Toon posts:

[IE] Vreemde startpagina, HiJackThis gedaan.

Pagina: 1
Acties:
  • 126 views sinds 30-01-2008
  • Reageer

zaterdag 1 mei 2004 13:34

Acties:
  • Fire_Bird
  • Registratie: September 2001
  • Laatst online: 29-11 08:01

Fire_Bird

Topicstarter
Zal eerst maar eens zeggen dat ik Ad-Aware en Spybot al heb gedraait met laatste updates.
Ik heb vannacht gewerkt, zet nu net mn pc aan en krijg zodra ik explorer open een of andere Search For... pagina in IE?
Zal wel weer iemand hebben zitten kloten met mn pc..
Heb dus AdAware, Hijackthis en Spybot gedraait, vonden wel wat, maar het is er niet uit..
Dit krijg ik dus als ik gewoon IE open, mn startpagina staat gewoon op about:blank zoals altijd...
Iemand die dit kent / hoe krijg ik dit in godsnaam weg?
Dit dus:
Afbeeldingslocatie: http://firebird.valcato.net/ie.jpg

De Hijack log:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56

Logfile of HijackThis v1.97.7
Scan saved at 13:27:53, on 1-5-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\sstray.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Documents and Settings\Fire Bird\Local Settings\Temp\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\bmoh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\bmoh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\bmoh.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\bmoh.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\bmoh.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\bmoh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O1 - Hosts: 127.0.0.0 localhost
O2 - BHO: (no name) - {034EACF9-0C3D-4A1D-A2D6-DA8741E5BF9F} - C:\WINDOWS\System32\bmoh.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {37802401-C7E2-11D7-8582-0048548470B6} (VRCLoader) - http://www.videoraver.com/vrcloader.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37950.6050347222
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Zit zelf te twijfelen over die eerste paar regels, maar heb ze es weg gehaald met Hijack, en kwamen terug...

zaterdag 1 mei 2004 13:42

Acties:

Verwijderd

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\bmoh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\bmoh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\bmoh.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\bmoh.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\bmoh.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\bmoh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {034EACF9-0C3D-4A1D-A2D6-DA8741E5BF9F} - C:\WINDOWS\System32\bmoh.dll

O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
kunnen moeten weg
sysupd.exe kun je mogelijk alleen in safemode weghalen

[ Voor 5% gewijzigd door Verwijderd op 01-05-2004 13:43 ]

zaterdag 1 mei 2004 13:43

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

code:
1

O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe


Deze is verdacht. Zou je me die file eens willen mailen (adres in sig en profile)? :)

Die BMOH.DLL wil ik eigenlijk ook wel graag hebben.

[ Voor 16% gewijzigd door wildhagen op 01-05-2004 13:44 ]

Virussen? Scan ze hier!

zaterdag 1 mei 2004 13:49

Acties:

Verwijderd

och verdacht, zeg maar gewoon schuldig; 't is een Trojan

klik

zaterdag 1 mei 2004 13:49

Acties:
  • Fire_Bird
  • Registratie: September 2001
  • Laatst online: 29-11 08:01

Fire_Bird

Topicstarter
Verwijderd schreef op 01 mei 2004 @ 13:42:
[...]


kunnen moeten weg
sysupd.exe kun je mogelijk alleen in safemode weghalen

[ Voor 34% gewijzigd door Fire_Bird op 01-05-2004 13:57 ]

zaterdag 1 mei 2004 13:57

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

code:
1

O2 - BHO: (no name) - {034EACF9-0C3D-4A1D-A2D6-DA8741E5BF9F} - C:\WINDOWS\System32\bmoh.dll
Hmmz, hier kan ik niks op vinden bij Google
code:
1

O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
TSCash, zie ook http://pestpatrol.com/PestInfo/t/tscash.asp
code:
1

O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe
Deze kan volgens mij weg.

Signature

zaterdag 1 mei 2004 14:11

Acties:
  • Fire_Bird
  • Registratie: September 2001
  • Laatst online: 29-11 08:01

Fire_Bird

Topicstarter
Al die dingen eruit geflikkerd
maar die eerste paar komen telkens terug :s
ik zit zelf te twijfelen aan die iolp.dll in de system map..:?

zaterdag 1 mei 2004 15:27

Acties:
  • Fire_Bird
  • Registratie: September 2001
  • Laatst online: 29-11 08:01

Fire_Bird

Topicstarter
Nogsteeds aan het kloten ermee, maar die eerste regels komen telkens weer erin :?

code:
1
2
3
4
5
6
7

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\bmoh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\bmoh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\bmoh.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\bmoh.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\bmoh.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\bmoh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

[ Voor 84% gewijzigd door Fire_Bird op 01-05-2004 15:27 ]

zondag 2 mei 2004 00:04

Acties:

Verwijderd

Ik heb hetzelfde probleem, alleen krijg ik het volgende via HijackThis te zien.


Logfile of HijackThis v1.97.7
Scan saved at 0:02:51, on 2-5-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Software\Nero\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton\Ghost\GhostStartTrayApp.exe
C:\Program Files\Browser mouse\1.3\mouse32a.exe
C:\Program Files\Software\Nero\InCD\InCD.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\SYSTEM32\USRshutA.exe
C:\Program Files\Norton\Firewall\NISUM.EXE
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\Program Files\Medionkeyboard\1.3\KbdAp32A.exe
C:\Program Files\Norton\Firewall\ccPxySvc.exe
C:\PROGRA~1\Norton\Ghost\GHOSTS~2.EXE
C:\Program Files\Norton\Antivirus\navapsvc.exe
C:\Program Files\Software\Winzip\WZQKPICK.EXE
C:\Program Files\Norton\Antivirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Software\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hemlp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hemlp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hemlp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hemlp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hemlp.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hemlp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www2.telegraaf.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Software\Acrobat\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {9CFAB35F-F28C-482E-8E12-305AD348C951} - C:\WINDOWS\System32\hemlp.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton\Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton\Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [USRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\Norton\ANTIVI~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton\Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Program Files\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Program Files\Medionkeyboard\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Software\Nero\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\Software\Winzip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec....ontent/vc/bin/AvSniff.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec....tent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab

zondag 2 mei 2004 01:04

Acties:
  • BoGhi
  • Registratie: Juli 2002
  • Laatst online: 21-09 10:42

BoGhi

Fire_Bird schreef op 01 mei 2004 @ 15:27:
Nogsteeds aan het kloten ermee,
.. eruit geflikkerd
Jammer dat het nog niet opgelost is, maar deze krachttermen lossen in ieder geval niks voor je op..
Je zou es kunnen kijken wat voor versie van RUNDLL32.EXE je hebt draaien, weliswaar is dat de naam van een standaard Windows onderdeel, maar er zijn trojans die die naam ook misbruiken. Kijk bv. es bij http://www.spywareinfo.com/~merijn/winfiles.html of dat klopt.
En check gelijk of er onverwacht poorten openstaan naar buiten toe, dat zou ook aanwijzingen kunnen geven.

Programmers don't die. They GOSUB without RETURN

zondag 2 mei 2004 10:45

Acties:

Verwijderd

IK heb al de in dit topic en ook in andere topics aangegeven mogelijk oplossingen geprobeert de reg key en de uninstallers gedownload en gebruikt, het probleem lijkt opgelost maar zodra je IE afsluit en weer een nieuw venster opent komt die #@%^& I search startpagina onde de naam about:blank weer zuruck erg irri ze zouden de uitvinder van zoiets levenslang moeten geven :-)

Ik ben eruit, het bestandje C:\WINDOWS\System32\candmo.dll was bij mij de boosdoener in dit *dll bestandje zit de irritante I search pagina verwerkt zodra je deze verwijdert heb is het probleem verholpen.

Voor de zekerheid heb ik een nep file met deze naam als read only teruggeplaatst.

[ Voor 29% gewijzigd door Verwijderd op 02-05-2004 11:44 . Reden: Oplossing gevonden. ]

zondag 2 mei 2004 17:42

Acties:

Verwijderd

Helaas het ging enkele uren goed totdat er een andere gebruiker zich aanmelde op deze PC toen was het weer terug nu onder een andere naam het heette nu C:\WINDOWS\System32\ecoj.dll ik vermoed dat het via een of andere site gelanceerd word.

