@ fish:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:34:02, on 11/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\windows\Explorer.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\windows\system32\ctfmon.exe
C:\windows\System32\svchost.exe
C:\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.tweakers.net/
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\windows\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (file missing)
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky 7.0\avp.exe
O23 - Service: iPod-service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
--
End of file - 1911 bytes
M'n hostfile staat wel redelijk vol maar dat komt wellicht door al die adware removal progs
die bepaalde sites uit veiligheid willen blokken en wegschrijven in de hostfile (verwijzingen
naar de programma's staan erbij). Moet deze 'normaal' leeg zijn (buiten localhost)?
Het is ook niet zo dat de sites die ik via google zoek daadwerkelijk geblocked zijn
(random sites, 3x maal op dezelfde link klikken, geeft uiteindelijk wel resultaat)
@ sjaakduhuuhl :
Als ik de link aanwijs, krijg ik het werkelijke adres.
Eens geklikt, volgt de omleiding (gebeurt echter niet altijd,
soms heb ik van de eerste maal wel prijs) ...
Uitleg over hostfile: zie boven.
Geen vreemde processen te bespeuren.
--
Wat me wel een tijdje geleden opviel, was wanneer ik netstat deed
er steeds de site
www.casdk.com bijstaat, verdacht?
Of is dat gewoon ergens van een banner op tweakers
?
In m'n logs van Kaspersky heb ik ook een tijdje geleden een Generic
Heuristic Trojan in m'n sys32 verwijdert namelijk kducs.exe.
Weet iemand daar iets over?
:strip_exif()/u/29527/South_Park_-_Cartman.gif?f=community)
/u/147751/avatar455992_1.gif.png?f=community){kind=avatar}
/u/18178/logo-60x60.png?f=community){kind=logo}
/u/61403/crop58bff192a74cb_cropped.png?f=community)
/u/34186/crop62e07d174532d_cropped.png?f=community)
:strip_exif()/u/53522/crop583d477015a24.gif?f=community)
/u/47938/garfield4.png?f=community)