden automatisch geopen..."[/rml]

[ Voor 27% gewijzigd door Sassie op 30-10-2005 22:24 ]

zondag 30 oktober 2005 17:25

Acties:
  • Melkbus
  • Registratie: Juni 2003
  • Laatst online: 27-11 20:30

Melkbus

Topicstarter
Bedankt Sassie, het is inderdaad die O20-entry. Die .dll blijft iig terugkomen onder een andere random naam, dus verdacht :P Ik kom er alleen niet achter hoe ik het probleem krijg opgelost. Ik heb zowel de key als de .dll zelf (met hijackthis; verwijderen tijdens opstarten) verwijderd, maar een andere .dll in die O20-entry blijft terugkomen, met een random gegenereerde naam. :/

strava

zondag 30 oktober 2005 19:44

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

Probeer het advies van [rml]Schouw in "[ Spyware] Popups niet weg te krijgen*"[/rml] eens? :)

Signature

zondag 30 oktober 2005 23:21

Acties:
  • Melkbus
  • Registratie: Juni 2003
  • Laatst online: 27-11 20:30

Melkbus

Topicstarter
Ik ben zo blij als een kind, ik ben van m'n pop-ups af! _/-\o_
De post van Schouw vond ik erg ingewikkeld als leek, maar ik maakte uit dat topic wel op dat ik Look2Me had: Google is je vriend, deze site heeft me van dat verschrikkelijke Look2Me afgeholpen (en dan niet de handmatige maar de 'automatic removal'). Iedereen bedankt voor de hulp!

strava

zondag 30 oktober 2005 23:24

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

Melkbus schreef op zondag 30 oktober 2005 @ 23:21:
Ik ben zo blij als een kind, ik ben van m'n pop-ups af! _/-\o_
De post van Schouw vond ik erg ingewikkeld als leek, maar ik maakte uit dat topic wel op dat ik Look2Me had: Google is je vriend, deze site heeft me van dat verschrikkelijke Look2Me afgeholpen (en dan niet de handmatige maar de 'automatic removal'). Iedereen bedankt voor de hulp!
Handig bestand dat ding. :X Kaspersky flagged em als not-a-virus:Adware.Win32.Zestyfind.b

Tip: vertrouw geen automatische uninstallers als het om spyware gaat. ;)

Signature

zondag 30 oktober 2005 23:31

Acties:
  • Melkbus
  • Registratie: Juni 2003
  • Laatst online: 27-11 20:30

Melkbus

Topicstarter
Heb net HitmanPro gedraaid, ik ben iig helemaal clean :*)

strava

zondag 30 oktober 2005 23:48

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

Weet je het zeker? Kaspersky (met extended bases) begon namelijk meteen te schreeuwen dat die automatische uninstaller die je gebruikte Adware is.

offtopic:
Verder pas ik even je topictitel aan, het blijkt dus uiteindelijk geen CWS te zijn. ;)

Signature

maandag 31 oktober 2005 00:41

Acties:
  • Sassie
  • Registratie: November 1999
  • Laatst online: 28-11 22:30

Sassie

Idd voor de zekerheid een online scan doen bij Kaspersky is geen slecht idee.
(of doe op z'n minst even een virusscan met een up-to-date scanner)

[ Voor 15% gewijzigd door Sassie op 31-10-2005 13:47 ]

maandag 31 oktober 2005 18:36

Acties:
  • Melkbus
  • Registratie: Juni 2003
  • Laatst online: 27-11 20:30

Melkbus

Topicstarter
Jullie hadden gelijk... Maarja, ik was ook zo in de zevende hemel omdat ik eindelijk van m'n pop-ups af was hè... ;) Kaspersky vond idd nog een en ander. Echter: ik had het er voor over om van Look2Me af te komen!

Conclusie: bovenstaande 'automatic removal' verwijdert idd Look2Me, maar installeert als tegenhanger wel weer eea op je PC. Als je vervolgens Kaspersky draait, ben je weer helemaal clean. :*)

strava

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq