Toon posts:

Spam rechtreeks op beeld

Pagina: 1
Acties:

maandag 15 maart 2004 18:59

Acties:
  • Piet Marisael
  • Registratie: Juni 1999
  • Laatst online: 15-05-2023

Piet Marisael

Topicstarter
Na een dag van verschillende virusscanners uitproberen om Bagle-N te verwijderen ben ik blijven zitten met een reclame schermpje dat geheel automatisch opstart bij het opstarten van de computer.
Het gaat over "Get a free horoscope" wat als URL heeft:
http://is.casalemedia.com...ndex.html?s=51513&c=37611

Als ik zoek op casalemedia dan kan ik nergens iets vinden op mijn computer of in het register.

Waar komt het nu vandaan en hoe raak ik er van verlost?

maandag 15 maart 2004 19:00

Acties:
  • pven
  • Registratie: Oktober 1999
  • Niet online

pven

Heb je AdAware al geprobeerd?

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

maandag 15 maart 2004 19:00

Acties:
  • Hahn
  • Registratie: Augustus 2001
  • Laatst online: 01-12 22:43

Hahn

Zal gewoon wat spyware/adware zijn: [rml][ Howto] Spyware scannen en opruimen[/rml] :)

The devil is in the details.

maandag 15 maart 2004 19:01

Acties:
  • Mike Jarod
  • Registratie: Januari 2002
  • Niet online

Mike Jarod

al gezegd, maar heb toch lekker op verzenden gedrukt :P

Is het een windows popup (zoals de ja/nee/annuleren vensters)? Zo ja messenger service uitzetten, of een firewall gebruiken.

Is het een Internet Explorer popup? Dan heb je vermoedelijk last van spyware.

maandag 15 maart 2004 19:01

Acties:
  • Piet Marisael
  • Registratie: Juni 1999
  • Laatst online: 15-05-2023

Piet Marisael

Topicstarter
Ad-Aware ziet niks en SpyBot-Search kan ook niks vinden.
Beide programma's zijn zojuist nog ge-update.

maandag 15 maart 2004 19:03

Acties:
  • Mike Jarod
  • Registratie: Januari 2002
  • Niet online

Mike Jarod

Kijk dan even met HijackThis of je gekke dingen vindt.

maandag 15 maart 2004 19:08

Acties:
  • Piet Marisael
  • Registratie: Juni 1999
  • Laatst online: 15-05-2023

Piet Marisael

Topicstarter
Mike Jarod schreef op 15 maart 2004 @ 19:03:
Kijk dan even met HijackThis of je gekke dingen vindt.
waar vind ik dat?

maandag 15 maart 2004 19:09

Acties:
  • Paul
  • Registratie: September 2000
  • Laatst online: 12:52

Paul

Is Bagle-N nu wel weg? Dan is die popup iets anders :P
Google zoeken naar: bagle removal tool == (o.a.) *klik*

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

maandag 15 maart 2004 19:09

Acties:
  • Mike Jarod
  • Registratie: Januari 2002
  • Niet online

Mike Jarod

Even zoeken op Google ;)

Maar om het simpel te houden: http://www.spywareinfo.com/~merijn/files/HijackThis.exe

maandag 15 maart 2004 19:13

Acties:
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Piet Marisael schreef op 15 maart 2004 @ 19:08:
waar vind ik dat?
---> [rml][ Howto] Spyware scannen en opruimen[/rml] <---
Of inderdaad Google :P

Geef trouwens hoe dan ook meer info, zoals welk OS je hebt :)

Maar hoe dan ook SA --> Beveiliging & Virussen :)

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 15 maart 2004 19:19

Acties:
  • Piet Marisael
  • Registratie: Juni 1999
  • Laatst online: 15-05-2023

Piet Marisael

Topicstarter
Het is een IE-Pop-Up.
Ja zover ik weet is nu Bagle-N weg, nog steeds niks gezien wat er op duid dat het nog aanwezig is.
Opmerkelijk is wel dat Norton niks heeft gezien toen het binnen kwam.
Ik ga eens kijken bij de gegeven links, mijn dank daarvoor.

maandag 15 maart 2004 19:31

Acties:
  • Piet Marisael
  • Registratie: Juni 1999
  • Laatst online: 15-05-2023

Piet Marisael

Topicstarter
In de directorie Windows stond een exe bestandje op datum van gisteren.
Het was iets van v293u746.exe, of zoiets.
Na 3 keer aanklikken verscheen ook 3 keer die pop-up
ik heb het bestandje maar gelijk onschadelijk gemaakt in een txt.
Als het nu over is dan weet ik dat dit de boosdoener was en kan ik het ook gelijk deleten.
HijackThis zag het te staan.
Is het een belangrijk bestandje van een ander programma, dan zal ik heus wel ergens een melding krijgen.

maandag 15 maart 2004 19:36

Acties:

Verwijderd

Kun je die file eens mailen aub?
Zie sig voor mail.

Het is trouwens evengoed verstandig je HT log hier te posten, het kan goed zijn dat je wat gemist hebt.

maandag 15 maart 2004 19:39

Acties:
  • Piet Marisael
  • Registratie: Juni 1999
  • Laatst online: 15-05-2023

Piet Marisael

Topicstarter
Ik heb het ge-renamed naar zzzzz.txt :)
Waar kan ik de mail naar toe sturen?

De HT-LOG:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75

Logfile of HijackThis v1.97.7
Scan saved at 19:42:13, on 15-3-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
C:\Program Files\Common Files\InterVideo\FastTVSync\FastTVSync.exe
C:\WINDOWS\uj59va33.exe
C:\windows\system32\sncntr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\InterVideo\WinDVD4PR\SchSvr.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\mailwasher\MailWasher.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
C:\WINDOWS\uj59va33.exe
C:\WINDOWS\uj59va33.exe
C:\WINDOWS\uj59va33.exe
C:\WINDOWS\uj59va33.exe
C:\WINDOWS\uj59va33.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Internet Explorer\iexplore.exe
F:\rarzip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nedstatbasic.net/s?tab=1&link=1&id=787732
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {3C66B42F-D82B-42D0-9112-EDF788346DE1} - C:\WINDOWS\jZ3WWd.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SpamRemover] C:\Program Files\ProductsFoundry\SpamRemover\spamremover.exe
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [DXDllRegExe] C:\WINDOWS\RegisteredPackages\{44BBA855-CC51-11CF-AAFA-00AA00B6015C}\dxdllreg.exe
O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FastTVSync] "C:\Program Files\Common Files\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [farstone] NULL
O4 - HKLM\..\Run: [sncntr] c:\windows\system32\sncntr.exe /nocomm
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: MailWasher.lnk = C:\mailwasher\MailWasher.exe
O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Program Files\InterVideo\WinDVD4PR\SchSvr.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

[ Voor 99% gewijzigd door Piet Marisael op 15-03-2004 19:44 ]

maandag 15 maart 2004 19:43

Acties:

Verwijderd

Zoals vermeld in m'n sig: Afbeeldingslocatie: http://gathering.tweakers.net/forum/user_email_gfx/48808/DBDBDB/000000/1 :)

maandag 15 maart 2004 20:00

Acties:

Verwijderd

C:\WINDOWS\uj59va33.exe

Je bedoelde deze file?(Diegene die je hebt gerenamed en gestuurd)
Zo niet: ook sturen aub.

C:\windows\system32\sncntr.exe

Zeker dat KAV up to date is?
Zo ja: die file aub ook sturen. Waarschijnlijk nieuwe dyfuca variant.

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
O2 - BHO: (no name) - {3C66B42F-D82B-42D0-9112-EDF788346DE1} - C:\WINDOWS\jZ3WWd.dll

Deze mogen iig al weg.

maandag 15 maart 2004 20:44

Acties:
  • Piet Marisael
  • Registratie: Juni 1999
  • Laatst online: 15-05-2023

Piet Marisael

Topicstarter
Verwijderd schreef op 15 maart 2004 @ 20:00:
C:\WINDOWS\uj59va33.exe

Je bedoelde deze file?(Diegene die je hebt gerenamed en gestuurd)
Zo niet: ook sturen aub.

C:\windows\system32\sncntr.exe

Zeker dat KAV up to date is?
Yep, die uj59va33.exe heb ik dus zojuist naar je gemaild als zzzz.txt
sncntr.exe vroeg ook al toegang tot internet, wat is dat?
Moet ik die ook sturen of deleten?
KAV draait niet meer op mijn systeem, was gisteren ge-updated en zag toen Bagle nog niet eens, net als Norton.
Dus aan zulke virusscanners heb ik dus niks.

Ik heb zojuist de genoemde punten aangevinkt in HT.
Was een uurtje weg geweest en had weer 13 keer die popup op het scherm staan.
NU even afwachten wat er gebeurd na dat ik dus die 3 met HT gedelete heb.

maandag 15 maart 2004 20:49

Acties:
  • Mike Jarod
  • Registratie: Januari 2002
  • Niet online

Mike Jarod

[google=sncntr.exe] geeft aan dat het een trojan is :)

edit: meer info: http://www.pestpatrol.com...nloader_win32_dluca_p.asp

[ Voor 51% gewijzigd door Mike Jarod op 15-03-2004 20:50 ]

maandag 15 maart 2004 20:56

Acties:
  • Piet Marisael
  • Registratie: Juni 1999
  • Laatst online: 15-05-2023

Piet Marisael

Topicstarter
Die Horoscope popup bestaat nog steeds :(

Heb nu viavia een andere virusscanner aan het proberen: Antivir.

eerste trojan is gedetecteerd: TR/Dyfuca.J

[ Voor 59% gewijzigd door Piet Marisael op 15-03-2004 20:59 ]

maandag 15 maart 2004 20:59

Acties:
  • Mike Jarod
  • Registratie: Januari 2002
  • Niet online

Mike Jarod

Heb even niet gekeken welke regels Schouw postte, maar dit is zo te zien allemaal troep:
code:
1
2
3
4
5
6
7

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {3C66B42F-D82B-42D0-9112-EDF788346DE1} - C:\WINDOWS\jZ3WWd.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O4 - HKLM\..\Run: [farstone] NULL
O4 - HKLM\..\Run: [sncntr] c:\windows\system32\sncntr.exe /nocomm


edit: is deze aanpassing in je HOSTS file opzettelijk gedaan? Zo nee -> weg.
code:
1

O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com

[ Voor 13% gewijzigd door Mike Jarod op 15-03-2004 21:00 ]

maandag 15 maart 2004 21:03

Acties:

Verwijderd

Piet Marisael schreef op 15 maart 2004 @ 20:44:
[...]

KAV draait niet meer op mijn systeem, was gisteren ge-updated en zag toen Bagle nog niet eens, net als Norton.
De update containing Bagle.n sig is van eergisteren...
Daarnaast was KAV top3-5 qua sig releasen.(En die ervoor waren allemaal binnen een half uur).
Tenzij je dat ding ultra-vroeg hebt gekregen, acht ik de kans onwaarschijnlijk dat een up to date KAV het ding niet detecteerde.
eerste trojan is gedetecteerd: TR/Dyfuca.J
Dat is duidelijk, of je KAV install was rot, of bepaald niet up to date.
Die wordt echt al láng gedetecteerd..

maandag 15 maart 2004 21:06

Acties:
  • Piet Marisael
  • Registratie: Juni 1999
  • Laatst online: 15-05-2023

Piet Marisael

Topicstarter
Je hebt tegenwoordig nogal wat aan software nodig om je systeem zuiver te houden.

Met KAV bedoel je natuurlijk die Kaspersky Antivirus.
Die was net van Internet gehaald inclusief nieuwe updates, en toch niet werken.
Is inmiddels alweer van het systeem gehaald.
Nu draait Antivir, te vinden op http://www.free-av.com/

[ Voor 64% gewijzigd door Piet Marisael op 15-03-2004 21:22 ]

maandag 15 maart 2004 22:00

Acties:
  • chromeeh
  • Registratie: Oktober 2001
  • Laatst online: 10:12

chromeeh

the Gnome

PestPatrol ook al eens geprobeerd?
Linkje naar de site, je kunt er een gratis scan doen, maar deze verwijderd niets (ff handmatig doen dus)

"Some day, I hope to find the nuggets on a chicken."

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq