Startpagina gehacked? - Privacy en beveiliging

woensdag 14 december 2005 19:51

Acties:

Topicstarter

M'n startpagina is gekraakt!

Ik had dus de Fp van Fok!, maar om de één of andere reden krijg ik voortudrend de volgende pagina te zijn bij het openen van een nieuw explorer window:

Afbeeldingslocatie: http://i17.photobucket.com/albums/b56/Morrigun99/013oa.jpg

Afbeeldingslocatie: http://i17.photobucket.com/albums/b56/Morrigun99/013oa.jpg

en soms deze melding (maar die hoort daarbij denk ik):

Afbeeldingslocatie: http://i17.photobucket.com/albums/b56/Morrigun99/02.jpg

Ik heb al m'n instellingen al een keer proberen te veranderen. Ik heb er Windows AntiSpyware, Ad-Aware én de virusscanner (AVG) al overheen gehaald.
Dit is m'n hijackthis log:

code:

Logfile of HijackThis v1.97.7
Scan saved at 18:37:22, on 14-12-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:PROGRA~1GrisoftAVGFRE~1avgamsvr.exe
C:PROGRA~1GrisoftAVGFRE~1avgupsvc.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32ZoneLabsvsmon.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32nvctrl.exe
C:Program FilesScanSoftOmniPageSEopware32.exe
C:Program FilesJavaj2re1.4.2_01binjusched.exe
C:WINDOWSSOUNDMAN.EXE
C:Morrigun99Winampwinampa.exe
C:PROGRA~1GrisoftAVGFRE~1avgcc.exe
C:PROGRA~1COMMON~1PCSuiteDATALA~1DATALA~1.EXE
C:Morrigun99NokiaNOKIAP~1TRAYAP~1.EXE
C:Morrigun99ZoneAlarmzlclient.exe
C:Program FilesMicrosoft AntiSpywaregcasServ.exe
C:Morrigun99SpywareGuardsgmain.exe
C:PROGRA~1COMMON~1PCSuiteServicesSERVIC~1.EXE
C:Morrigun99SpywareGuardsgbhp.exe
C:Program FilesMicrosoft AntiSpywaregcasDtServ.exe
C:WINDOWSsystem32mssearchnet.exe
C:Program FilesInternet Exploreriexplore.exe
C:Morrigun99TemphjtHijackThis.exe

O2 - BHO: (no name) - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:WINDOWSsystem32hpA529.tmp
O4 - HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavaj2re1.4.2_01binjusched.exe
O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM..Run: [WinampAgent] C:Morrigun99Winampwinampa.exe
O4 - HKLM..Run: [ImInstaller_IncrediMail] C:DOCUME~1KOLLEN~1LOCALS~1TempImInstallerIncrediMailincredimail_install[1].exe -startup -product IncrediMail -skip_dialog language -skip_dialog info
O4 - HKLM..Run: [AVG7_CC] C:PROGRA~1GrisoftAVGFRE~1avgcc.exe /STARTUP
O4 - HKLM..Run: [DataLayer] C:PROGRA~1COMMON~1PCSuiteDATALA~1DATALA~1.EXE
O4 - HKLM..Run: [PCSuiteTrayApplication] C:Morrigun99NokiaNOKIAP~1TRAYAP~1.EXE
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [Zone Labs Client] C:Morrigun99ZoneAlarmzlclient.exe
O4 - HKLM..Run: [wnxpupdate] C:WindowsSystem32wcupshell.exe
O4 - HKLM..Run: [gcasServ] "C:Program FilesMicrosoft AntiSpywaregcasServ.exe"
O4 - Startup: SpywareGuard.lnk = C:Morrigun99SpywareGuardsgmain.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Onderzoek (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .00000000&vtrx%3D1&cvt%3Djpeg: C:Program FilesInternet ExplorerPLUGINSNPRVRT32.dll
O12 - Plugin for .fpx: C:Program FilesInternet ExplorerPLUGINSNPRVRT32.dll
O12 - Plugin for .ivr: C:Program FilesInternet ExplorerPLUGINSNPRVRT32.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/ge...director/sw.cab
O17 - HKLMSystemCCSServicesTcpip..{699713C4-6AC4-4E76-9621-A454A9DA7339}: NameServer = 62.251.0.6 62.251.0.7

Kan iemand me a.u.b. helpen??

woensdag 14 december 2005 19:55

Acties:

Woodsy

Je hebt nogal een spyware probleem te pakken

Alleen zou je eventjes de nieuwe HijackThis willen downloaden, namelijk v1.99.1

www.merijn.org

Post daarmee eventjes een nieuw log als je wilt, hier kan bijna niemand echt iets mee

woensdag 14 december 2005 19:57

Acties:

Verwijderd

Idd een spyware probleem..

Ik zou eens beginnen om een keertje Hitman pro te draaien. Die zal er wel een hoop rotzooi uithalen. Daarna met de hand de laatste restjes opruimen mbv Hijackthis.

woensdag 14 december 2005 20:00

Acties:

Woodsy

Verwijderd schreef op woensdag 14 december 2005 @ 19:57:
Idd een spyware probleem..

Ik zou eens beginnen om een keertje Hitman pro te draaien. Die zal er wel een hoop rotzooi uithalen. Daarna met de hand de laatste restjes opruimen mbv Hijackthis.

Persoonlijk zou ik het eigenlijk andersom doen, maar je mag dit commentaar ook volgen =)

Ik haal liever eerst de grote problemen weg, daarna kan je altijd nog HitmanPro draaien... maar ook voor Hitman zijn ondertussen al schitterende alternatieve op de markt, die een stuk beter presteteren in mijn ogen.

woensdag 14 december 2005 20:17

Acties:

Morrigun99

Topicstarter

Helaas heb ik nu geen tijd meer. In ieder geval bedankt voor de suggesties. Ik heb nu Hitman Pro gedownload en zal hem morgen installeren en gebruiken (en hijackthis updaten en log plaatsen).

Even een vraagje dan nog: ik heb Microsoft AntiSpyware geïnstalleerd en running. Voldoet dat programma naar jullie mening?
Verder run ik AVG Free Edition virusscanner en ZoneAlarm firewall.

Voldoen die programma's? Of moet ik snel anderen installeren?
Verwijs me desnoods naar een topic waar die vragen in beantwoord worden.

Maar toch al bedankt!

woensdag 14 december 2005 20:20

Acties:

Woodsy

Euh in principe voldoen die wel ja. Het probleem zit hem vaak, zonder direct jouw aan te vallen, meer in wat de gebruiker allemaal doet, dan welke programma's die draait. Sommige mensen nemen nou eenmaal maar van alles aan op het internet, klikken overal ja op, gebruiken programma's als kazaa enzo. Dan kan je de beste beveiliging hebben die je kunt wensen, en zal je nog besmet worden.

Daarnaast zou ik het Hitmanpro verhaal eventjes laten voor wat het is, en gewoon een nieuw hijackthis log te plaatsen alvorens dat erop los te laten.

Oh, nog eventjes snel, ik zou eventjes kijken of je messenger service nog hebt draaien, die kan je in dat geval beter uitzetten voor sommige van die reclame popups van je.

[ Voor 13% gewijzigd door Woodsy op 14-12-2005 20:22 ]

woensdag 14 december 2005 20:20

Acties:

NMe

Quia Ego Sic Dico.

Morrigun99 schreef op woensdag 14 december 2005 @ 20:17:
Voldoen die programma's? Of moet ik snel anderen installeren?

Als die programma's in hun eentje zouden voldoen, dan had je nu je spywareprobleem niet.

Welke programma's je nog meer kan proberen staat hierboven.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

woensdag 14 december 2005 20:22

Acties:

markvt

Peppi Cola

Deze kwam ik vorige week ook al eens tegen installer kaspersky antivirus eens en laat hem met extended bases scannen. Tijdens het scannen even explorer.exe afsluiten anders krijg je hem niet weg.

Dit is onderdeel van de rotzooi:

code:

1	O2 - BHO: (no name) - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:WINDOWSsystem32hpA529

Lijkt erop alsof dit een browserlek in IE misbruikt om het op je pc te krijgen die tools die je via je startpagina kan installeren verergeren het alleen maar !

[ Voor 20% gewijzigd door markvt op 14-12-2005 20:23 ]

van-tilburg.info -=- meka (sega emulator) - Proud MEDION fanclub member - KOPPIG VOLHOUDEN !

woensdag 14 december 2005 20:41

Acties:

B-Man

Deze trojan!/spyware heb ik nu binnen een week op twee machines 'in het wild' gezien. Schijnbaar maakt het gebruik van een lek in windows of IE want op beide machines stond het er letterlijk 'opeens' op.

Je hebt ook "C:WINDOWS\system32\mssearchnet.exe" draaien, een trojan die constant nieuwe troep download. Griezelig vond ik dat een up-to-date Microsoft Antispyware, en een up-to-date Norton Antivirus de hele zut niet vinden (zelfs als ik alleen de betreffende trojan/spyware scan!).
De online virusscanner Housecall van Trendmicro vindt de rotzooi wel, maar als hij e.e.a. probeert uit te schakelen loopt je browser vast.

Hoe op te lossen?
- Killbox downloaden
- Bestanden bij reboot laten verwijderen:
- c:\windows\system32\mssearchnet.exe
- c:\windows\system32\mscornet.exe
- c:\windows\system32\nvctrl.exe

Daarna met regedit nog wat spul verwijderen:
- HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Policies \ Internet Explorer (de hele map 'Internet Explorer' kan weg, daaronder zie je trouwens de sleutels waarmee deze trojan zichzelf blijft starten als je reboot...)

Nu kun je nogmaals een virusscanner laten scannen, ms antispyware, enz.

Volgens mij is dit een nieuwe versie van een bestaand virus ofzo...

-- edit
Overigens heeft het me wat uurtjes gekost om dit probleem op te lossen, aangezien er niet zoveel over te vinden is... Mssearchnet.exe wordt door scanners gezien als een oude trojan die low-risk is. De trojan is niet handmatig te killen omdat deze zich aan het explorer.exe proces 'bind'.
Het spyaxe-gezever wat je nu op je pc hebt is slechts een gevolg van de trojan, en de meeste sites die ik vond over het spyaxe probleem zeggen dan ook 'huh?? na het verwijderen was het 5 minuten later weer terug'.
Daarom eerst even de trojan verwijderen middels mijn instructies van hierboven, daarna kun je spyaxe opruimen.

[ Voor 31% gewijzigd door B-Man op 14-12-2005 20:46 ]

woensdag 14 december 2005 23:30

Acties:

Morrigun99

Topicstarter

Thnx B-man!

Ik heb precies gedaan wat je zei, op het einde Hitman Pro er nog een keer overheen. Hij vond nog wel wat hier en daar, maar dat is allemaal gefixed/gedelete.
Ik mer het meteen in m'n snelheid.

quote: Woodsy
Het probleem zit hem vaak, zonder direct jouw aan te vallen, meer in wat de gebruiker allemaal doet, dan welke programma's die draait. Sommige mensen nemen nou eenmaal maar van alles aan op het internet, klikken overal ja op, gebruiken programma's als kazaa enzo.

Ja dat was 't 'm nou net: ik ben over het algemeen niet zo iemand. Dit was de eerste keer sinds drie jaar dat ik een spyware probleem had (van formaat) dat ik dus niet langer kon overzien. Vandaar dat ik van zulke programma's nog niet bijster veel afweet en ik hier het één en het ander vroeg.

Maar goed; ik heb Hitman Pro nu. Daar kan voorlopig mee vooruit. Bedankt in ieder geval!

EDIT:

Dankzij Hitman Pro is NOD32 antivirus nu geïnstalleerd. Is dat een goeie? Want hij komt in conflict met mijn AVG (logisch) en is het nu het beste dat ie AVG dan uninstall?

[ Voor 12% gewijzigd door Morrigun99 op 14-12-2005 23:35 ]

woensdag 14 december 2005 23:36

Acties:

pasta

Ondertitel

offtopic:
Je \ lijkt overigens kapot te zijn in je log

Maar goed, ga idd eens met wat verscheidene spywarescanners kijken of je iets kunt vinden. Ook met een (andere) AV kan je eventueel wat rommel opruimen, daarnaast kan je ook nog 1 voor 1 de entries nalopen icm Google, mocht Google aangeven dat een bestand verdacht is, (er wordt bijv. aangewezen dat het malware is, of je krijgt geen resultaten) dan kan je het bestand nog even scannen op Jotti's Online Malware Scan.

Mocht je de files niet meer op je harde schijf zien terug te vinden, dan kan je ook nog even kijken of [url=http://www.f-secure.com/blacklight]F-Secure's Blacklight iets kunt vinden. Let wel op, niet alle verborgen processen hoeven per sé malware te zijn, dus neem gerust de tijd om iets te controleren voor je het aanpast / verwijdert.

Signature

woensdag 14 december 2005 23:41

Acties:

WillemJanJansen

Ook weleens gehad, reden is onbekend, ik denk dat er een familielid achter mijn computer is gestapt. Had ineens zooi te pakken dus ook dat leuke Spyware gezeik. Simpel opgelost door een backup te restoren. (Via systeemherstel.) Als je nog een recent herstelpunt hebt, is dat de oplossing.

donderdag 15 december 2005 14:02

Acties:

nemo55

Ben er gister bij een kennis mee bezig geweest. Heb het er nog niet afgekregen, maar ben er al wel wat info over aan het verzamelen. Schijnt een nieuwe variant van een bestaand virus te zijn in combinatie met een lek in explorer (waar anders). Na wat navraag bij virusalert kreeg ik het volgende antwoord:

Dit is inderdaad een hardnekkig virus waar we het de afgelopen week ontzetten druk mee hebben gehad.
Het is te verijderen echter het zijn teveel stappen om dit in een mailtje..bla..bla...

Word dus ff afwachten op een duidelijke oplossing

donderdag 15 december 2005 14:10

Acties:

Verwijderd

Dit is wat ik afgelopen maandag in een mail van waarschuwingsdienst.nl las, mischien heeft het ermee te maken ? :

Datum: 13 december 2005

WAARSCHUWINGSDIENST-BEVEILIGINGSADVIES WD-2005-133

Microsoft update lost diverse kwetsbaarheden op in Internet Explorer

Datum: 2005-12-13
Gepubliceerd via: website, e-mail, SMS
Programma: Microsoft Internet Explorer
Versie: 5.01, 5.5 en 6
Besturingssysteem: Microsoft Windows

Korte omschrijving
Microsoft heeft diverse kwetsbaarheden geconstateerd in Microsoft Internet Explorer. Door de uitgebrachte beveiligings-updates te installeren kunt u uw computer beschermen. Het gaat hier onder andere om de kwetsbaarheid die gemeld is in Waarschuwingsdienst beveiligingsadvies WD-2005-130

Wat kan er gebeuren?
Deze kwetsbaarheden kunnen er toe leiden dat uw computer wordt overgenomen door een kwaadwillende. Een kwaadwillende kan programma's uitvoeren op uw computer. Dit kan tot gevolg hebben dat:

(Persoonlijke) gegevens, zoals bijvoorbeeld wachtwoorden of creditcardnummers, in handen van kwaadwillenden komen.
Essentiële computerbestanden worden verwijderd, waardoor de computer niet meer werkt.
Bestanden worden herschreven waardoor deze niet meer bruikbaar zijn.
De computer wordt gebruikt bij aanvallen gericht op andere computers op het Internet.
Hoe weet ik of mijn computer kwetsbaar is?
Uw computer is kwetsbaar wanneer u gebruik maakt van Microsoft Internet Explorer 5.01, 5.5 of 6. U kunt controleren welke versie u gebruikt door te klikken op de optie "over Internet Explorer" in het menu "Help" van Internet Explorer.

Hoe verhelp ik de kwetsbaarheid?
Microsoft heeft voor de verschillende versies van Microsoft Windows Internet Explorer updates beschikbaar gesteld. U kunt deze updates verkrijgen via de Microsoft update site: http://windowsupdate.microsoft.com.

Waar vind ik meer informatie?
Microsoft heeft voor de verschillende versies van Microsoft Windows Internet Explorer updates beschikbaar gesteld. U kunt deze updates verkrijgen via:

http://www.microsoft.com/...ty/Bulletin/MS05-054.mspx

bron

[ Voor 3% gewijzigd door Verwijderd op 15-12-2005 14:12 ]

donderdag 15 december 2005 15:12

Acties:

B-Man

nemo55 schreef op donderdag 15 december 2005 @ 14:02:
Ben er gister bij een kennis mee bezig geweest. Heb het er nog niet afgekregen, maar ben er al wel wat info over aan het verzamelen. Schijnt een nieuwe variant van een bestaand virus te zijn in combinatie met een lek in explorer (waar anders). Na wat navraag bij virusalert kreeg ik het volgende antwoord:

[...]

Word dus ff afwachten op een duidelijke oplossing

Zie mijn reactie hierboven.

donderdag 15 december 2005 15:34

Acties:

Sassie

Morrigun99 schreef op woensdag 14 december 2005 @ 23:30:
Dankzij Hitman Pro is NOD32 antivirus nu geïnstalleerd. Is dat een goeie? Want hij komt in conflict met mijn AVG (logisch) en is het nu het beste dat ie AVG dan uninstall?

Tja welke virusscanner nu het beste is hangt van meerdere zaken af oa van persoonlijke voorkeuren en de gebruikte tests. Je zou wel de resultaten van verschillende tests met elkaar kunnen vergelijken.
Maar goed ik heb me niet zo veel verdiept in die materie, misschien dat iemand anders daar meer over kan vertellen. Zie trouwens ook [rml][ Virusscanners] Discussietopic deel 3[/rml]

Maar houd er iig wel rekening mee de NOD32 die bij Hitmanpro zit een trial is en dus na een bepaalde tijd verloopt. Of je moet van plan zijn om de volledige versie van NOD32 te gaan kopen.

maandag 19 december 2005 14:53

Acties:

Verwijderd

heb gisteren ook even de eer gehad dit virus te ontvangen,
ziehier hoe ik het heb weggekregen;

opstarten in veilige modus;
scannen met ad aware ( die haalt spyaxe zelf er al af )
vermits je zonder internet opstart, kan deze troep niet opnieuw gedownload worden;
handmatig de bestanden; mssearchnet.exe, nvctrl.exe en ncompat.tld ( kan licht verschillende naam hebben ) uit je system 32 map verwijderen.
in het register die waarden die hierboven al staan beschreven verwijderen onder "policies/...."

en voor alle veiligheid dan nog eens het volgende programmatje erover zwieren.
programmatje

voor alle veiligheid ook nog eens met norton antivirus gescand maar die vond toen al niets meer...

heropgestart en alles was weg ...

maandag 19 december 2005 16:39

Acties:

hbsJR

All rounder

heeft het ook niet te maken met die javascript bug? ik draai behoorlijke "tight" settings en de laatste tijd crasht firefox ernstig hard op sites die deze meuk als advert hebben.

donderdag 22 december 2005 10:26

Acties:

Jazekerrrrr

Nod32 is wel een betere virusscanner dan AVG alleen de versie in hitmanpro is een trial dus geeft geen continue bescherming en hij werkt maar 30 dagen.Als je niet wil betallen voor een virusscanner zou ik antivir downloaden is in ieder geval beter als AVG.

Waarom gebruik je eigenlijk geen firefox?

[ Voor 9% gewijzigd door Jazekerrrrr op 22-12-2005 10:27 ]