Toon posts:

[gehacked?] hosts-file?

Pagina: 1
Acties:
  • 183 views sinds 30-01-2008
  • Reageer

woensdag 17 december 2003 20:49

Acties:

Verwijderd

Topicstarter
Hallo!

Sinds een dag of wat verandert m'n browser (IE) telkens automatisch de pagina waar ik ben naar een pagina met het volgende ip: http://69.31.85.201/c/

Nu ben ik benieuwd of dit één of andere grap is, of dat het echt serieus is. Heeft iemand enig idee?

Alvast bedankt!
Rob

Op de pagina staat het volgende:

If you see this page your hosts file has been hacked. Please use the instruction below to clean your machine.

You cannot reach the site you where trying to reach without following this procedure! - Please follow the steps provided in this document and make sure to download all patches for your computer from the Windows Update Site which can be found here:
http://windowsupdate.microsoft.com

1. Start regedit,
find HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ,
delete starting of svchost.exe file,
reboot your computer,
delete file svchost.exe in windows directory.

2. Reboot windows and start in
SAFE MODE (F8 key on keyboard before windows starting),
delete file winlogon.exe in directory: C:\Documents and Settings\All Users\Start Menu\Programs\Startup

3. Clear your 'hosts' file.
How to edit your hosts file: locate it first, either by browsing to the directory (as shown above) or by hitting "Start - Search - select all files and folders - type in 'hosts' (without the quotation marks) and hit search. When the file is found, click with your right mouse button on the file and select 'Open With...' This will bring up a list of programs to edit the file with. Select Notepad from that list and click OK. - Remove all lines from the file and type in: 127.0.0.1 localhost. Now close the file and save your changes.

For Windows 95/98/Millenium machines: Locate the file hosts in your C:\Windows directory. Just delete it or edit it with a text editor like notepad and make sure there is only one line there:
127.0.0.1 localhost
For Windows 2000 machines: Locate the file hosts in your C:\Winnt\System32\Drivers\Etc directory. Just delete it or edit it with a text editor like notepad and make sure there is only one line there:
127.0.0.1 localhost
For Windows XP machines: Locate the file hosts in your C:\Windows\System32\Drivers\Etc directory. Just delete it or edit it with a text editor like notepad and make sure there is only one line there:
127.0.0.1 localhost

woensdag 17 december 2003 20:50

Acties:

Verwijderd

Lijkt mij een gevalletje spy-ware :)

*Draai adaware
*Draai Hijackthis
*Draai Spybot search and destroy

woensdag 17 december 2003 20:53

Acties:
  • intoxicated
  • Registratie: Januari 2001
  • Niet online

intoxicated

Haaaai :w | ALT-S

I&T -> SA

"Anyone who does not agree with me is mentally sick, and should be shot I'm afraid to say."
- Pastor Richards @ VCPR

woensdag 17 december 2003 20:55

Acties:
  • TheManinBlack
  • Registratie: November 2001
  • Niet online

TheManinBlack

Verwijderd schreef op 17 december 2003 @ 20:49:

1. Start regedit,
find HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ,
delete starting of svchost.exe file,
reboot your computer,
delete file svchost.exe in windows directory.

2. Reboot windows and start in
SAFE MODE (F8 key on keyboard before windows starting),
delete file winlogon.exe in directory: C:\Documents and Settings\All Users\Start Menu\Programs\Startup
:X Vooral doen ja. Klinkt enig! :X

(Dit moet je dus NIET doen.)

woensdag 17 december 2003 20:56

Acties:
  • G33rt
  • Registratie: Februari 2002
  • Laatst online: 22-06-2022

G33rt

Dit is een lame stukje spyware dat je je login wil slopen aangezien er gevraagd wordt om het deleten van windows bestanden. Draai een anti-spyware tool, zie de SA FAQ voor meer informatie.

Zeer waarschijnlijk onwaar wat ik zei, zie [rml]G33rt in "[ gehacked?] hosts-file?"[/rml]

[ Voor 25% gewijzigd door G33rt op 17-12-2003 21:05 ]

woensdag 17 december 2003 20:56

Acties:

Verwijderd

en post hier dan aub je hijack this logje :)
kunnen we met zn allen meedenken
ik denk eik dat het deze is.

[ Voor 41% gewijzigd door Verwijderd op 17-12-2003 20:59 ]

woensdag 17 december 2003 20:58

Acties:
  • Fish
  • Registratie: Juli 2002
  • Niet online

Fish

How much is the fish

TheManinBlack schreef op 17 december 2003 @ 20:55:
[...]


:X Vooral doen ja. Klinkt enig! :X

(Dit moet je dus NIET doen.)
jawel hoor .... punt (1)
svchost hoort in de c:\winnnt\system32 niet in c:\winnnt\

[ Voor 4% gewijzigd door Fish op 17-12-2003 20:59 ]

Iperf

woensdag 17 december 2003 21:01

Acties:
  • G33rt
  • Registratie: Februari 2002
  • Laatst online: 22-06-2022

G33rt

fish schreef op 17 december 2003 @ 20:58:
[...]


jawel hoor .... punt (1)
svchost hoort in de c:\winnnt\system32 niet in c:\winnnt\
het is dus ook gewoon een grap, dat kan je hieraan zien. C:\windows\svchost.exe bestaat namelijk helemaal niet. wat de user opmerkte was dus volkomen terecht dat je die twee bestanden niet moet deleten :)

woensdag 17 december 2003 21:02

Acties:

Verwijderd

fish schreef op 17 december 2003 @ 20:58:
[...]


jawel hoor .... punt (1)
svchost hoort in de c:\winnnt\system32 niet in c:\winnnt\
Yup en winlogon hoort ook niet in je \Programs\Startup\ te staan..
Post idd maar een HT log als je er niet uitkomt.(Zou wel eerst checken met wat je precies te maken hebt, voordat je het delete).

woensdag 17 december 2003 21:04

Acties:
  • G33rt
  • Registratie: Februari 2002
  • Laatst online: 22-06-2022

G33rt

Overigens kan het ook een _echte_ 'hack' zijn die naar die pagina linkt. In dat geval hoef je alleen je hosts te editen, en te controleren of de 2 bestanden op de genoemde locaties staan. Staan ze dat, dan kan je de deleten. :)

Pas in ieder geval in het vervolg op met wat voor dignen je allemaal uitvoert op je pc :)

[ Voor 20% gewijzigd door G33rt op 17-12-2003 21:04 ]

woensdag 17 december 2003 23:31

Acties:

Verwijderd

Topicstarter
Bedankt ;)

Heb m'n hosts-file wel even leeggegooid en alleen nog localhost laten staan (stond verder toch alleen maar google in), maar kreeg nog steeds die melding.

donderdag 18 december 2003 00:07

Acties:

Verwijderd

Check even of je niet nog meer hosts files op je bak hebt staan.
Heb je die files in die directories op je pc? Als dat het geval is, stuur die dan aub.
(Zie sig voor mail).

donderdag 18 december 2003 00:18

Acties:

Verwijderd

Topicstarter
winlogon.exe staat in m'n start menu/programs/startup

Zou ik dat bestandje dan moeten sturen? (heb echt 0,0 verstand van dit soort dingen)

donderdag 18 december 2003 00:25

Acties:

Verwijderd

Die hoort daar niet te staan..Dus stuur die maar.
Zoek dan ook maar even naar svchost.exe in je windows root.(Dat is dus windows\svchost.exe of winnt\svchost.exe, niet die in windows\system32).

donderdag 18 december 2003 00:40

Acties:

Verwijderd

Topicstarter
svchost staat bij mij gewoon (toch?) in windows/system32 maar winlogon.exe zal ik je even sturen!

donderdag 18 december 2003 00:48

Acties:
  • Fish
  • Registratie: Juli 2002
  • Niet online

Fish

How much is the fish

mijn "Me" machine kent helemaal geen svchost .............

ik zou hem maar meesturen

Iperf

donderdag 18 december 2003 00:51

Acties:

Verwijderd

winlogon.exe Infected Trojan.Win32.Horld
Die is nieuw(0 week).
Zal morgen kijken wat de file doet.

donderdag 18 december 2003 00:53

Acties:

Verwijderd

Topicstarter
Hoezo? Ik draai XP Pro en als ik in m'n task manager kijk zie ik 4 keer svchost draaien. Twee keer als system, 1 keer als local service en 1 keer als network service.

Heb trouwens twee hosts-bestanden gevonden op m'n computer, wel beide in dezelfde map (windows/system32/drivers/etc). De een is met hoofdletters geschreven en bevatte m'n localhost adres plus wat google onzin (heb alles verwijderd behalve localhost) en de andere was in kleine letters geschreven en schijnt een BAK-bestand te zijn. Die stond vol met allerlei onzin en heb ik dus helemaal leeggegooid.

[ Voor 56% gewijzigd door Verwijderd op 18-12-2003 02:32 ]

donderdag 18 december 2003 06:01

Acties:
  • Ook
  • Registratie: September 2000
  • Laatst online: 14-12-2025

Ook

Yes I can!

Verwijderd schreef op 18 december 2003 @ 00:53:
Hoezo? Ik draai XP Pro en als ik in m'n task manager kijk zie ik 4 keer svchost draaien. Twee keer als system, 1 keer als local service en 1 keer als network service.
[...]
Dat is nou precies het sneaky-gedeelte eraan.. Ze geven de trojan dezelfde naam als veel bekende (normale) Windows componenten waardoor mensen denken dat 'die file erbij hoort'. De svchost.exe uit dit topic staat namelijk in de windows-dir en niet in de system32 dir... Vandaar de paniek hier :/

Wees consequent, maar niet altijd

donderdag 18 december 2003 11:52

Acties:

Verwijderd

Toevallig gister iemand die precies hetzelfde probleem heeft. Norton herkende alleen het virus niet en mcafee ook niet een onbekende virusscanner weer wel.

donderdag 18 december 2003 14:05

Acties:

Verwijderd

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.find4u.net/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.find4u.net/sp.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.find4u.net/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.find4u.net/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.find4u.net/sp.htm
O1 - Hosts: 69.31.85.202 google.com
O1 - Hosts: 69.31.85.202 www.google.com
O1 - Hosts: 69.31.85.202 google.de
O1 - Hosts: 69.31.85.202 www.google.de
O1 - Hosts: 69.31.85.202 google.co.in
O1 - Hosts: 69.31.85.202 www.google.co.in
O1 - Hosts: 69.31.85.202 google.ca
O1 - Hosts: 69.31.85.202 www.google.ca
O1 - Hosts: 69.31.85.202 google.fr
O1 - Hosts: 69.31.85.202 www.google.fr
O1 - Hosts: 69.31.85.202 google.it
O1 - Hosts: 69.31.85.202 www.google.it
O1 - Hosts: 69.31.85.202 google.com.au
O1 - Hosts: 69.31.85.202 www.google.com.au
O1 - Hosts: 69.31.85.202 google.co.uk
O1 - Hosts: 69.31.85.202 www.google.co.uk
O1 - Hosts: 69.31.85.202 google.be
O1 - Hosts: 69.31.85.202 www.google.be
O1 - Hosts: 66.250.130.130 find4u.net
O1 - Hosts: 66.250.130.130 www.find4u.net
O4 - HKCU\..\Run: [svchost] C:\WINDOWS\SVCHOST.EXE

De svchost.exe file wordt bij mij niet gemaakt.
Maar dat zou er ook aan kunnen liggen dat ik win2k draai..maw: een prutser heeft dit gemaakt.

Wat HT nog mist is dat er ook nog Favorieten worden aangemaakt.
Dat lijkt het te zijn.

donderdag 18 december 2003 16:32

Acties:

Verwijderd

Topicstarter
Ehm...waar zie je dat? En hoe kan ik dat bestand aanpassen/verwijderen? Ik word namelijk schijtziek van dat prul ;)

donderdag 18 december 2003 16:39

Acties:

Verwijderd

installeer deze patch en kijk hier nou is ! stond ook hierboven..

donderdag 18 december 2003 16:39

Acties:

Verwijderd

hmja, de oplossing voor dit probleem:

- draai adaware / spybot s&s
- check of je DNS server nog klopt
- zoek in je registry naar
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
deze string moet de volgende waarde hebben:
"DataBasePath" = %SystemRoot%\drivers\etc

[ Voor 5% gewijzigd door Verwijderd op 18-12-2003 16:39 . Reden: pidoe ]

donderdag 18 december 2003 18:35

Acties:

Verwijderd

Je hebt last van een coolwebsearch hijack.

