[malware] Links leiden naar zoekpaginas? * - Privacy en beveiliging

donderdag 19 januari 2006 19:52

Acties:

Verwijderd

Topicstarter

Hoi

IK heb een probleempje...

Als ik iets op (Bijv. Google) zoek krijg ik een lijst met sites over het onderwerp waar ik op zoek. Als ik op 1 van de links klik, word ik bijna altijd doorverwezen naar een VAGE zoeksite of een andere bullshit site. Ik moet het hele site adres in typen om op de juiste site te komen, want alle links leiden naar wazige sites.

Ik heb alle virusscanners en spyware scanners over mn pc gegooid. (norton, panda, spybot) Maar het helpt niets. Het enige wat ik er niet af kan krijgen is een bestandje genaamd "ST3.DLL" in mijn system32 map. Dat moet een 1 of andere trojan wezen, waarvan ik niet weet of het hier iets te maken mee heeft.

Een aantal voorbeelden van sites waar ik naar verwezen word zijn:
Freewirelessworld.com
http://packages.debian.org
http://www.openbsd.org
http://www.casinocaesar.com/
http://10-top.com
http://www-search.net
http://dag.wieers.com
etc etc

Ik ga straks een computer het raam uit flikkeren!

Ik hoop dat iemand me daarvoor nog verder kan helpen.

Thx

donderdag 19 januari 2006 19:54

Acties:

TheovdS

Kan je dat bestand ("ST3.DLL" ) niet in veilige modus verwijderen?

Edit:
Inderdaad, zoek ff met Google. (honderden hits)

[ Voor 49% gewijzigd door TheovdS op 19-01-2006 20:10 ]

donderdag 19 januari 2006 20:02

Acties:

Verwijderd

ik denk dat je dat wel verwijderd krijgt met killbox! zo ben ik van een andere vervelende dll afgeraakt

donderdag 19 januari 2006 20:07

Acties:

Verwijderd

Topicstarter

theovds schreef op donderdag 19 januari 2006 @ 19:54:
Kan je dat bestand ("ST3.DLL" ) niet in veilige modus verwijderen?

Nope veilige modes werkt ook niet... ik ga nu even killbox proberen te vinden.....

donderdag 19 januari 2006 20:08

Acties:

Rataplan

per aspera ad astra

Wat zijn je zoektermen? Als ik zoek op "st3.dll" krijg ik tien pagina's die d'r allemaal behulpzaam uitzien, met name http://www.bullguard.com/...nfected-st3dll_26447.html

Journalism is printing what someone else does not want printed; everything else is public relations.

donderdag 19 januari 2006 20:16

Acties:

Verwijderd

Topicstarter

Rataplan schreef op donderdag 19 januari 2006 @ 20:08:
Wat zijn je zoektermen? Als ik zoek op "st3.dll" krijg ik tien pagina's die d'r allemaal behulpzaam uitzien, met name http://www.bullguard.com/...nfected-st3dll_26447.html

Probleem is.... ik weet niet zeker of het er uberhaupt iets mee te maken heeft. Het enige wat ik wil is weer gewoon gebruik maken van google.nl zonder dat ik naar porno en searchsites doorverwezen word. Dat ST3.dll bestandje kan me mn kont roesten.

Ik hoopte eigenlijk op iemand die hetzelfde probleem had of iemand die er van gehoord had....

donderdag 19 januari 2006 20:23

Acties:

Verwijderd

Topicstarter

Ik heb geen flauw idee wat dit is of wat ik hiermee kan, maar dit is mijn hijackthis logfile... misschien kunnen jullie daar iets mee?

Logfile of HijackThis v1.99.1
Scan saved at 20:21:44, on 19-1-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\apps\Norton\navapsvc.exe
C:\apps\Norton\IWP\NPFMntor.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Symantec Shared\NMain.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Downloads\hijackthis\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: C:\WINDOWS\system32\st3.dll - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} - C:\WINDOWS\system32\st3.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\apps\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\apps\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\apps\Norton\NavShExt.dll
O2 - BHO: C:\WINDOWS\clbcatix.dll - {D4DFC1D8-2D2E-4962-B0D0-389FBA0F76B5} - C:\WINDOWS\clbcatix.dll
O2 - BHO: C:\WINDOWS\adsldpbf.dll - {EEE7178C-BBC3-4153-9DDE-CD0E9AB1B5B6} - C:\WINDOWS\adsldpbf.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\apps\Norton\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\clbcatix.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\clbcatix.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.c...eb_site.cab?1134069984578
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/...sengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: clbcatex - C:\WINDOWS\clbcatix.dll
O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\apps\Norton\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\apps\Norton\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\apps\Norton\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

donderdag 19 januari 2006 20:26

Acties:

Flapp

Je hijackthis log ziet er schoon uit , probeer eens firefox te installeren ?
Hier

Het kan dat hij alleen iexplore heeft verneukt...

[ Voor 20% gewijzigd door Flapp op 19-01-2006 20:26 ]

"Stilte, een gat in het geluid...."

donderdag 19 januari 2006 20:36

Acties:

Verwijderd

Topicstarter

Flapietoetoe schreef op donderdag 19 januari 2006 @ 20:26:
Je hijackthis log ziet er schoon uit , probeer eens firefox te installeren ?
Hier

Het kan dat hij alleen iexplore heeft verneukt...

Firefox werkt prima.... Iexplorer is dus verkloot.... hmmmm... wat nu? Ideeen?

donderdag 19 januari 2006 21:00

Acties:

Sassie

Nou helemaal schoon zou ik die Hijackthis-log niet noemen...

Dit volgens mij allemaal rotzooi en kan dus wel gefixed worden in Hijackthis:

O2 - BHO: C:\WINDOWS\system32\st3.dll - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} - C:\WINDOWS\system32\st3.dll (file missing)
O2 - BHO: C:\WINDOWS\clbcatix.dll - {D4DFC1D8-2D2E-4962-B0D0-389FBA0F76B5} - C:\WINDOWS\clbcatix.dll
O2 - BHO: C:\WINDOWS\adsldpbf.dll - {EEE7178C-BBC3-4153-9DDE-CD0E9AB1B5B6} - C:\WINDOWS\adsldpbf.dll
O20 - Winlogon Notify: clbcatex - C:\WINDOWS\clbcatix.dll
O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll (file missing)

En deze evt ook nog:

O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

donderdag 19 januari 2006 22:40

Acties:

equinoxe

check met hijackthis ook eens je hosts file (HT opstarten > misc tools > hosts file manager) .

Als ie vervuilt is (dus als er meer dan 127.0.0.1 localhost in staat) moet je de rest verwijderen.

donderdag 19 januari 2006 22:58

Acties:

MIster X

Drgenius, je kunt op http://hjt.networktechs.com/ makkelijk je HijackThis-log controleren. Enne, AdAware en Microsoft AntiSpyware zijn er ook nog

Verwijderd schreef op donderdag 19 januari 2006 @ 20:16:
Dat ST3.dll bestandje kan me mn kont roesten.

Nou, daar kun je hele vieze billen van krijgen, dus zorg er maar liever wel voor dat je jezelf goed schoonveegt.

Maar eh... "O2 - BHO: C:\WINDOWS\system32\st3.dll - ... (file missing)", dat probleem heb je dus al opgelost?

Als je kunt achterhalen sinds wanneer je pc besmet is, zoek dan even via Find naar alle bestanden die er rond die tijd op je computer zijn gekomen. Staan daar nog vreemde dingen tussen?

equinoxe schreef op donderdag 19 januari 2006 @ 22:40:
check met hijackthis ook eens je hosts file (HT opstarten > misc tools > hosts file manager) .

Als ie vervuilt is (dus als er meer dan 127.0.0.1 localhost in staat) moet je de rest verwijderen.

Grote kans daarop.

vrijdag 20 januari 2006 00:21

Acties:

pasta

Ondertitel

MIster X schreef op donderdag 19 januari 2006 @ 22:58:
Drgenius, je kunt op http://hjt.networktechs.com/ makkelijk je HijackThis-log controleren. Enne, AdAware en Microsoft AntiSpyware zijn er ook nog

Ikzelf heb het niet zo op HijackThis-log controleer tools, vooral omdat het vaak fout wordt geïnterpreteerd, malware met verkeerde benamingen, legit files die geflagged worden, dingen die gemist worden.

Je kunt dan beter met Google en Jotti's online malware scan zelf regel per regel kijken wat er mis is.

Maar eh... "O2 - BHO: C:\WINDOWS\system32\st3.dll - ... (file missing)", dat probleem heb je dus al opgelost?

Da's een bekende bug in HijackThis, dat HijackThis aangeeft dat de file missende is, wilt nog niet zeggen dat het ook echt weg is.

TS: Lees Beveiliging en Virussen - FAQ en Beveiliging en Virussen - Nieuw topic starten eens goed door, daarin staan een hoop nuttige links.

offtopic:
Ik pas nog even je titel aan, zou je overigens je bericht willen Afbeeldingslocatie: http://gathering.tweakers.net/global/templates/tweakers/images/icons/edit.gif

Afbeeldingslocatie: http://gathering.tweakers.net/global/templates/tweakers/images/icons/edit.gif

editten als je de laatste bent die gereageerd heeft binnen 24 uur? Anders staat het zo kickerig.

Signature

vrijdag 20 januari 2006 14:31

Acties:

usgaap

Er hebben hier op GoT al enkele topics gelopen over het verwijdere van hardnekkige startpagina's, niet-verwijderbare DLL-tjes en verwijzingen naar het register, meer specifiek

O20 - Winlogon Notify: clbcatex - C:\WINDOWS\clbcatix.dll
O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll (file missing)

Alhoewel niet alles specifiek overeenkomt met jouw probleem zou ik je willen adviseren even te kijken naar deze pagina. Een prima handeleiding voor wie snel van dit soort problemen af wil zijn, een aanrader wat mij betreft $_/-\o_$

Het enige wat ik wil is weer gewoon gebruik maken van google.nl zonder dat ik naar porno en searchsites doorverwezen word. Dat ST3.dll bestandje kan me mn kont roesten.

Dan zal dat bestandje (ST3.dll) waarschijnlijk toch echt eerst van je computer af moeten.

[ Voor 1% gewijzigd door usgaap op 20-01-2006 14:45 . Reden: spelling ]

Pagina: 1

Reageer