MS IE provided by Internet Buff - Privacy en beveiliging

donderdag 5 januari 2006 10:35

Acties:

Verwijderd

Topicstarter

Kort vraagje; In IE staat in 'de blauwe balk':
"{webpage} - Microsoft Internet Explorer provided by Internet Buff"

De 'provided by Internet Buff' string is abracadabra voor mij.
Bij mijn collega's komt dit niet voor.

Weet het is adware, maar HITMAN o.i.d. vindt niets.....

Weet iemand wat dat/dit 'provided by Internet Buff' is?

donderdag 5 januari 2006 10:42

Acties:

blackd

Verwijderd schreef op donderdag 05 januari 2006 @ 10:35:
Weet iemand wat dat/dit 'provided by Internet Buff' is?

in principe gewoon een registry key, die je op (ten minste) 3 manieren kan verwijderen:
• KB 176497: De titel van het Internet Explorer-venster wijzigen
• met IEAK
• met HijackThis
maar het kan zijn dat er een bepaald proces aanwezig is op je computer die deze registry key weer aanpast nadat jij het gewijzigd hebt.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

donderdag 5 januari 2006 10:45

Acties:

anandus

Ik zou even met diverse Spyware-progjes je computer afgaan.
en Microsoft Antispyware zorgt helemaal braaf voor Micrsosoft Internet Explorer

Kijk even in dit forum:
Beveiliging & Virussen

"Always remember to quick save" - Sun Tzu

donderdag 5 januari 2006 10:46

Acties:

Lolhozer

Cetero censeo birrum bibendum

Fijn, nu heb ik het ook, iig in dit Topic

Waarom? Omdat het kan!!

donderdag 5 januari 2006 10:57

Acties:

Verwijderd

Topicstarter

Hmmm. MS Antispyware vind niets, behalve een VNC entry.

Het forum Beveiliging & virussen levert ook zero results.
Google is ook mijn vriend niet meer.....

Ik ben wel op een eoa site terrecht gekomen met een Internetbuff link, maar levert niets op.

Hijackthis maar ff proberen dan... brb

donderdag 5 januari 2006 11:14

Acties:

Verwijderd

Topicstarter

Logfile of HijackThis v1.99.1
Scan saved at 11:03:35, on 05-01-06
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\S24EvMon.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\cusrvc.exe
C:\Program Files\FolderSize\FolderSizeSvc.exe
C:\WINNT\system32\drivers\KodakCCS.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\McAfee\Managed VirusScan\Agent\myAgtSvc.Exe
C:\WINNT\system32\NALNTSRV.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\RegSrvc.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\RealVNC\WinVNC\WinVNC.exe
C:\WINNT\System32\wltrysvc.exe
C:\WINNT\system32\wm.exe
C:\WINNT\System32\bcmwltry.exe
C:\WINNT\system32\svchost.exe
C:\NOVELL\ZENRC\wuser32.exe
C:\NOVELL\ZENRC\WUOLService.exe
C:\PROGRA~1\McAfee\MANAGE~1\VScan\McShield.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\dpmw32.exe
C:\WINNT\system32\NWTRAY.EXE
C:\program files\Filenet\IDM\fnsysmgr.exe
C:\Program Files\Common Files\Pumatech Shared\LiveUpdate Client\PtLUWorker.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Google\Gmail Notifier\G001-1.0.25.0\gnotify.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\NOVELL\GroupWise\Notify.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Program Files\McAfee\Managed VirusScan\Agent\myAgttry.exe
C:\NOVELL\GroupWise\GrpWise.exe
C:\Novell\GroupWise\GWWF\EDMSRV32.exe
C:\Novell\GroupWise\GWWF\wflmgr32.exe
C:\Novell\GroupWise\GWWF\EDSDLV32.exe
S:\Wocasx\Cli354\bin\wtk.exe
C:\Program Files\SQL Editor\Sqleditor210.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\sep_10\Bureaublad\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.chilly-hippo.co.uk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Internet Buff
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = XXXXXXXXXXX
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [NDPS] C:\WINNT\system32\dpmw32.exe
O4 - HKLM\..\Run: [ZENRC Tray Icon] zentray.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [0FileNET System Manager] C:\program files\Filenet\IDM\fnsysmgr.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [PtLiveUpdate] C:\Program Files\Common Files\Pumatech Shared\LiveUpdate Client\PtLUWorker.exe
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\G001-1.0.25.0\gnotify.exe
O4 - HKLM\..\Run: [McAfee Managed Services Tray] "C:\Program Files\McAfee\Managed VirusScan\Agent\myagttry.exe"
O4 - HKLM\..\Run: [MVS Splash] C:\PROGRA~1\McAfee\MANAGE~1\VScan\Splash.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: GroupWise Notify.lnk = C:\NOVELL\GroupWise\Notify.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Toevoegen aan Mobiele favorieten - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Toevoegen aan Mobiele favorieten... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.chilly-hippo.co.uk
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\WINNT\msxml4.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/...sengersetupdownloader.cab
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.7) - http://gameadvisor.futuremark.com/global/msc37.cab
O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} - C:\Program Files\McAfee\Managed VirusScan\Agent\MyRmProt3.5.0.342.dll
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINNT\system32\cusrvc.exe
O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Program Files\FolderSize\FolderSizeSvc.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe
O23 - Service: McShield - McAfee Inc. - C:\PROGRA~1\McAfee\MANAGE~1\VScan\McShield.exe
O23 - Service: McAfee Managed Services Agent (myAgtSvc) - McAfee, Inc. - C:\Program Files\McAfee\Managed VirusScan\Agent\myAgtSvc.Exe
O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\WINNT\system32\NALNTSRV.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Remote management (Novell WUser Agent) - Novell, Inc. - C:\NOVELL\ZENRC\wuser32.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: OracleOraHomeClientCache - Unknown owner - C:\Progra~1\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINNT\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINNT\system32\S24EvMon.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -service (file missing)
O23 - Service: WLTRYSVC - Unknown owner - C:\WINNT\System32\wltrysvc.exe
O23 - Service: Novell Workstation Manager (WM) - Novell, Inc. - C:\WINNT\system32\wm.exe
O23 - Service: WUOLservice (WUOLService) - Novell, Inc. - C:\NOVELL\ZENRC\WUOLService.exe

Enfin; Kep het gevonden....

Het is die site waarover ik al sprak: http: //home.chilly-hippo.co.uk (niet klikken dus)

AV software herkent die entry's niet en zal dus qua exploit wel meevallen. Toch lastig.

Ohja, beetje un zooitje niet?
Als iemand nog entry's in mijn log ziet die niet door de beugel kunnen...
Wijs mij erop, alstjeblieft.

donderdag 5 januari 2006 11:18

Acties:

anandus

Toch vreemd dat Microsoft Antispyware deze er niet uitvist.

code:

1	R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.chilly-hippo.co.uk

Probeer eens gewoon die registry-key te verwijderen, zoals black2d aangeeft. Reboot en kijk of-ie terugkomt?

"Always remember to quick save" - Sun Tzu

donderdag 5 januari 2006 11:28

Acties:

Verwijderd

Topicstarter

anandus schreef op donderdag 05 januari 2006 @ 11:18:
Toch vreemd dat Microsoft Antispyware deze er niet uitvist.
code:
1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.chilly-hippo.co.uk
Probeer eens gewoon die registry-key te verwijderen, zoals black2d aangeeft. Reboot en kijk of-ie terugkomt?

Ik heb de code verwijderd met Hijack en ge-reboot.

Fixed !

Met dank voor de tips! $_/-\o_$

donderdag 5 januari 2006 13:29

Acties:

pasta

Ondertitel

Deze gaat sowieso nog even richting Beveiliging & Virussen.

Signature

donderdag 5 januari 2006 13:58

Acties:

sanfranjake

Computers can do that?

Hoort al dat ZenWorks/Novell spul ook te draaien trouwens? Als je geen netwareserver hebt heeft het weinig nut afaik

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

vrijdag 6 januari 2006 09:12

Acties:

Verwijderd

Topicstarter

sanfranjake schreef op donderdag 05 januari 2006 @ 13:58:
Hoort al dat ZenWorks/Novell spul ook te draaien trouwens? Als je geen netwareserver hebt heeft het weinig nut afaik

Zenworks en Novell meuk is standaard op mijn flipflop van de zaak

Pagina: 1

Reageer