Hiervoor heeft Merijn een speciaal tooltje geschreven.

Download cwshredder en laat hem alles wat hij vindt repareren (klik op "next").

http://www.merijn.org/files/cwshredder.zip

donderdag 18 december 2003 21:45

Acties:

Verwijderd

Topicstarter
Bedankt allemaal :)

maarrrrr....

- Ik heb cwshredder geprobeerd en hij verwijdert wel één en ander maar zodra ik IE weer open, staat die irritante toolbar er weer.
- Heb in m'n registry gekeken en daar klopt het database path ook.
- Spybot vindt niets.
- Als ik van de Microsoft-site de patch wil installeren, krijg ik een foutmelding. Ik heb IE 6.0 SP1, maar hij zegt dat ik SP1 moet installeren om de patch te kunnen draaien. Voor de zekerheid dus ook de patch voor 'slechts' IE 6.0 (zonder SP1 dus) gedownload, maar dan zegt ie dat ik IE 6.0 moet installeren. Raarrrr, aangezien ik wel degelijk alles geinstalleerd heb.

Zijn er nog andere opties? :)

thanx
rob

donderdag 18 december 2003 21:51

Acties:

Verwijderd

Je hebt nog niets gezegd over een toolbar.
Die wordt dan ook niet door die ene file gemaakt.
Post je HijackThis log maar eens(graag tussen code tags).

vrijdag 19 december 2003 03:42

Acties:

Verwijderd

Topicstarter
Zo?

Heb even wat dialers verwijderd en toen nogmaals een scan gedaan. Oude log was veeeeel langer dan deze.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81

Logfile of HijackThis v1.97.7
Scan saved at 3:43:29 AM, on 12/19/2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:Program FilesWinampwinampa.exe
C:Program FilesCommon FilesRealUpdate_OBevntsvc.exe
C:WINDOWSSystem32devldr32.exe
C:Program FilesISTsvcistsvc.exe
C:Program FilesKaspersky LabKaspersky Anti-Virus Personal Proavpcc.exe
C:Program FilesAIM95aim.exe
C:Program FilesMSN Messengermsnmsgr.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesKaspersky LabKaspersky Anti-Virus Personal Proavpcc.exe
C:WINDOWSSystem32CTSvcCDA.exe
C:WINDOWSSystem32Tablet.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Documents and SettingsAdministratorDesktophijackthisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.reflectionsrecords.com/forum
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = 203
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = 203
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = 203
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = 192.168.1.11:3128
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page_bak = http://pub26.ezboard.com/breflections32589
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 - BHO: (no name) - {31995C64-CB4D-483E-82C2-CCFFE2F66CAB} - C:WINDOWSSystem32msvcn.dll
O2 - BHO: (no name) - {3b8aad42-e1be-41ac-90b9-e39d080c5204} - C:DOCUME~1ADMINI~1APPLIC~1chssfrrvim.dll
O2 - BHO: (no name) - {BCF96FB4-5F1B-497B-AECC-910304A55011} - C:WINDOWShh.dll
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-5F8507C5F4E9} - C:WINDOWSiempg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:WINDOWSDownloaded Program Filesgooglenav.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [UpdReg] C:WINDOWSUpdReg.EXE
O4 - HKLM..Run: [BCTWEAK] C:Program FilesCreativeBlasterControlBCTweak.exe -1
O4 - HKLM..Run: [Speed racer] C:Program FilesCreativeSBLive2kPlayCenterCTSRReg.exe
O4 - HKLM..Run: [REGSHAVE] C:Program FilesREGSHAVEREGSHAVE.EXE /AUTORUN
O4 - HKLM..Run: [MessengerPlus2] "C:Program FilesMessenger Plus! 2MsgPlus.exe"
O4 - HKLM..Run: [HPDJ Taskbar Utility] C:WINDOWSSystem32spooldriversw32x863hpztsb04.exe
O4 - HKLM..Run: [WinampAgent] C:Program FilesWinampwinampa.exe
O4 - HKLM..Run: [TkBellExe] C:Program FilesCommon FilesRealUpdate_OBevntsvc.exe -osboot
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [IST Service] C:Program FilesISTsvcistsvc.exe
O4 - HKLM..Run: [AVPCC] "C:Program FilesKaspersky LabKaspersky Anti-Virus Personal Proavpcc.exe" /wait
O4 - HKCU..Run: [AIM] C:Program FilesAIM95aim.exe -cnetwait.odl
O4 - HKCU..Run: [AutoUpdater] C:WINDOWSSystem32aupdate.exe
O4 - HKCU..Run: [svchost] C:WINDOWSSVCHOST.EXE
O4 - HKCU..Run: [msnmsgr] "C:Program FilesMSN Messengermsnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:Program FilesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:WINDOWSDownloaded Program Filesgooglenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:WINDOWSDownloaded Program Filesgooglenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:WINDOWSDownloaded Program Filesgooglenav.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:WINDOWSDownloaded Program Filesgooglenav.dll/cmsimilar.html
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {1D870C86-AA3C-4451-81E4-71D480A1A652} - http://216.93.172.116/sub2bc.exe
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/nl/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} - http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_pack_XP.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37596.2871412037
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://66.230.143.209/loader/dploader.cab
O16 - DPF: {C1C2AC28-5E4B-4228-B7A0-05E986FFCE14} (TIBSLoader Class) - http://movie-browser.com/tl4000.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab

[ Voor 9% gewijzigd door Verwijderd op 19-12-2003 03:46 . Reden: zelf wat dialers verwijderd en opnieuw gescanned ]

vrijdag 19 december 2003 09:22

Acties:
  • blackd
  • Registratie: Februari 2001
  • Niet online

blackd

O4 - HKCU..Run: [AutoUpdater] C:WINDOWSSystem32aupdate.exe
O4 - HKCU..Run: [svchost] C:WINDOWSSVCHOST.EXE
Deze mogen sowieso weg, svchost hoort niet in die dir, en helemaal niet in HKCU, en aupdate.exe bestaat hier niet, dus aan het bestaansrecht van die file op jouw systeem twijfel ik.
O16 - DPF: {1D870C86-AA3C-4451-81E4-71D480A1A652} - http://216.93.172.116/sub2bc.exe
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://66.230.143.209/loader/dploader.cab
Geen idee wat dat is, maar het ziet er niet goed uit.
En weet je van welk programma dit is:
O4 - HKLM..Run: [IST Service] C:Program FilesISTsvcistsvc.exe
EN heb je MSN Plus zonder spyware geinstalleerd?
O2 - BHO: (no name) - {31995C64-CB4D-483E-82C2-CCFFE2F66CAB} - C:WINDOWSSystem32msvcn.dll
O2 - BHO: (no name) - {3b8aad42-e1be-41ac-90b9-e39d080c5204} - C:DOCUME~1ADMINI~1APPLIC~1chssfrrvim.dll
O2 - BHO: (no name) - {BCF96FB4-5F1B-497B-AECC-910304A55011} - C:WINDOWShh.dll
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-5F8507C5F4E9} - C:WINDOWSiempg.dll
Ziet er ook niet betrouwbaar uit.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

vrijdag 19 december 2003 09:43

Acties:

Verwijderd

Ik kijk vanavond naar de rest van het log(moet weg)..
Maar kun je deze mailen?
O4 - HKCU..Run: [AutoUpdater] C:WINDOWSSystem32aupdate.exe
O4 - HKCU..Run: [svchost] C:WINDOWSSVCHOST.EXE
O4 - HKLM..Run: [IST Service] C:Program FilesISTsvcistsvc.exe

vrijdag 19 december 2003 13:01

Acties:

Verwijderd

Topicstarter
Ik had Messenger Plus zonder spyware geinstalleerd, maar ondertussen weer helemaal verwijderd.

Het gekke is dat ik helemaal geen svchost.exe in m'n c:/windows dir heb staan, dus ik snap de verwijzing ook niet helemaal. Datzelfde geldt voor c:/windows/system32/aupdate.exe (heb wel aupdate.conf, aupdate.trk en aupdate_uninstall.

ISTsvc.exe komt eraan!

Bedankt joh :)

vrijdag 19 december 2003 13:24

Acties:

Verwijderd

Zoals ik al verwachtte is het IstBar spy/adware.
(TrojanDownloader.Win32.IstBar.ae to be more exact).

