pinguin popups: virus? * - Privacy en beveiliging

zaterdag 12 juli 2008 12:13

Acties:

Topicstarter

Sinds kort krijg ik bij het surfen (op mijn beide pc's) af en toe de volgende popup melding

Afbeeldingslocatie: http://www.uploader.be/output/1215857239.jpg

Afbeeldingslocatie: http://www.uploader.be/output/1215857239.jpg

Af en toe zijn het hierop lijkende beelden. Altijd een soort "pinguins".

Ik heb mijn pc's meerder malen laten checken op virussen e.d. Kasperskey, hitman pro e.d.

Weet iemand wat er hier aan de hand is en hoe ik hier vanaf kan komen?

Alvast bedankt voor de reacties.

zaterdag 12 juli 2008 12:14

Acties:

Moortn

Hallo

Probeer CCleaner. En heb je het alleen met IE of ook met FireFox (als je die hebt)?

Jeej wat moet hier nou staan. Flickr

zaterdag 12 juli 2008 12:15

Acties:

LuckY

Zelfde soort site ? die je bezoekt ?

Probeer eens wat meerdere gratis online virus scanners.

zaterdag 12 juli 2008 12:19

Acties:

Zip

Topicstarter

Het is niet dezelfde soort site. Lijkt willekeurig.

Zowel met ie als ff (3)

Grts Frank

zaterdag 12 juli 2008 13:06

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Volg even de tips die terugkomen in de meeste topics in dit forum (en in de FAQ) en geef ons even het resultaat (en jouw interpretatie daarbij), dan kunnen we wat meer

Ik heb ook de topictitel even aangepast. Alleen 'virus' is nogal zinloos in een forum dat Beveiliging & Virussen heet

[ Voor 31% gewijzigd door F_J_K op 12-07-2008 13:17 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zaterdag 12 juli 2008 13:10

Acties:

Noork

Google geeft meerdere hits op de zoektermen "virus + pinguin + popup". Er komen zelfs resultaten terug met 'Chinees' er in. Dus ik zou dat eerst maar eens even uitzoeken alvorens hier te komen vragen.

zaterdag 12 juli 2008 13:53

Acties:

hessel

Ga eens na windows/system32. sorteer hier alle bestanden op datum. zoek hier nu de nieuwste bestanden (exe/dll) maak hier een copy van. Laad deze kopie eens op virusscan.joty.org of een vergelijkbare scan site. Mogelijk dat je hier de naam van virus kunt achterhalen.

Grutte Pier fansels

zaterdag 12 juli 2008 17:28

Acties:

Zip

Topicstarter

hessel schreef op zaterdag 12 juli 2008 @ 13:53:
Ga eens na windows/system32. sorteer hier alle bestanden op datum. zoek hier nu de nieuwste bestanden (exe/dll) maak hier een copy van. Laad deze kopie eens op virusscan.joty.org of een vergelijkbare scan site. Mogelijk dat je hier de naam van virus kunt achterhalen.

Dit heb ik gedaan. Zonder effect alles schoon. Via ff block images van cnmrx.net ben ik er nu vanaf in firefox.

Het blijft mij wel bezig houden

Info via whois:

Domain name: cnmrx.net

Registrant Contact:
ge ren
dong li

he fei shi he ping lu 41 hao
hefeishi, gansu 510000
CN

Administrative Contact:
ge ren
dong li (xxxx8888@163.com)
+86.02134345353
he fei shi he ping lu 41 hao
hefeishi, gansu 510000
CN

Technical Contact:
ge ren
dong li (xxxx8888@163.com)
+86.02134345353
he fei shi he ping lu 41 hao
hefeishi, gansu 510000
CN

Status: Locked

Name Servers:
ns11.bigwww.com
ns12.bigwww.com
ns13.bigwww.com
ns14.bigwww.com
ns15.bigwww.com
ns16.bigwww.com

zaterdag 12 juli 2008 17:50

Acties:

Noork

Leuk en aardig dat blokkeren, maar dat lost het probleem niet op. Heb je mijn vorige post nou gezien, en even op Google gekeken. Zie bijvoorbeeld:
http://www.nucia.eu/forum/showthread.php?t=38550
Wellicht staat daar nog wat in wat je kan helpen.

p.s. Screenshots maken kan ook met de Printsreen toets op het toetsenbord.

[ Voor 13% gewijzigd door Noork op 12-07-2008 17:51 ]

zondag 13 juli 2008 13:36

Acties:

Zip

Topicstarter

Tx Noork,
Heb het alsnog gedaan.
Zowel bij combifix als malwarebytes werden er niets gevonden. Ik heb ook niet de entrys in Hijjack this
als Norius.
Ik deblokkeer de images van cnmrx.net in ff 3. Kijken of ik er nog steeds last van heb.

Anders ga ik de hele Hijjack log nog eens doorlopen (en posten).

Ik laat het weten.

maandag 14 juli 2008 11:32

Acties:

chromeeh

the Gnome

Begin eens met het posten van je Hijack This log, er moet een BHO / ander stukje software zijn die dit verzorgt.

"Some day, I hope to find the nuggets on a chicken."

maandag 14 juli 2008 11:34

Acties:

mace

Sapere Aude

Idd, post hier je hijackthis log tussen [code] tags en dan kijken we er ff naar.

zaterdag 19 juli 2008 10:40

Acties:

Zip

Topicstarter

Hi,
Internet lag er even uit. Concepts heeft niet de betrouwbaarste (glas) verbinding.
(Op dit moment heb ik geen last vd pop ups.)
Hierbij mijn logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:39:04, on 19-7-2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
E:\Program Files\COMODO\Firewall\cmdagent.exe
E:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\WINDOWS\system32\HPZipm12.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\Program Files\ATI Technologies\ATI.ACE\cli.exe
E:\Program Files\HP\hpcoretech\hpcmpmgr.exe
E:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
E:\WINDOWS\MXOALDR.EXE
E:\Program Files\COMODO\Firewall\cfp.exe
E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Mozilla Firefox\firefox.exe
E:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O4 - HKLM\..\Run: [ATICCC] "E:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [HP Component Manager] "E:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [MaxtorOneTouch] E:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [MXOBG] E:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [COMODO Firewall Pro] "E:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [AVP] "E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AureonUMixer.exe] E:\Program Files\TerraTec\Aureon ControlPanel\AureonUMixer.exe /minimize
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'NETWORK SERVICE')
O4 - Global Startup: AutorunsDisabled
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - E:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - E:\WINDOWS\bdoscandel.exe
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microso...eb_site.cab?1215719699718
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macrom...ve/cabs/flash/swflash.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - E:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5553 bytes

zaterdag 19 juli 2008 10:49

Acties:

mace

Sapere Aude

Sowieso dit:
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
Die mag wel gefixt worden.

En deze vind ik ook verdacht:
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'NETWORK SERVICE')

De rest is wel OK, ook MDM.EXE en MXOALDR.EXE, schijn bij Visual Studio te horen.

zaterdag 19 juli 2008 11:14

Acties:

Petervanakelyen

OK, start HijackThis terug op, en klik op 'Do a system scan'.
Vink volgende entries aan, en klik dan op 'Fix Checked'.

code:

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'NETWORK SERVICE')
O4 - Global Startup: AutorunsDisabled
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

MXOALDR heeft niets met Visual Studio te maken, het is een bestand van de Maxtor driver.
Nadat je de entries die ik opgegeven heb, hebt gefixt, maak dan een nieuw HijackThis logje.
Kijk of je nog last hebt van de popups. Het is tevens aan te raden, als je geen last meer hebt, de entries terug in je HOSTS file te zetten, zodat je er niet weer mee besmet raakt.

Succes.

Somewhere in Texas there's a village missing its idiot.

zaterdag 19 juli 2008 11:28

Acties:

mace

Sapere Aude

Freak doublepost incident.

[ Voor 69% gewijzigd door mace op 19-07-2008 18:30 ]

zaterdag 19 juli 2008 11:28

Acties:

mace

Sapere Aude

Je hebt gelijk peter, ik had me eventjes vergist.

zaterdag 19 juli 2008 11:46

Acties:

Zip

Topicstarter

Klopt, is van de maxtor drive
Rest heb ik gefixed.

Hopelijk geen last meer vd Pinguins.

Tx

zaterdag 19 juli 2008 11:49

Acties:

Zip

Topicstarter

Ik ben net aan het surfen en hij verschijnt weer.

Logfile gecreerd tijdens het verschijnen vd popup.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:48:14, on 19-7-2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
E:\Program Files\COMODO\Firewall\cmdagent.exe
E:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\WINDOWS\system32\HPZipm12.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\Program Files\ATI Technologies\ATI.ACE\cli.exe
E:\Program Files\HP\hpcoretech\hpcmpmgr.exe
E:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
E:\WINDOWS\MXOALDR.EXE
E:\Program Files\COMODO\Firewall\cfp.exe
E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Mozilla Firefox\firefox.exe
E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O4 - HKLM\..\Run: [ATICCC] "E:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [HP Component Manager] "E:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [MaxtorOneTouch] E:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [MXOBG] E:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [COMODO Firewall Pro] "E:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [AVP] "E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AureonUMixer.exe] E:\Program Files\TerraTec\Aureon ControlPanel\AureonUMixer.exe /minimize
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - E:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - E:\WINDOWS\bdoscandel.exe
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microso...eb_site.cab?1215719699718
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macrom...ve/cabs/flash/swflash.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - E:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\system32\HPZipm12.exe

--
End of file - 4911 bytes

zaterdag 19 juli 2008 11:57

Acties:

Zip

Topicstarter

terwijl de pop up file verschijnt en ik wil iets downloaden probeerde hij een download vanaf cnmrx.net te starten!!!.

Kasperskey gaf de melding dat in dat bestand het virus win32.xorer.ey aanwezig is.

melding kaspersky:
19-7-2008 11:51:20 Detected virus Virus.Win32.Xorer.ey http://u.cnmrx.net/setup.exe//Setup.exe//PE_Patch.UPX//UPX.

