W32.Sinnaka.A@mm - Privacy en beveiliging

dinsdag 3 januari 2006 20:44

Acties:

Topicstarter

Hee Mensen!

Vraagje, een oom van me heeft een probleem, zijn startpagina is gehijacket (i know.. ze hebben SP1 hele domme fout, maar had ze hiervoor al gewaarschuwt

)en krijgt de volgende melding:

Afbeeldingslocatie: http://i17.photobucket.com/albums/b56/Morrigun99/013oa.jpg

Ik heb alles gedraaid, van HitmanPro tot MS Antispyware.. Register heb ik uitgeplozen.. niks kunnen vinden. Ook de tips die Symantec Centre geeft werken niet want de register notaties zijn niet aanwezig

.Ben ten einde raad

HijackThis geeft de volgende log:

code:

Logfile of HijackThis v1.99.1
Scan saved at 19:17:08, on 3-1-2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\nvctrl.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
C:\Program Files\USB Storage\shwicon.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Wanadoo\nl\Turbo\turbo.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\mssearchnet.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Microsoft AntiSpyware\GIANTAntiSpywareMain.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
I:\anti-spyware\HijackThis.exe
C:\Program Files\Microsoft AntiSpyware\gcasSWUpdater.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.12move.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://wanadoo.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5400
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\System32\hp6A62.tmp
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ShowIcon_The Company_USB Storage Device Driver v1.19r001] "C:\Program Files\USB Storage\shwicon.exe" -t"The Company\USB Storage Device Driver v1.19r001"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Registration-Studio 8.lnk = C:\Program Files\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Wanadoo Turbo.lnk = C:\Program Files\Wanadoo\nl\Turbo\turbo.exe
O8 - Extra context menu item: &Google Zoeken - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Woord vertalen in het Nederlands - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Alle originele afbeeldingen weergeven - res://C:\Program Files\Wanadoo\nl\Turbo\turbo.exe/250
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Originele afbeelding weergeven - res://C:\Program Files\Wanadoo\nl\Turbo\turbo.exe/227
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.12move.nl
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123922434529
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1135763735703
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C718097-0999-4BF2-89E5-64C2232D4426}: NameServer = 194.134.5.55 194.134.5.5
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

Weet iemand raad? Ik ben een complete noob op het gebied van HijackThis logs..

Bij voorbaat enorm bedankt! $_/-\o_$

dinsdag 3 januari 2006 20:48

Acties:

stfn345

C:\WINDOWS\System32\mssearchnet.exe is verdacht

Description:
mssearchnet.exe is registered as the Generic Downloader.aa and Trojan.Zlob.D Trojans. This process usually comes bundled with a virus and it’s main role is to do nothing other than download other viruses to your computer. It is a registered security risk and should be removed immediately
Draai ewido suite (www.ewido.net)

Het kan overigens ook een winlogon hook zijn die als dll is geinstalleerd, maar mssearchnet.exe hoort daar iig zeker niet thuis

Plak deze log anders eens op http://www.hijackthis.de/

dan vertelt de engine wat er niet thuishoort

[ Voor 33% gewijzigd door stfn345 op 03-01-2006 20:53 ]

dinsdag 3 januari 2006 20:49

Acties:

niels88

En draai deze eens: http://www.intermute.com/.../cwshredder_download.html

Directe link: http://www.trendmicro.com...line-tools/cwshredder.exe

[ Voor 35% gewijzigd door niels88 op 03-01-2006 20:49 ]

dinsdag 3 januari 2006 20:50

Acties:

stfn345

niels88 schreef op dinsdag 03 januari 2006 @ 20:49:
En draai deze eens: http://www.intermute.com/.../cwshredder_download.html

Directe link: http://www.trendmicro.com...line-tools/cwshredder.exe

Hitmanpro heeft hij al gedraaid en die bevat CWshredder

dinsdag 3 januari 2006 20:50

Acties:

niels88

razorhead schreef op dinsdag 03 januari 2006 @ 20:50:
[...]

Hitmanpro heeft hij al gedraaid en die bevat CWshredder

Oja, stom. (vakantie doet wonderen

)

dinsdag 3 januari 2006 21:39

Acties:

Verwijderd

Ik zit hier met een PC die hetzelfde probleem heeft. Heb inmiddels al een en ander geprobeerd, maar heeft tot op heden nog niets opgeleverd...wie o wie helpt ons?

dinsdag 3 januari 2006 22:43

Acties:

Sassie

Zo te zien is dat Spyaxe, hebben jullie al op Google gezocht naar meer informatie?
Kijk maar eens hoeveel informatie [google=Spyaxe] geeft.

Hier hebben jullie alvast een paar linkjes kado:
http://wiki.castlecops.com/Malware_Removal:_SpyAxe_Removal
http://www.bleepingcomputer.com/forums/topic36868.html
http://vil.nai.com/vil/content/v_137512.htm
http://www.f-secure.com/sw-desc/spyaxe.shtml

@JeroenGans:
Uit je hicjakthislog:

C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\System32\mssearchnet.exe
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\System32\hp6A62.tmp

Die eerste 2 wijzen vrijwel zeker op Spyaxe en die derde vind ik ook verdacht.

[ Voor 28% gewijzigd door Sassie op 03-01-2006 23:04 ]

woensdag 4 januari 2006 00:35

Acties:

Bart1983

ik zie in je plaatje dat je op www.**********.com bent. Deze website is afkomstig van een IP adres dat bij mij preventief word geblokkeerd omdat het de WMF-expoit gebruikt !!

[ Voor 11% gewijzigd door Bart1983 op 04-01-2006 00:54 ]

woensdag 4 januari 2006 00:48

Acties:

Mitrilvich

Bart1983 schreef op woensdag 04 januari 2006 @ 00:35:
ik zie in je plaatje dat je op www.**********.*** bent. Deze website is afkomstig van een IP adres dat bij mij word geblokkeerd omdat het de WMF-expoit gebruikt !!

Als dat zo is, graag de link verwijderen. Ik klikte er zelf op zonder over de gevolgen na te denken (automatisme).

edit:
tanx, ik was al gepatched en het is (bij mij weten) niet zeker of die website van die exploit gebruik maakt maar zo gebeuren er minder snel ongelukken

[ Voor 18% gewijzigd door Mitrilvich op 04-01-2006 00:57 ]

woensdag 4 januari 2006 00:53

Acties:

Bart1983

Oh ja das ook wel stom van mij ja

EDIT: OP deze site staat wat meer informatie over deze website http://www.2-spyware.com/news/ (bijna onderaan)

Er staat o.a. de www.***********.com link met daaronder het volgende:

If your web browser redirects you to one of the above resources, your system might be infected with certain parasites. In such case obtain a legitimate spyware remover to get rid of present security and privacy threats and keep rogue products like SpyAxe off your system.

[ Voor 86% gewijzigd door Bart1983 op 04-01-2006 00:59 ]

woensdag 4 januari 2006 10:17

Acties:

c00kie

Ik heb dit de voorbije week ook voor iemand opgelost.

Hitmanpro installeren en volledig laten updaten in gewone modus.
Daarna hitmanpro laten draaien in veilige modus zonder netwerk.
reboot in veilige modus met netwerk
surfje naar http://www.ewido.org
en daar voor alle gebruikers eens laten draaien. (strange vind ik persoonlijk, maar allée) Dit is de manier dat ik het er af heb gekregen...

Build a bridge, get over it... Specs : yes !!! website over bouwen & verbouwen

woensdag 4 januari 2006 10:24

Acties:

Ossenaar

Oss de Gekste !!!

Download smitrem.exe van http://noahdfear.geekstogo.com/

Draai het in veilige modus zodat hij alle rotzooi verwijderd.
Gebruik daarna ewido ( www.ewido.net ) of microsoft antispyware beta om de laatste restanten weg te halen. Scan dan je hele pc nog op virussen en klaar ben je......

De kick van Electric!

woensdag 4 januari 2006 12:38

Acties:

JeroenGans

Topicstarter

Okee! Super mensen! Ga vanavond dat klusje maar klaren.. de strot van die "Sinnaka" paar keer omdraaie

Super mensen, probleem gefixed! Danku!

[ Voor 25% gewijzigd door JeroenGans op 05-01-2006 11:05 ]

zondag 8 januari 2006 20:24

Acties:

Verwijderd

Na update van AVG & WinXP is het probleem opgelost.

zondag 12 februari 2006 13:11

Acties:

BAVAROIS

c00kie schreef op woensdag 04 januari 2006 @ 10:17:
Ik heb dit de voorbije week ook voor iemand opgelost.

Hitmanpro installeren en volledig laten updaten in gewone modus.
Daarna hitmanpro laten draaien in veilige modus zonder netwerk.
reboot in veilige modus met netwerk
surfje naar http://www.ewido.org
en daar voor alle gebruikers eens laten draaien. (strange vind ik persoonlijk, maar allée) Dit is de manier dat ik het er af heb gekregen...

Dit werkte bij mij tnx!

Een pessimist is een realistische optimist