Die moet je dus maar gewoon deleten.
Zal zo naar de rest kijken.

Edit:
Geen hits met google hierop:
C:Program FilesCommon FilesRealUpdate_OBevntsvc.exe
Kun je die ook sturen?

[ Voor 27% gewijzigd door Verwijderd op 19-12-2003 13:28 ]

vrijdag 19 december 2003 14:19

Acties:

Verwijderd

Topicstarter
Komt eraan! Bedankt zeg.

vrijdag 19 december 2003 14:37

Acties:

Verwijderd

Argh, rotte HT zonder backslahses, ik dacht dat de filename anders..
File is gewoon van Real.

Ik neem trouwens aan dat je een Wacom Tablet hebt?
Ivm. Tablet.exe

Heb je die entries die blackd aangaf al gefixt?

vrijdag 19 december 2003 14:50

Acties:

Verwijderd

Topicstarter
Yep, heb een Wacom Tablet :)

En ik heb alle dingen die blackd aangaf gefixed, behalve:

code:
1
2
3
4

O2 - BHO: (no name) - {31995C64-CB4D-483E-82C2-CCFFE2F66CAB} - C:WINDOWSSystem32msvcn.dll
O2 - BHO: (no name) - {3b8aad42-e1be-41ac-90b9-e39d080c5204} - C:DOCUME~1ADMINI~1APPLIC~1chssfrrvim.dll
O2 - BHO: (no name) - {BCF96FB4-5F1B-497B-AECC-910304A55011} - C:WINDOWShh.dll
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-5F8507C5F4E9} - C:WINDOWSiempg.dll


Geen idee of ik die zomaar weg kan halen zonder m'n systeem te verkloten :)

vrijdag 19 december 2003 14:57

Acties:
  • blackd
  • Registratie: Februari 2001
  • Niet online

blackd

Ik moest vanochtend snel weg, dus had geen tijd om e.e.a. uit te zoeken, maar dat heb ik nu wel.

hh.dll:
http://www.pestpatrol.com/PestInfo/h/hh_dll.asp

iempg.dll:
http://www.kephyr.com/spy...mpgcomtoolbar/index.phtml

msvcn.dll:
http://www.doxdesk.com/parasite/SubSearch.html

chssfrrvim.dll kan ik niet vinden, maar de locatie van de file (Application Data) en de random filename lijkt erop dat dit van de spyware van MSN messenger 2 is, vandaar dat ik het vroeg.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

vrijdag 19 december 2003 15:24

Acties:

Verwijderd

Topicstarter
Thanks :) Heb ze gedelete en tot nu toe nog nergens problemen mee gehad (geen toolbars die ik niet wil hebben). IE lijkt ook een stuk sneller...samen met de rest van m'n computer. Zou het kunnen dat dat daardoor komt? In m'n task manager stond gisterenavond namelijk niet bijzonder veel open dat veel geheugen nodig had, maar m'n proc werd wel voor 100% belast :S

vrijdag 19 december 2003 15:27

Acties:
  • blackd
  • Registratie: Februari 2001
  • Niet online

blackd

Heb je de exacte stappen in de links uitgevoerd? Want een aantal .dll files moet je unregistreren of je moet bepaalde CLSID's wissen. Als je dat niet doet, kun je later in de problemen komen.

Wat betreft die 100% CPU load; dikke kans dat dat hier door komt. Die spyware programma's zijn niet altijd even goed geprogrammeerd en komen dan bijv. in een oneindige loop waardoor ze al je processor kracht opsnoepen. En aangezien explorer.exe en iexplore.exe nauw verwand zijn, en het zelfs je shell is, kan dit de algehele prestaties van je computer zeker beinvloeden.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

vrijdag 19 december 2003 16:03

Acties:

Verwijderd

Topicstarter
Hmm, handig om te weten. Wist overigens niet eens van het bestaan van deze tooltjes af, dus ik laat ze maar even op m'n computer staan.

Ik heb ze overigens gewoon verwijderd, maar ik denk dat het sowieso verstandig is een schone installatie op deze bak te gooien ;) Heb ik al zeker een jaar niet meer gedaan, dus wordt weer eens tijd.
Pagina: 1
Reageer