Heb de twee Bagle topics gemerged, want wat is het nut van een Bagle topic als er een ander topic over geopend wordt om daarin verder te gaan? 
Titeledit.
Titeledit.
Verwijderd
De pwdzip werd niet herkent als virus maar doorgelaten, ik herkende het echter handmatig als virus en heb hem gesubmit om te kijken of het een nieuw of een bestaand virus was. Het bleek een bestaand virus te zijn, en de detectie zit al ingebakken in de 2 laatste dats (welke beide zijn geinstalleerd).:
[...]
Misschien dat ik nog niet helemaal wakker ben, maar ik snap de strekking van je verhaal eigenlijk niet.
Misschien dat dit heel duidelijk is voor andere NAI users, maar zelf zou ik wat meer info leuk vinden.
Gokje: NAI heeft pwdzip sig niet aangepast.
Daarnaast is die methode/sig ook niet echt secuur.
Kortom, waarom herkend mijn virusscanner het bericht niet als virus terwijl de goede dat files wel zijn geladen? En waarom herkend de online scanner hem wel?
:strip_icc():strip_exif()/u/43400/avatar.jpeg?f=community){kind=avatar}
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
:strip_icc():strip_exif()/u/81722/bacardi.jpg?f=community)
Stel je voor dat een virusschrijver op het idee komt om dit systeem (password encrypted zipfile met paswoord in de mail) te combineren met die IE bug (waar hééééééél wat mensen nog geen patch voor hebben) namelijk: het paswoord is te vinden op www.provider.com:blabla@fakeurl
Dan gaan gebruikers pas ècht vertrouwen hebben in de authenticiteit en wordt de chaos zo mogelijk nog groter imho
Dan gaan gebruikers pas ècht vertrouwen hebben in de authenticiteit en wordt de chaos zo mogelijk nog groter imho
offtopic:
hopelijk breng ik niemand op ideeën
hopelijk breng ik niemand op ideeën
:
Heb de twee Bagle topics gemerged, want wat is het nut van een Bagle topic als er een ander topic over geopend wordt om daarin verder te gaan?
[ Voor 41% gewijzigd door Yoeri op 04-03-2004 17:56 ]
Kijkje in de redactiekeuken van Tweakers.net
22 dec: Onze reputatie hooghouden
20 dec: Acht fouten
Verwijderd
Dat weet jij, dat weet ik.:
[...]
Eigenlijk niet
Dat weet alleen 95% van de mensen niet
En dan heb je het alleen over Demon. Ik had het uiteraard over alle mails verstuurd binnen TLD's
:strip_exif()/u/303/a5_189.gif?f=community)
ik was er dus ingestonken...
Heb eigenlijk betrekkelijk weinig last van virussen, maar was al een beetje moe en schrok van de melding.
dus opende de attachment... (toen ratelde dus ff mijn hd)
ja wist toen wel dat er stront aan de knikker was.
de k variant overigens
Heb eigenlijk betrekkelijk weinig last van virussen, maar was al een beetje moe en schrok van de melding.
dus opende de attachment... (toen ratelde dus ff mijn hd)
ja wist toen wel dat er stront aan de knikker was.
de k variant overigens
[ Voor 5% gewijzigd door Zandor op 07-03-2004 10:47 ]
E8400, P5K EPU, patriot extreme 800 4GB, EN9600gt, hoontech dsp24v, samsung F1 1TB, dell 2407wfp, canon LBP5200
Canon 50D, 17-85IS, 28-135 IS, 100-300mm, 50mm 1.8
Verwijderd
nou begrijp ik ineens waarom ze bij mcafee besluiten hebben om die exploit als virus aan te duiden. (dus ff een verzoek aan iedereen die erop reageert: svp geen werkende url-exploit-link neer te zetten want dan kan ik weer allerlei warnings wegklikken):
Stel je voor dat een virusschrijver op het idee komt om dit systeem (password encrypted zipfile met paswoord in de mail) te combineren met die IE bug (waar hééééééél wat mensen nog geen patch voor hebben) namelijk: het paswoord is te vinden op www.provider.com:blabla@fakeurl
Dan gaan gebruikers pas ècht vertrouwen hebben in de authenticiteit en wordt de chaos zo mogelijk nog groter imho
offtopic:
hopelijk breng ik niemand op ideeën
[...]
[...]
:strip_icc():strip_exif()/u/45486/1.jpg?f=community)
Windows10 Ultimate 64 bit@SSDKingston 300, AMD Ryzen 5 1400, Sapphire RX460 4gb, Corsair DDR4 8 gb. OC,
:strip_icc():strip_exif()/u/21865/shoe_60x60.jpg?f=community)
:strip_icc():strip_exif()/u/15283/pinkypimp.jpg?f=community)
:strip_icc():strip_exif()/u/14/wildhagen60x60.jpg?f=community)
En Bagle.o is er nu ook...
Over Bagle.n
NAI: upgraded to Medium Risk
FSAV: Level 2 risk
Interessante dingetjes:
Deze is toch een stuk gevaarlijker, naast de backdoor, nu ook verspreiding via RAR, wat toch een paar AVs niet(goed)ondersteunen.
File-infector component is ook niet echt iets om vrolijk van te worden eigenlijk.
Edit2:
NAI en Symantec zullen hier vandaag/vannacht nog een weekly/LU voor releasen.
Het blijft erg dat een update 'bijzonder' is, zeker als je je bedenkt dat het de twee met het grootste marktaandeel zijn
Edit:quote: F-Secure
Over Bagle.n
NAI: upgraded to Medium Risk
FSAV: Level 2 risk
Interessante dingetjes:
Ook nog nieuw: encrypted polymorphic parasitic file infectorThis time the executable can be packed inside a ZIP or RAR archive, which can be encrypted with a password. Password can be shown as a BMP/GIF/JPG image, like this:
Password:
This is of course an attempt to make the work of gateway-based scanners harder (after we and many other vendors started detecting password-protected ZIP files sent by previous Bagles).
Deze is toch een stuk gevaarlijker, naast de backdoor, nu ook verspreiding via RAR, wat toch een paar AVs niet(goed)ondersteunen.
File-infector component is ook niet echt iets om vrolijk van te worden eigenlijk.
Edit2:
NAI en Symantec zullen hier vandaag/vannacht nog een weekly/LU voor releasen.
Het blijft erg dat een update 'bijzonder' is, zeker als je je bedenkt dat het de twee met het grootste marktaandeel zijn
[ Voor 80% gewijzigd door Verwijderd op 14-03-2004 02:25 ]
:strip_icc():strip_exif()/u/192/img2006a.jpg?f=community)
ik bedoel deze: bagle N-O
Stinger heb ik zojuist opgehaald op http://vil.nai.com/vil/stinger/
die draait momenteel, nu maar hopen dat alles goed komt
Jeetje dat ik zo dom heb kunnen wezen om in dat mailtje te trappen
was dus afkomstig van zogenaamd mijn provider ( managment@home.nl )
in het vervolg maar beter opletten en gelijk mijn broer waarschuwen.
in een uurtje tijd meer dan 500 files ge-infecteerd
en Symantec maar roepen:
26681 gescande bestanden, 0 geïnfecteerde bestanden.
Ik ben er ondertussen ook achter dat het overal in kruipt, niet alleen op je C:-schijf.
Het is dus raadzaam om gelijk alle schijven te controleren.
Stinger heb ik zojuist opgehaald op http://vil.nai.com/vil/stinger/
die draait momenteel, nu maar hopen dat alles goed komt
Jeetje dat ik zo dom heb kunnen wezen om in dat mailtje te trappen
was dus afkomstig van zogenaamd mijn provider ( managment@home.nl )
in het vervolg maar beter opletten en gelijk mijn broer waarschuwen.
in een uurtje tijd meer dan 500 files ge-infecteerd
en Symantec maar roepen:
26681 gescande bestanden, 0 geïnfecteerde bestanden.
Ik ben er ondertussen ook achter dat het overal in kruipt, niet alleen op je C:-schijf.
Het is dus raadzaam om gelijk alle schijven te controleren.
[ Voor 32% gewijzigd door Piet Marisael op 14-03-2004 15:23 ]
:strip_icc():strip_exif()/u/78598/radiohead.jpg?f=community)
:strip_icc():strip_exif()/u/17599/vlag.jpg?f=community)
:strip_icc():strip_exif()/u/37421/kt666.jpg?f=community)
Ik ben een leek op dit gebied, maar ik heb het bekende mailtje ook gehad op m'n GMX account. Nu valt het natuurlijk op dat de mail niet Duits was maar Engels, de mailclient die ik gebruik (Foxmail) laat standaard mail alleen in textmode zien (eventuele zieke HTML troep werkt dus niet ) en attachments open ik nooit.. Maar als het een Duitse mail was geweest was ik er bijna ingetrapt.
Echter, de reden dat ik deze reply nog type is vanwege het wazige return-path :
Return-Path: <vermoedelijk_gewoon_bestaand_mailadres_wat_ik_wegedit_ivm_spam_enzo@planet.nl>
Van dat return-path kreeg ik aan aantal uurtjes eerder ook al een mail, alleen dan met subject "Site changes" en een .pif erbij (en wat wazige tekst, maar die mail heb ik al getrashed). Die had ik toen geforward naar Schouw, en zodoende geloofde ik ook bijna dat mailtje dat m'n mailaccount op inactief gezet zou worden (sja, ik _had_ idd wel net een virus geforward
).
Maar het lijkt erop dat je aan het return-path dan nog kan zien of een mail fake is
. Of is dit ondertussen misschien ook alweer veranderd met een nieuwe variant
) en attachments open ik nooit.. Maar als het een Duitse mail was geweest was ik er bijna ingetrapt.Echter, de reden dat ik deze reply nog type is vanwege het wazige return-path :
Return-Path: <vermoedelijk_gewoon_bestaand_mailadres_wat_ik_wegedit_ivm_spam_enzo@planet.nl>
Van dat return-path kreeg ik aan aantal uurtjes eerder ook al een mail, alleen dan met subject "Site changes" en een .pif erbij (en wat wazige tekst, maar die mail heb ik al getrashed). Die had ik toen geforward naar Schouw, en zodoende geloofde ik ook bijna dat mailtje dat m'n mailaccount op inactief gezet zou worden (sja, ik _had_ idd wel net een virus geforward
).Maar het lijkt erop dat je aan het return-path dan nog kan zien of een mail fake is
. Of is dit ondertussen misschien ook alweer veranderd met een nieuwe variant
[ Voor 8% gewijzigd door Mentalist op 14-03-2004 21:25 ]
Verstuurd vanaf mijn Computer®
:
Echter, de reden dat ik deze reply nog type is vanwege het wazige return-path :
Return-Path: <vermoedelijk_gewoon_bestaand_mailadres_wat_ik_wegedit_ivm_spam_enzo@planet.nl>
Maar het lijkt erop dat je aan het return-path dan nog kan zien of een mail fake is
In dit geval dus eens de laatste ipv 'eigen domein'.
Ik denk dat je in dit geval gerust mag stellen:
return-path = from field
Anders kan ik het ook niet zo 1,2,3 verklaren eigenlijk.
Nope. In het from-field stond support@gmx.net oid. (ja, of het nou support of management of administration was weet ik niet meer:
[...]
[...]
In dit geval dus eens de laatste ipv 'eigen domein'.
Ik denk dat je in dit geval gerust mag stellen:
return-path = from field
Anders kan ik het ook niet zo 1,2,3 verklaren eigenlijk.
)Als de mail Duitstalig was geweest en een geloofwaardiger return-path had gehad dan was het mailtje al een akelig stuk geloofwaardiger geworden
Verstuurd vanaf mijn Computer®
Hmm...:
[...]
Nope. In het from-field stond support@gmx.net oid. (ja, of het nou support of management of administration was weet ik niet meer
Als de mail Duitstalig was geweest en een geloofwaardiger return-path had gehad dan was het mailtje al een akelig stuk geloofwaardiger geworden
Had me dan ook de hele mail gestuurd, prutser.
Ik kan er zo niets over vinden, zal anders nog eens navragen of het normaal is.
Oh crap. Ik dacht dat is natuurlijk weer een of ander prul wat Schouw allang heeft, heb ik 'm getrashed:
[...]
Hmm...
Had me dan ook de hele mail gestuurd, prutser.
Ik kan er zo niets over vinden, zal anders nog eens navragen of het normaal is.
.Als ik nog meer rotzooi ontvang zal ik het bewaren. Sorry
[edit]
Ik zal even een poging wagen met getdataback. Who knows..
[ Voor 8% gewijzigd door Mentalist op 14-03-2004 22:36 ]
Verstuurd vanaf mijn Computer®
Zoals ik vanmiddag al zei: Ding was toen je hem kreeg nog geen 16 uur oud.:
[...]
Oh crap. Ik dacht dat is natuurlijk weer een of ander prul wat Schouw allang heeft, heb ik 'm getrashed
Als ik nog meer rotzooi ontvang zal ik het bewaren. Sorry
De exe-file had ik idd al, maar geen mail.(De eerste kreeg ik van source die hem via kazaa had)
/off-topic.
Misschien iemand anders die W3ird_N3rd's bevestigingen kan bevestigen?
(Ik blijf er gewoon bij dat het aan de sample ligt en er niets bijzonders aan de hand was btw)
Dat was de eerste mail (site changes, die had ik ook geforward). Die 2de mail was echter natuurlijk wel weer van hetzelfde planet.nl adres (zo leek het, zelfde return-path).
Anyway, eens zien of ik wat uit getdataback krijg. Ik typ dit nu al vanaf laptop omdat FireFox op m'n werkbak op dezelfde partitie als Foxmail staat
[edit]
Iig wat files teruggevonden. Net even getdataback geregistreert, dus nu even checken. Just a moment
[edit2]
Allemaal dezelfde MD5 sum.
Net nog een brakke file teruggekregen.. Maar die mail is weg
[ Voor 24% gewijzigd door Mentalist op 14-03-2004 23:26 ]
Verstuurd vanaf mijn Computer®
Yes. Weer een nieuwe variant, Bagle.O: http://vil.nai.com/vil/content/v_101098.htm
Let me guess: Kaspersky gaat hem .P noemen
Let me guess: Kaspersky gaat hem .P noemen
Virussen? Scan ze hier!
NAI tagged m Bagle.p / Bagle.P:
Yes. Weer een nieuwe variant, Bagle.O: http://vil.nai.com/vil/content/v_101098.htm
Let me guess: Kaspersky gaat hem .P noemen
Panda AV tagged m Bagle.O : http://www.pandasoftware....aspx?IdVirus=45607&sind=0
[ Voor 28% gewijzigd door 0xDEADBEEF op 15-03-2004 13:20 . Reden: Added "Bagle" ]
"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg
"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg
Je bent eens afwezig en je weer een nieuwe variant..:
Yes. Weer een nieuwe variant, Bagle.O: http://vil.nai.com/vil/content/v_101098.htm
Let me guess: Kaspersky gaat hem .P noemen
KAV: I-Worm.Bagle.o (for now iig)
Dus toch weer afwijkend.
:strip_exif()/u/14559/bier2cr2.gif?f=community)
Ik denk dat-ie voorlopig even niet kan mailen
Zijn emailadres geeft namelijk best wel wat errors:
Volgens mij heeft-ie hem geopend ofzo en vond Cistron dat niet zo fijn
D3NN1S: ik ben ook geinteresseerd in het mailtje, als je toevallig even tijd/zin hebt (emailadres: zie mijn profile)..
Virussen? Scan ze hier!
Ja sorry dat mail adres werkt niet meer.. ik zit nu bij demon maar ben het vergeten aan te passen in mn profiel:
[...]
Ik denk dat-ie voorlopig even niet kan mailen
Zijn emailadres geeft namelijk best wel wat errors:
[...]
Volgens mij heeft-ie hem geopend ofzo en vond Cistron dat niet zo fijn
D3NN1S: ik ben ook geinteresseerd in het mailtje, als je toevallig even tijd/zin hebt (emailadres: zie mijn profile)..
Maar die mail is bij een collega binnengekomen op de helpdesk van gemeente zaanstad.. ik zal hem zo eens vragen en post het dan hier.
ALERT.TXT kan ook toegevoegd zijn door de virusscanner op de mailserver van die grapjas. NAI GroupShield (en ik neem aan elk goed scanprodukt voor mailservers) kan bijvoorbeeld ook een besmet attachment vervangen door een ALERT.TXT, waarbij de tekst van de mail ongewijzigd blijft
Maargoed, beter zo dus
Maargoed, beter zo dus
Virussen? Scan ze hier!
Dat weet ik en dat doen die servers dus ook:
ALERT.TXT kan ook toegevoegd zijn door de virusscanner op de mailserver van die grapjas. NAI GroupShield (en ik neem aan elk goed scanprodukt voor mailservers) kan bijvoorbeeld ook een besmet attachment vervangen door een ALERT.TXT, waarbij de tekst van de mail ongewijzigd blijft
Maargoed, beter zo dus
alleen daarop heeft hij een nieuwe mail getypt die attachement (alert.txt) toegevoed en vanaf zijn thuis pc verstuurd. met de melding dat hij het virus had (dacht ie was dus al afgevangen door de server) en dat ie het met het tooltje had verwijderd... welke hij dus niet heeft bijgevoegd.Automatisch werd dus door mijn collega gedach aangezien hij een mailtje van een onbekend adres in het nederlands met een alert.txt aantrof dat dit een nieuwe variant was
allemaal ophef om niets dus Maarja you can't be to carefull
:strip_icc():strip_exif()/u/59535/sfox18ico.jpg?f=community)
/u/42728/crop56c1ab411351a_cropped.png?f=community)
NOD32 - v.1.678 (20040318)
Virus signature database updates:
Win32/Bagle.S
NOD32 - v.1.677 (20040318)
Virus signature database updates:
Win32/Bagle.T
NOD32 - v.1.676 (20040318)
Virus signature database updates:
Win32/Bagle.{Q,R}
NOD32 - v.1.675 (20040318)
Virus signature database updates:
chapeau nod32, al 4 updates vandaag.
Virus signature database updates:
Win32/Bagle.S
NOD32 - v.1.677 (20040318)
Virus signature database updates:
Win32/Bagle.T
NOD32 - v.1.676 (20040318)
Virus signature database updates:
Win32/Bagle.{Q,R}
NOD32 - v.1.675 (20040318)
Virus signature database updates:
chapeau nod32, al 4 updates vandaag.
Het is niet de bedoeling hier 'updatelogs' van je favo AV neer te zetten, iig niet zonder extra info.
Dat gaat de draad nogal vervuilen nml.
Dat gaat de draad nogal vervuilen nml.
offtopic:
Vier updates op een dag is niet zo héél bijzonder hoor, kijk maar naar Dr. Web/BD/KAV.
Vier updates op een dag is niet zo héél bijzonder hoor, kijk maar naar Dr. Web/BD/KAV.
:strip_icc():strip_exif()/u/53213/crop57ace20969734.jpeg?f=community)
Afaik is F-Secure een van de weinigen met daadwerkelijk al detectie ervoor.
KL is bezig met sig maken/testen.
Vind het overigens toch wel knap dat jij zo vaak zo snel al die nieuwe troep binnenkrijgt btw.
Edit:
Bad ik, KL heeft al 10 minuten detectie.
KL is bezig met sig maken/testen.
Vind het overigens toch wel knap dat jij zo vaak zo snel al die nieuwe troep binnenkrijgt btw.
Edit:
Bad ik, KL heeft al 10 minuten detectie.
[ Voor 12% gewijzigd door Verwijderd op 26-03-2004 11:00 ]
Hé, ik niet persoonlijk, ik ben systeembeheerder, en ik houd de Quarantaine Manager van McAfee Groupshield hier in de gaten (13 servers die rapporteren), dus ik kan zien wat er zoals binnenkomt, en de (geblokeerde) files uit de database halen:
Vind het overigens toch wel knap dat jij zo vaak zo snel al die nieuwe troep binnenkrijgt btw.
En de write-up van McAfee is er ook al: http://vil.nai.com/vil/content/v_101141.htm
[ Voor 9% gewijzigd door wildhagen op 26-03-2004 11:04 ]
Virussen? Scan ze hier!
:strip_exif()/u/39585/rejected.gif?f=community)
Hier is de Bagle.U ook al onderschept, het is ook bijna niet meer bij te houden, zo snel als die krengen zich verspreiden.
[ Voor 21% gewijzigd door Caeruleus op 26-03-2004 13:10 ]
no animals were harmed during the production of this message
Dit wordt gewoon belachelijk, het is niet leuk meer. Stiekem bekruipt me ook het gevoel dat vendors hier aan meewerken en er gretig op inspringen om te benadrukken dat een av-scanner belangrijk is. Bagle A tot T is er al, de vraag is wanneer de volgende komt
Ach ja, panda herkend het virus ook al: link write-up
Dit geldt ook voor de online scanner van Panda, dus mocht je besmet raken en je vendor heeft nog geen update ervoor... dan kun je het proberen.
[ Voor 12% gewijzigd door Miki op 29-03-2004 12:39 ]
Inderdaad het is de V variant en ook al link aangepast.:
[...]
Gek he, de scanners blijken wel nodig te zijn...
Bekijk ff de aangepaste zin.... ik drukte te vroeg verzend
[...]
Dat is een oude variant, Panda zal het ding wel Bagle.V noemen.
Op mijn domeintje nog geen Bagle.U gehad, maar wel via @home en inderdaad gewoon doorgelaten (vrijdagavond), en dat terwijl het virus al in de ochtend op mijn eigen Clamav-bakje bekend was. Beetje slordig, updaten ze bij @home maar om de zoveel dagen???
Op zich valt de Bagle stroom op mijn beheerde server wel mee, het zijn meer Netsky virussen (Worm.SomeFool volgens Clamav)
en afgelopen week:
En dit is nog niet eens een ongecensureerde stroom mail, sinds ik via Postfix er ook nog helo restricties heb opgezet. Elke mailserver die wil mailen moet zich aan de RFC houden en dat doen veel spammers en virussen niet ("HELO medion" kwam ik laatst tegen en tja dat geeft een: "Helo command rejected: need fully-qualified hostname"). Minder leuk is om te zien dat nog aardig wat mailservers op internet hetzelfde doen (jongens alleen een hostname is niet goed, er moet ook een domein bij !!!)
Op zich valt de Bagle stroom op mijn beheerde server wel mee, het zijn meer Netsky virussen (Worm.SomeFool volgens Clamav)
en afgelopen week:
En dit is nog niet eens een ongecensureerde stroom mail, sinds ik via Postfix er ook nog helo restricties heb opgezet. Elke mailserver die wil mailen moet zich aan de RFC houden en dat doen veel spammers en virussen niet ("HELO medion" kwam ik laatst tegen en tja dat geeft een: "Helo command rejected: need fully-qualified hostname"). Minder leuk is om te zien dat nog aardig wat mailservers op internet hetzelfde doen (jongens alleen een hostname is niet goed, er moet ook een domein bij !!!)
rm -r *
Verwijderd
nav I-worm/netsky.Q kan er iemand mijn hijackthis bekijken svp.
Logfile of HijackThis v1.97.7
Scan saved at 23:43:41, on 29-3-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\AVPersonal\AVSched32.EXE
C:\Program Files\Preventon\Personal Firewall\PFwall.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\DOCUME~1\Eigenaar\LOCALS~1\Temp\~ef7194.tmp
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Eigenaar\Local Settings\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eo.nl/home/html/home.jsp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://nl8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://nl8.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ShowShifter TVTV EPG Daemon] "C:\Program Files\Home Media Networks Limited\ShowShifter\TVTVD.exe"
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Startup: Office Opstarten.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Preventon Personal Firewall.lnk = C:\Program Files\Preventon\Personal Firewall\PFwall.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec....ontent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec....tent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.../MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m...uctl.CAB?37984.3262037037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macrome...ve/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.co...an/1,5,0,4342/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{588C3EE9-8B7C-4B25-B2A2-27196F4104B6}: NameServer = 195.121.1.34 195.121.1.66
_________________
oeps alweer een verkeerde toets...
Logfile of HijackThis v1.97.7
Scan saved at 23:43:41, on 29-3-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\AVPersonal\AVSched32.EXE
C:\Program Files\Preventon\Personal Firewall\PFwall.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\DOCUME~1\Eigenaar\LOCALS~1\Temp\~ef7194.tmp
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Eigenaar\Local Settings\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eo.nl/home/html/home.jsp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://nl8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://nl8.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ShowShifter TVTV EPG Daemon] "C:\Program Files\Home Media Networks Limited\ShowShifter\TVTVD.exe"
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Startup: Office Opstarten.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Preventon Personal Firewall.lnk = C:\Program Files\Preventon\Personal Firewall\PFwall.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec....ontent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec....tent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.../MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m...uctl.CAB?37984.3262037037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macrome...ve/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.co...an/1,5,0,4342/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{588C3EE9-8B7C-4B25-B2A2-27196F4104B6}: NameServer = 195.121.1.34 195.121.1.66
_________________
oeps alweer een verkeerde toets...
Ik quotte Miki, niet jou.
Dat er net een nieuwe variant is, wist ik al, gezien de update van zojuist.