Toch raar.

Is het verstandig om
http://www.mvps.org/winhelp2002/hosts.htm om deze hostfile te gebruiken?

Tx

zaterdag 19 juli 2008 12:36

Acties:

Verwijderd

Vreemd dat je firewall niet eerst met een vraag komt of programma X verbinding mag maken....

In het HijackThis log zie ik niets vreemds staan, maar als een normaal bestand geïnfecteerd is dan zie je dat ook niet terug in het HijackThis rapport.

Scan je systeem eens met Prevx CSI
Prevx CSI zal zeer snel actieve processen scannen en die controleren in een gigantische database.
NL uitleg vindt je hier.

Ook kun je even scannen met Malwarebytes' Anti-Malware. Downloaden, installeren, updaten en een Snelle Scan uitvoeren.

Je hosts bestand aanpassen is altijd wel handig en voorkomt dat er verbinding wordt gemaakt met veel bekende malware domeinen. Nog een goede is die van hphosts.
Een goede firewall (en dat is die van COMODO zeker wel) die juist is ingesteld zou toch ook met een vraag moeten komen of programma huppeldepup wel verbinding mag maken.

zaterdag 19 juli 2008 13:45

Acties:

Petervanakelyen

Verwijderd schreef op zaterdag 19 juli 2008 @ 12:36:
Vreemd dat je firewall niet eerst met een vraag komt of programma X verbinding mag maken....

In het HijackThis log zie ik niets vreemds staan, maar als een normaal bestand geïnfecteerd is dan zie je dat ook niet terug in het HijackThis rapport.

Scan je systeem eens met Prevx CSI
Prevx CSI zal zeer snel actieve processen scannen en die controleren in een gigantische database.
NL uitleg vindt je hier.

Ook kun je even scannen met Malwarebytes' Anti-Malware. Downloaden, installeren, updaten en een Snelle Scan uitvoeren.

Je hosts bestand aanpassen is altijd wel handig en voorkomt dat er verbinding wordt gemaakt met veel bekende malware domeinen. Nog een goede is die van hphosts.
Een goede firewall (en dat is die van COMODO zeker wel) die juist is ingesteld zou toch ook met een vraag moeten komen of programma huppeldepup wel verbinding mag maken.

OK, dat is een zeer goede uitleg !
Ik zou voor de MVPS hosts file gaan, en dan handmatig even kijken of die url van de pinguin popups er al is aan toegevoegd.

Prevx CSI is een zeer goed gratis tooltje, dat supersnel alle geïnfecteerde bestanden kan vinden.
Je plaats dan hier de logfile van Prevx, en dan kunnen wij je verder helpen.
Je kan Prevx CSI de bestanden niet laten verwijderen, omdat dat geld kost.

Succes.

Somewhere in Texas there's a village missing its idiot.

zaterdag 19 juli 2008 14:28

Acties:

Verwijderd

Logfile van Prevx CSI is veel te groot om te posten.
Je kunt er (zie NL uitleg) voor kiezen om het icoontje van Prevx CSI in je taakbalk te zetten.
Dan kun je na een scan je resultaten online bekijken en kun je een link naar het bestand in de Prevx database posten.
Dan krijg je bijvoorbeeld zo'n link; http://info.prevx.com/abo...9d6ee009157367900185ff3da

zaterdag 19 juli 2008 16:18

Acties:

Zip

Topicstarter

Hier is de logfile:

http://csia0.prevx.com/in...NTPROFILE=CSIPLUS&CMD=LSR

Malwarebytes heb ik ook reeds gedaan net als combofix.

zaterdag 19 juli 2008 17:03

Acties:

Verwijderd

Hmm... Prevx CSI heeft dus ook niets gevonden.

Op welke site verscheen die pop-up?

zaterdag 19 juli 2008 17:43

Acties:

Zip

Topicstarter

Verwijderd schreef op zaterdag 19 juli 2008 @ 17:03:
Hmm... Prevx CSI heeft dus ook niets gevonden.

Op welke site verscheen die pop-up?

Op deze site
http://www.mvps.org/winhelp2002/hosts.htm

Ook op buienradar en kieskeurig is hij opgedoken.

Kan het zijn dat mijn pc ok is maar iets anders de oorzaak is
mijn provider concepts heeft er al een paar keer uitgelegen (storing bij hun).

Ps. mijn verbinding loopt via een draytek vigor 2900

zondag 20 juli 2008 17:57

Acties:

Petervanakelyen

Zip schreef op zaterdag 19 juli 2008 @ 17:43:
[...]

Op deze site
http://www.mvps.org/winhelp2002/hosts.htm

Ook op buienradar en kieskeurig is hij opgedoken.

Kan het zijn dat mijn pc ok is maar iets anders de oorzaak is
mijn provider concepts heeft er al een paar keer uitgelegen (storing bij hun).

Ps. mijn verbinding loopt via een draytek vigor 2900

Ik zou gewoon die bepaalde pinguin popups in je HOSTS file zetten.

Somewhere in Texas there's a village missing its idiot.

Pagina: 1

Reageer