Port? Virus? weet het niet meer... - Privacy en beveiliging

dinsdag 16 maart 2004 14:32

Acties:

Verwijderd

Topicstarter

Beste mensen,

Ik heb een aantal programma's op m'n pc die internet gebruiken:
DC++
MSN
Outlook Express
Internet explorer
games
etc.

Nu heb ik de laaste dagen last van het volgende probleem:
Dan kan ik opeens geen mails meer ontvangen/versturen, of niet meer op internet,
of niets meer downloaden via DC++... Allemaal leuk van elkaar afgewisseld, of opeens allemaal tegelijk...
Ik heb al verschillende dingen geprobeert, zoals netlimiter uitzetten of niet gebruiken.
Heb Google en de search hier ook gebruikt, maar daar kan ik mijn probleem ook niet vinden en al helemaal de oplossing niet...
Ik heb ook al bij taskmanager gekeken of daar iets raars in staat, ik zie niets... jullie?
Afbeeldingslocatie: http://home.planet.nl/~dekk1178/Img/prob.JPG

Afbeeldingslocatie: http://home.planet.nl/~dekk1178/Img/prob.JPG

voor mijn specs klik [url=http://www.tweakers.net/gallery/55078/sys]
Het gekke is dat als ik reboot ik dan vaak wel weer verbinding heb en dat kan een tijdje duren en dan nokt ie er weer mee... soms als ik norton internet laat blokeren en dan weer toelaat dan doet ie het ook weer opeens...

Verder zit mijn verbinding als volgt in elkaar:

ADSL---->Modem---->Server---->Switch---->Mijn PC

Switch (zelfde als hier boven) ---->2 andere PC's

Van de andere mensen (van de andere PC's)heb ik nog niet gehoord dat ze het zelfde probleem hebben dus ik ga er vanuit dat dat niet het geval is...

On-line virus scanner van Norton heeft ook niets gegeven...

[ Voor 19% gewijzigd door Verwijderd op 16-03-2004 15:51 ]

dinsdag 16 maart 2004 15:41

Acties:

Hooglander1

Zot intellegent

Heb je Spybot al geprobeerd? En misschien is het een idee om te achterhalen wat je de laatste tijd aan updates hebt ge-installeerd, misschien kan je het daar vinden.
Dat plaatje laad niet, omdat je de code net niet hebt afgemaakt.

Lid van de Tweakers Kenwood TTM-312 club.

dinsdag 16 maart 2004 15:53

Acties:

Verwijderd

die netlimiter gebruikt nogal een slok geheugen, zou daar een probleem mee kunnen zijn?

dinsdag 16 maart 2004 15:56

Acties:

Verwijderd

Een online scan met dezelfde engine heeft natuurlijk in de meeste gevallen erg weinig tot geen nut.

iexplore.exe + rundll32.exe @ taskmanager = grote kans @ ad/spyware.
Kan best weer eens zo'n rotte dll zijn.

Post eens je HijackThis log.(tussen [code] tags svp)

dinsdag 16 maart 2004 17:08

Acties:

Verwijderd

Topicstarter

code:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Motherboard Monitor 5\MBM5.EXE
C:\WINDOWS\System32\TrayIcon.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\NetLimiter\NetLimiter.exe
E:\progs\statbar\StatBar.exe
C:\Program Files\Outlook Express\msimn.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\iTunes\iTunes.exe
C:\Program Files\DC++\DCPlusPlus.exe
C:\Program Files\LIUtilities\WinTasks\wintasks.exe
C:\WINDOWS\System32\rsvp.exe
C:\Program Files\GordianKnot\robot4rip.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
D:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wutschke.tk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Program Files\E2G\IeBHOs.dll
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_10.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar_nl_2.0.108-big.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar_nl_2.0.108-big.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [hpppta] C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hpppta.exe /ICON
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINDOWS\System32\TrayIcon.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Trickler] "c:\documents and settings\ik\local settings\temp\~vis0000\fsg_4104.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\newdotnet6_10.dll,NewDotNetStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [WinTasks Traybar] C:\Program Files\LIUtilities\WinTasks\wintasks.exe traybar
O4 - HKCU\..\Run: [StatBar] E:\progs\statbar\StatBar.exe
O4 - HKCU\..\Run: [WrCtrl] "C:\Program Files\WinRoute Pro\wrctrl.exe"
O4 - Startup: DC++.lnk = C:\Program Files\DC++\DCPlusPlus.exe
O4 - Startup: Outlook Express.lnk = C:\Program Files\Outlook Express\msimn.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar_nl_2.0.108-big.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\windows\downloaded program files\GoogleToolbar_nl_2.0.108-big.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\windows\downloaded program files\GoogleToolbar_nl_2.0.108-big.dll/cmcache.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\windows\downloaded program files\GoogleToolbar_nl_2.0.108-big.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://download.online-dialer.com/cax.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/nl/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37897.0741319444
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E9041F85-3C18-4A7E-A29D-E24F84B79BF1} - http://64.7.220.98/downloads/UGO20.exe

weet je zeker dat je het zo wilt?

[ Voor 179% gewijzigd door Verwijderd op 16-03-2004 17:23 . Reden: in code gezet... ]

dinsdag 16 maart 2004 17:31

Acties:

Verwijderd

Ja dat weet ik zeker.

Heb je die newdotnet meuk er expres opgegooid?

code:

1	O16 - DPF: {E9041F85-3C18-4A7E-A29D-E24F84B79BF1} - http://64.7.220.98/downloads/UGO20.exe

UGO20.exe Infected TrojanDownloader.Win32.Small.fe

code:

1	O2 - BHO: (no name) - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Program Files\E2G\IeBHOs.dll

Ik heb zo'n vermoeden dat die daarbij hoort.

Die mag dus ook weg

code:

1	O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://download.online-dialer.com/cax.cab

Die ziet er ook niet echt fris uit eigenlijk.

code:

1
2

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\newdotnet6_10.dll,NewDotNetStartup
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_10.dll

Newdotnet meuk, wegmikken als je het er niet express op hebt gezet.

dinsdag 16 maart 2004 17:50

Acties:

Verwijderd

Topicstarter

Yeah... leuk... nu start m'n pc niet meer op... na dat ik die heb weg gehaald... misschien niet meer blind vertrouwen op mede tweakers en toch een herstel punt aan maken... Heeft iemand nog tips om dit op te lossen?

dinsdag 16 maart 2004 17:58

Acties:

Verwijderd

Check google maar..
Ik kan zo 1,2,3 toch echt niemand vinden die na verwijderen van hetgene wat ik aanwees zijn bak niet meer opgestart kreeg.

Define niet opstarten eens.

dinsdag 16 maart 2004 18:08

Acties:

tommie-boy

Dat new.net gebeuren kan nog wel eens te maken hebben met hp software (met name de nieuwere all-in-one producten van hp hebben die software nodig. Don't ask me why

(Hoewel ik niet weet in hoeverre deze tweaker die software gebruikt

)

[ Voor 20% gewijzigd door tommie-boy op 16-03-2004 18:10 ]

Humor moet je serieus nemen

dinsdag 16 maart 2004 18:17

Acties:

Verwijderd

Hmm...over new.net(Ik geloof niet dat new.net bij HP software zit..het is gewoonweg ad/spyware)
Apart, sommige links hebben het gewoon over removal via HT maar andere zeggen dat je dit veel beter op andere manier kunt doen omdat je anders eventueel je internetverbinding kan kwijtraken..

Removal zoals voorgeschreven door New.net zelf: http://www.viendez.com/forum.asp?Article=302

Maar zolang we niet weten wat je precies bedoelt met 'start niet meer op', kunnen we veel speculeren, maar dat heeft weinig tot geen nut, dus meer info wordt op prijs gesteld.

dinsdag 16 maart 2004 18:21

Acties:

Verwijderd

-> Beveiliging & Virussen

dinsdag 16 maart 2004 18:33

Acties:

Mike Jarod

Kleine aanvulling op Schouw's lijstje:

code:

1	O4 - HKLM\..\Run: [Trickler] "c:\documents and settings\ik\local settings\temp\~vis0000\fsg_4104.exe"

Spyware dat bij Imesh hoort, bron

BTW dit is ook mijn eerste keer dat ik meemaak dat een systeem niet meer boot na een dergelijke handeling. Ik zou precies dezelfde handelingen aangeraden hebben als Schouw.

dinsdag 16 maart 2004 18:50

Acties:

BoGhi

Heb je inderdaad misschien een HP bak? Bij de standaard-installatie zoals je 'm koopt 'hoort' inderdaad (vaak?) spyware

, ik ken zelf BackWeb (kijk hier: http://www.hp.com/hpinfo/newsroom/press/12oct01a.htm), . Misschien dat zo'n HP dan na 'verwijderen' niet meer wil starten. Overigens, krijg je geen foutmelding ofzo (zie eerdere vraag)?

Programmers don't die. They GOSUB without RETURN

dinsdag 16 maart 2004 18:52

Acties:

Verwijderd

Topicstarter

Ik heb nu gewoon lekker een verse win instal gedaan... ben ik eindelijk van alle zooi tegelijk af..

maar bedankt mensen!

dinsdag 16 maart 2004 18:54

Acties:

Verwijderd

Hmm...jammer van de ene kant, goed van de andere kant.

Maar ik zou evengoed nog graag willen weten wat je bedoelt met 'hij boot niet meer'.
Verlicht ons aub.

dinsdag 16 maart 2004 20:48

Acties:

WimB

Verwijderd schreef op 16 maart 2004 @ 18:52:
Ik heb nu gewoon lekker een verse win instal gedaan... ben ik eindelijk van alle zooi tegelijk af.. maar bedankt mensen!

Probeer vanaf nu spyware te vermijden. Anders kan je binnen enkele maanden weer formatteren. Overweeg best om over te schakelen naar een niet-IE browser.

dinsdag 16 maart 2004 22:55

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 16 maart 2004 @ 18:54:
Hmm...jammer van de ene kant, goed van de andere kant.

Maar ik zou evengoed nog graag willen weten wat je bedoelt met 'hij boot niet meer'.
Verlicht ons aub.

Nou hij starte gewoon niet meer op... in de zin van dat hij bleef hangen bij windows opstarten...
maar ik zit nu dus op m'n verse systeem...

WimB schreef op 16 maart 2004 @ 20:48:
[...]

Probeer vanaf nu spyware te vermijden. Anders kan je binnen enkele maanden weer formatteren. Overweeg best om over te schakelen naar een niet-IE browser.

Meestal ben ik ook vrij voorzichtig er mee... maar na 2 jaar lekker draaien gaat het toch een keer langs slippen...

Mike Jarod schreef op 16 maart 2004 @ 18:33:
Kleine aanvulling op Schouw's lijstje:
Spyware dat bij Imesh hoort, bron

BTW dit is ook mijn eerste keer dat ik meemaak dat een systeem niet meer boot na een dergelijke handeling. Ik zou precies dezelfde handelingen aangeraden hebben als Schouw.

Ik neem jullie ook niets kwalijk hoor....
Dit is toch op dit moment ook weer is lekker... na een tijdje weet je gewoon niet meer wat er allemaal opstaat en of je die shit ooit nog gaat gebruiken...

[ Voor 73% gewijzigd door Verwijderd op 16-03-2004 22:57 . Reden: code weggehaald... anders zo groot :) ]