Logfile of HijackThis v1.97.7
Scan saved at 11:21:16, on 2-5-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Windows Media Bonus Pack for Windows XP\PowerToys\mpxptray.exe
C:\DOCUME~1\Marco\LOCALS~1\Temp\{A4C03080-65E3-40C4-8CBF-13C3D7E0DC6E}\MyComputer.exe
C:\DOCUME~1\Marco\LOCALS~1\Temp\{DA1500DD-7EF3-4995-BFB7-153459552847}\elegantclock.exe
C:\DOCUME~1\Marco\LOCALS~1\Temp\{DD1F52E2-61A8-4547-ADFC-93A754FB9E4F}\recycle bin.exe
C:\DOCUME~1\Marco\LOCALS~1\Temp\{5D7C99B0-1CCF-45DF-933D-87D4AD1917B7}\wheather2.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\System32\mstsc.exe
Z:\Software\tools\Hijackthis.exe
D:\Settings\Marco\MyIE2\MyIE.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\MSN Messenger\msnmsgr.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\candmo.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\candmo.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\candmo.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\candmo.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\candmo.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.havelaar.be
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/...ir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/nl/srchasst/srchcust.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\candmo.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.havelaar.be
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\WS_FTP Pro\wsbho2K0.dll
O2 - BHO: (no name) - {87FBC2B1-7597-4E82-B4E2-BE245BFD87BB} - C:\WINDOWS\System32\candmo.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\nl\msntb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [NvMixerTray] C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: elegantclock.exe
O4 - Startup: MyComputer.exe
O4 - Startup: recycle bin.exe
O4 - Startup: wheather2.exe
O4 - Global Startup: mpxptray.exe.lnk = C:\Program Files\Windows Media Bonus Pack for Windows XP\PowerToys\mpxptray.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Toevoegen aan ReclameBlokker - D:\Settings\Marco\MyIE2\config/blacklist.htm
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Onderzoek (HKLM)
O9 - Extra button: Onderzoekscentrum (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m...uctl.CAB?38069.6762037037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab

[ Voor 94% gewijzigd door Verwijderd op 02-05-2004 18:39 . Reden: Logfile geplaatst ]

zondag 2 mei 2004 17:44

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

silures: zou je jouw HjackThis-log dan ook kunnen posten? Er zal ongetwijfeld een proces draaien dat dit veroorzaakt....

Virussen? Scan ze hier!

zondag 2 mei 2004 18:47

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

code:
1
2

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\candmo.dll/sp.html (obfuscated)
O2 - BHO: (no name) - {87FBC2B1-7597-4E82-B4E2-BE245BFD87BB} - C:\WINDOWS\System32\candmo.dll
Zou je mij die candmo.dll eens willen mailen? Ik kan er niets over vinden op google. Emailadres staat in signature.
Overigens, weet je wat
code:
1
2
3
4

O4 - Startup: elegantclock.exe
O4 - Startup: MyComputer.exe
O4 - Startup: recycle bin.exe
O4 - Startup: wheather2.exe
daar doen? Misschien is het ook wel handig als je mij daar een sample van stuurt. :)

Signature

zondag 2 mei 2004 18:50

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Ik wil de door PastaPappie.net genoemde files ook graag hebben (adres in profile en sig).

Verder deze:

code:
1

C:\WINDOWS\System32\msiexec.exe


Is op zich oke, maar ben je iets aan het installeren ofzo, want normaal gesproken hoor je die niet te zien.

En ik neem aan dat je je bewust bent dat je IIS draait? (inetinfo.exe). Ik neem aan dat die volledige gepatched is?

Virussen? Scan ze hier!

maandag 3 mei 2004 09:14

Acties:

Verwijderd

Helaas ik heb het bewuste candmo.dll bestandje verwijdert het kwam vervolgens terug als ecoj.dll vervolgens kwam het nogmaals terug als bdjlm.dll.

Ik heb met het programma regcleaner de .dll bestanden verwijdert en vervolgens de verwijzingen weggehaald met Hijackthis.

In eerste instantie bleef het terugkomen na een reboot totdat ik deze acties bij alle accounts uitgevoerd had, ik zag dat een van mijn familieleden een of andere game genaamd "free tetris" onlangs geinstaleerd had op dezelfde datum als wanneer het cadmo.dll gemaakt zou zijn het kan toeval zijn maar het kan goed daarmee meegekomen zijn.

Mocht het terugkomen dan krijgen jullie een kopieetje van het betreffende .dll bestand ik heb ze met kladblok geopend en hierin staan wat regels welke voor een leek abacadabra zijn gevolgd door de html van die I-search pagina, die html kon je gewoon wijzigen of verwijderen dat herstelde zich niet.


De onder vermelde verwijzingen zijn zogenaamde programmaatjes die als desktop items fungeren, zelf gecreeerde files die hebben er niets mee van doen.

O4 - Startup: elegantclock.exe
O4 - Startup: MyComputer.exe
O4 - Startup: recycle bin.exe
O4 - Startup: wheather2.exe

Ik draai idd. bewust ISS aangezien ik zelf als webserver draait, en uiteraard alle patches geinstalled.

Wat betreft de verwijzing C:\WINDOWS\System32\msiexec.exe deze was mij nog niet opgevallen daar zal ik vanavond als ik thuis ben eens naar kijken hoe dat zit.

Hartelijk dank voor de reacties.

maandag 3 mei 2004 09:39

Acties:
  • stevenP
  • Registratie: December 2003
  • Laatst online: 06:53

stevenP

draai eens bho-demon

Gasloos! 3100Wp Z, 2150Wp W, Panasonic 5J monoblock, Panasonic 150L WPB

maandag 3 mei 2004 16:41

Acties:

Verwijderd

Helaas hebben al mijn acties niet geholpen en is de I-search pagina wederom teruggekeerd ditmaal onder de naam kgh.dll en voor geintreseerder is het middels deze link te bemachtigen.

http://members.rott.chello.nl/m.havelaar/kgh.rar

hier wederom een stukje uit de Hijackthis logfile,

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kgh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kgh.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kgh.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kgh.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kgh.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kgh.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.havelaar.be
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\WS_FTP Pro\wsbho2K0.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C6036CDC-9638-4A87-AE9A-B93D171407CE} - C:\WINDOWS\System32\kgh.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\nl\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

maandag 3 mei 2004 16:56

Acties:
  • Miki
  • Registratie: November 2001
  • Laatst online: 12:09

Miki

Met alle dank aan Kaspersky en Jotti (http://virusscan.jotti.dhs.org/)

Resultaat van kgh.rar:

File: kgh.rar
Status: INFECTED

Norman Virus Control No viruses found
F-Prot Antivirus No viruses found
F-Secure Anti-Virus No viruses found
ClamAV No viruses found
Kaspersky Anti-Virus Trojan.Win32.StartPage.gv
McAfee VirusScan No viruses found
177 files have been uploaded & scanned since 13/04/2004
82 of those contained a virus or any other form of malware
Last piece of malware found was Trojan.Win32.StartPage.gv
This page has been visited 606 times

maandag 3 mei 2004 17:34

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

avast! herkende hem niet, ik heb em naar ze gesubmit. :)

Signature

maandag 3 mei 2004 19:23

Acties:

Verwijderd

mm deze heb ik volgens mij ook gehad,had er een topic voor geopendt maar die werdt gesloten :(

Volgens mij moet dit m doen;

Download en run http://www.master-search.com/remove.exe
Verwijder dan c:\windows\start.chm en c:\windows\start.html (in hjiack this)


(of niet :P maar in deze hoek moet je t zoeken B) )

ik zie dat de link dood is, dan ken ik je ook nie helpen verder :+

[ Voor 11% gewijzigd door Verwijderd op 03-05-2004 19:24 ]

maandag 3 mei 2004 21:08

Acties:
  • Larshil482
  • Registratie: November 2002
  • Laatst online: 28-11 14:03

Larshil482

Ik had ook last van deze startpagina, met de volgende link heb ik het weg gekregen:

http://www.nd.edu/~gweaver/DL/SpySweeper/ssfsetup347.exe
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq