Kan alleen surfen met http:// ervoor - Privacy en beveiliging

zondag 2 mei 2004 19:27

Acties:

Extreme Audio

Topicstarter

Na gehijacked te zijn door Smartsearch kan ik alleen nog maar surfen door http:// voor het adres in de adresbalk te tikken.

Door middel van Spybot & hijackthis heb ik geen last meer van de hijack, maar heb ik wel last gekregen van bovenstaande.

hier een log van hijackthis:

code:

Logfile of HijackThis v1.97.7
Scan saved at 19:25:14, on 2-5-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\EndInstall.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\twain_32\S6U12BX\WATCH.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
c:\oracle\ora817pe\bin\ORACLE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\de lange\Local Settings\Temporary Internet Files\Content.IE5\MDR8XSBA\HijackThis[1].exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [Xfire] Xfire.exe /minimize
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\EndInstall.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Program Files\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Program Files\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Office Opstarten.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Office Snelzoeken.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\S6U12BX\WATCH.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinstc.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20011217/qtinstall.info.apple.com/qt505/nl/win/QuickTimeInstaller.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://cam3.telecity-2.trueserver.nl/activex/AxisCamControl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38081.3770023148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{53A9E6FD-738D-4210-9DF1-52B01A240E40}: NameServer = 194.109.104.104 194.109.6.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{6209449C-069F-46B1-AA4F-F3B51D6BBE18}: NameServer = 194.159.73.135,194.159.73.136

Of moet ik het een andere richting op zoeken?

bvd

zondag 2 mei 2004 19:31

Acties:

wildhagen

Blablabla

Hmm, die HijackThis-log ziet er redelijk clean uit.

Het enige wat ik niet ken is dit:

code:

1	O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\EndInstall.exe

Zegt jou dat iets? Zo nee, zou je die file dan eens willen mailen (adres in profile en sig).

Verder zie ik geen verdachte zaken.

Als ik je een tip mag geven: haal de volgende entry dan weg:

code:

1	O4 - Global Startup: Microsoft Office Snelzoeken.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

Is weliswaar een normale legitieme applicatie, maar vertraagt je systeem behoorlijk...

Virussen? Scan ze hier!

zondag 2 mei 2004 19:33

Acties:

pasta

Ondertitel

* pasta is het met wildhagen eens.
Zou je mij die file ook willen mailen? Zie signature voor email-adres.

[ Voor 6% gewijzigd door pasta op 02-05-2004 19:33 ]

Signature

zondag 2 mei 2004 19:37

Acties:

Empathy

Extreme Audio

Topicstarter

Okay, de file is naar jullie gestuurd.
Maar niemand die verder weet waar ik dan wel zoeken moet?

zondag 2 mei 2004 19:41

Acties:

wildhagen

Blablabla

Hmm... die Endinstall.exe, lijkt wel iets van Hercules... heb je toevalig een device van Hercules in je PC (audio, video etc)?

Virussen? Scan ze hier!

zondag 2 mei 2004 19:43

Acties:

bonzz.netninja

Niente baffi

check je host file ff (system32/drivers

vuistdiep in het post-pc tijdperk van Steve  | Joepie joepie. Dat ging echt toppie! | https://www.dedigitaletuin.nl

zondag 2 mei 2004 19:43

Acties:

Empathy

Extreme Audio

Topicstarter

wildhagen schreef op 02 mei 2004 @ 19:41:
Hmm... die Endinstall.exe, lijkt wel iets van Hercules... heb je toevalig een device van Hercules in je PC (audio, video etc)?

Nee, maar m'n Terratec geluidskaart werkt wel met Hercules drivers

bonzz.netninja schreef op 02 mei 2004 @ 19:43:
check je host file ff (system32/drivers

Wat moet ik daar aan checken dan?

[ Voor 93% gewijzigd door Empathy op 02-05-2004 19:44 ]

zondag 2 mei 2004 20:18

Acties:

AW_Bos

Liefhebber van nostalgie... 🕰️

of er andere dingen in staan dan localhost 127.0.0.1

☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

zondag 2 mei 2004 20:59

Acties:

Empathy

Extreme Audio

Topicstarter

C:\WINDOWS\system32\drivers\etc\hosts

als het die file is (heb d'r niet zoveel verstand van), die is helemaal leeg...

zondag 2 mei 2004 21:03

Acties:

Freee!!

Trotse papa van Toon en Len!

Empathy schreef op 02 mei 2004 @ 20:59:
C:\WINDOWS\system32\drivers\etc\hosts

als het die file is (heb d'r niet zoveel verstand van), die is helemaal leeg...

Je hebt zo op het oog het goede bestand te pakken.
Daar zou minimaal één regel in moeten staan.

code:

1	127.0.0.1 localhost

The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long

GoT voor Behoud der Nederlandschen Taal [GvBdNT

zondag 2 mei 2004 21:16

Acties:

Empathy

Extreme Audio

Topicstarter

Ik heb het erin gezet en het systeem gereboot, maar 't maakt niets uit...

zondag 2 mei 2004 21:19

Acties:

pasta

Ondertitel

Let wel op dat je hosts zonder extensie moet hebben, niet hosts.sam

Signature

zondag 2 mei 2004 21:19

Acties:

Freee!!

Trotse papa van Toon en Len!

Empathy schreef op 02 mei 2004 @ 21:16:
Ik heb het erin gezet en het systeem gereboot, maar 't maakt niets uit...

Kijk dan eens of je dat bestand ook op andere plaatsen kunt vinden. Indien dat lukt, heb je mogelijk (waarschijnlijk) een probleem. Kijk ook eens of je backups ervan kunt vinden (hosts.bak bijvoorbeeld). Mogelijk dat daar nuttige info in staat.

The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long

GoT voor Behoud der Nederlandschen Taal [GvBdNT

zondag 2 mei 2004 21:29

Acties:

Freee!!

Trotse papa van Toon en Len!

Empathy schreef op 02 mei 2004 @ 21:27:
na m'n zoekactie op 'hosts' wordt het volgende gevonden:

- C:\Program Files\Spybot - Search & Destroy\Signatures\hosts.sbs.sig
- C:\Program Files\Spybot - Search & Destroy\Includes\hosts.sbs
- C:\WINDOWS\system32\drivers\etc\hosts
- C:\WINDOWS\system32\drivers\etc\lmhosts.sam

verder niets nuttigs..

Dat is duidelijk. "C:\WINDOWS\system32\drivers\etc\hosts" is de correcte en die zou niet leeg mogen zijn normaal gesproken.

The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long

GoT voor Behoud der Nederlandschen Taal [GvBdNT

zondag 2 mei 2004 21:30

Acties:

blizt

Wannabe-geek

Dat is die file ja, en da's vreemd ... bij mij ziet ie er zo uit nml. (op 2k):

code:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

127.0.0.1       localhost
127.0.0.1        *hierietsvanmezelf*

En op al m'n XP-installs heb ik dat ook zo gezien... en als ik me niet vergis op 2k3 ook...

edit:

Hm, eerst 'ns reloaden voor ik zelf post & het topic al een tijdje open staat in browser