Toon posts:

[Malware] mogelijke virussen, hijack-log

Pagina: 1
Acties:
  • 43 views sinds 30-01-2008

donderdag 6 mei 2004 13:47

Acties:
  • jeehaa
  • Registratie: Juli 2002
  • Laatst online: 01-12 13:19

jeehaa

Topicstarter
mijn huisgenootje zit nu bij zijn ouders. zijn internet is deels afgesloten door XS4all omdat vanuit zijn mail virussen zouden worden rond gestuurd.

zijn uptodate virusscanner van Mcafee vind niets en Stinger vind wel wat maar dat komt steeds terug.

stinger vond:
Scan initiated on Thu May 06 13:34:49 2004

C:\WINDOWS\system32\drivers\etc\hosts

Found the Qhosts.apd trojan !!!

C:\WINDOWS\system32\drivers\etc\hosts has been repaired.

Number of clean files: 70452

Number of files repaired: 1
hij heeft een hijack log gemaakt en aan mij verstuurd via msn:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89

Logfile of HijackThis v1.97.7
Scan saved at 13:36:50, on 6-5-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
C:\Program Files\Philips ToUcam Camera\VProperty.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\PROGRA~1\defyarmymix\1acid.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Iomega\AutoDisk\AD2KClient.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\SysAI\SysAI.exe
C:\Documents and Settings\Jos.REIJNDERS\Mijn documenten\Mijn ontvangen bestanden\stinger.exe
C:\Documents and Settings\Jos.REIJNDERS\Bureaublad\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {01C5BF6C-E699-4CD7-BEA1-786FA05C83AB} - C:\Program Files\SysAI\AproposPlugin.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {B84ACFD2-DD41-524F-B305-9B66CFE5A0AD} - C:\PROGRA~1\SIGNBA~1\2 Size.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll
O3 - Toolbar: roam store each - {85ED123E-0CAF-8C55-1F71-4E6E577097FB} - C:\PROGRA~1\SIGNBA~1\2 Size.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Program Files\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [ToUcamVProperty] C:\Program Files\Philips ToUcam Camera\VProperty.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [INTERNET LICENSE] C:\PROGRA~1\defyarmymix\1acid.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [scvhost.exe] scvhost.exe
O4 - HKLM\..\Run: [AutoLoaderssrY1aSlLMXP] "C:\WINDOWS\System32\ipmfg.exe" 
O4 - HKLM\..\Run: [sF8S3mP] C:\WINDOWS\System32\ipmfg.exe
O4 - HKLM\..\RunServices: [scvhost.exe] scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Iomega Active Disk] C:\Program Files\Iomega\AutoDisk\AD2KClient.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38053.6818287037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D3D83E08-54D1-4E9D-8EAF-9F979D139294} (MaxisSimCityScapeTeleX Control) - http://simcity.ea.com/scape/teleport/MaxisSimCityScapeTeleX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3BBBF8F3-35A0-4E45-B77F-31840E7634A6}: NameServer = 194.109.104.104 194.109.6.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD630B97-9C4A-4FF3-8FF0-F0A03C38D3E6}: NameServer = 194.109.6.66,194.109.9.99


ik zie hier weer die scvhost.exe, die klopt zowiezo niet.
wat kan er allemaal weg, en kan dat gewoon door aan te vinken?

                           

donderdag 6 mei 2004 13:53

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

code:
1
2
3
4

O4 - HKLM\..\Run: [scvhost.exe] scvhost.exe
O4 - HKLM\..\Run: [AutoLoaderssrY1aSlLMXP] "C:\WINDOWS\System32\ipmfg.exe" 
O4 - HKLM\..\Run: [sF8S3mP] C:\WINDOWS\System32\ipmfg.exe
O4 - HKLM\..\RunServices: [scvhost.exe] scvhost.exe


Deze 4 zijn niet helemaal lekker... haal ze eens door de Jotti-scan: http://virusscan.jotti.dhs.org/

[ Voor 4% gewijzigd door wildhagen op 06-05-2004 13:53 ]

Virussen? Scan ze hier!

donderdag 6 mei 2004 14:05

Acties:

Verwijderd

And more Ago.... :/
Die scvhost.exe is zeer waarschijnlijk een Ago, wat ook past bij de qhost trojan.
Deze variant(en) zijn ontzettend ITW.

Zijn de afgelopen paar dagen wat soortgelijke topics geweest, aan deze heb je waarschijnlijk het meeste:
[rml][ Malware] MS04-011 Backdoor/Bot[/rml]

Wat zoeken in het vervolg mag. :)

donderdag 6 mei 2004 14:08

Acties:

Verwijderd

code:
1
2

C:\PROGRA~1\defyarmymix\1acid.exe
O4 - HKLM\..\Run: [INTERNET LICENSE] C:\PROGRA~1\defyarmymix\1acid.exe

geen vermelding gevonden op Google

code:
1
2

O17 - HKLM\System\CCS\Services\Tcpip\..\{3BBBF8F3-35A0-4E45-B77F-31840E7634A6}: NameServer = 194.109.104.104 194.109.6.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD630B97-9C4A-4FF3-8FF0-F0A03C38D3E6}: NameServer = 194.109.6.66,194.109.9.99

lijkt er op dat er een ftp-server is geïnstaleerd

Verder de objecten die Wildhagen noemt

donderdag 6 mei 2004 14:10

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Verwijderd schreef op 06 mei 2004 @ 14:08:

code:
1
2

O17 - HKLM\System\CCS\Services\Tcpip\..\{3BBBF8F3-35A0-4E45-B77F-31840E7634A6}: NameServer = 194.109.104.104 194.109.6.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD630B97-9C4A-4FF3-8FF0-F0A03C38D3E6}: NameServer = 194.109.6.66,194.109.9.99

lijkt er op dat er een ftp-server is geïnstaleerd
Dat zijn de DNS-servers van XS4ALL ;)

Virussen? Scan ze hier!

donderdag 6 mei 2004 14:13

Acties:

Verwijderd

Weer wat geleerd :)

donderdag 6 mei 2004 14:31

Acties:
  • jeehaa
  • Registratie: Juli 2002
  • Laatst online: 01-12 13:19

jeehaa

Topicstarter
maar kan dat laatste nou weg?

                           

donderdag 6 mei 2004 15:10

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

jeehaa schreef op 06 mei 2004 @ 14:31:
maar kan dat laatste nou weg?
Die DNS-servers zou ik niet weggooien, anders word browsen wat lastig, zeg maar ;)

Die 4 items van mij kunnen weg, en die bovenste 2 van moosch ook wel denk ik :)

Virussen? Scan ze hier!

vrijdag 7 mei 2004 12:48

Acties:

Verwijderd

Hier het Hyuschgenootje van JeeHaa. Alles is weer terug bij het oude en kan gewoon weer gebruik maken van het internet.

Nog even over die Acid1.exe file waar moosch het over had.

Deze kan steeds een andere naam aannemen. In rooth directory c:\ stonden bij mij +/- 300 verschillende .exe files met waarschijnlijk uiteindelijk dezelfde functie; onderdeel of opstarten scvhost.exe.

Hopelijk kan ik nog binnekort IP adres geven van de conjo die hier de boel op stelten kwam zetten. Tot nu toe heb ik hem alleen maar kunnen traceren tot duitsland. Gewoon wachten tot ie het weer probeert. >:)

zondag 9 mei 2004 03:14

Acties:
  • sjobber
  • Registratie: April 2003
  • Laatst online: 06-05-2024

sjobber

gefrituurde kokkereltomaat

C:\WINDOWS\system32\winlogon.exe

hmmz, kreeg vandaag ineens zo'n *bliep* pop-upske van norton antivirus 2002 (jah kweet het, zooo 2002...) dat winlogon.exe een virus was.
nou niet meteen verwijderd, denk van eerst ff rondvragen bij andere mensen, maar deze bleken niet in het bezit te zijn van deze file...

nou vanavond had ik nog adaware zitten draaien... kom ik éénof ander dll-etje tegen dat te maken had met winlogon.exe... heb die zooi er dus maar afgekieperd.

Alles loopt nog wel gelukkig.

overigens die searchbars... nuttig 8)7 (ieder z'n mening he O-) )

Holy sh*t doesn't talk, but communicates by smell©

dinsdag 11 mei 2004 08:35

Acties:
  • Indigo
  • Registratie: Januari 2003
  • Laatst online: 27-11 14:54

Indigo

NEE, ik ben niet blauw!

Om maar niet meteen een heel nieuw topic te openen. Ik heb erg veel last van spyware. Spybot S&D, AdAware en NAV2004 krijgen net de laatste popups-progjes niet weg.

Misschiend dat iemand me kan helpen met deze hijackthis log:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80

Logfile of HijackThis v1.97.7
Scan saved at 8:33:42 AM, on 5/11/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
E:\Program Files\Gigabyte\EasyTune4\ET4Tray.exe
E:\Program Files\DU Meter\DUMeter.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
E:\Program Files\D-Tools\daemon.exe
C:\PROGRA~1\TIMEFI~1\SoftMags01.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
e:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
E:\Program Files\Norton AntiVirus\navapsvc.exe
E:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
E:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\XSIDET.EXE
C:\Documents and Settings\Marcel\Desktop\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [EasyTuneIV] E:\Program Files\Gigabyte\EasyTune4\ET4Tray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [removecpl] RemoveCpl.exe
O4 - HKLM\..\Run: [DU Meter] E:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] E:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [PDF Converter Registry Controller] "E:\Program Files\PDF Converter\RegistryController.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Hide Atom] C:\PROGRA~1\TIMEFI~1\SoftMags01.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ontvang alles met FlashGet - E:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Ontvang met FlashGet - E:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Open PDF in Word - res://E:\Program Files\PDF Converter\IEShellExt.dll /100
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37877.4362731481
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AB4F92C-2470-447D-970E-E0B302E05087}: NameServer = 172.16.160.4,172.16.160.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CC5F927-EB20-42D1-9114-4135023F32EF}: NameServer = 10.0.0.138

De LabVIEW Guru

dinsdag 11 mei 2004 09:43

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

code:
1
2

C:\PROGRA~1\TIMEFI~1\SoftMags01.exe
O4 - HKLM\..\Run: [Hide Atom] C:\PROGRA~1\TIMEFI~1\SoftMags01.exe
Hier kan ik niks over vinden, als je niet zelf weet wat het doet, haal ze dan eens door de Jotti Scan heen. :)

Verder vind ik deze entry nogal raar
code:
1

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
Heb je deze zelf toegevoegd?

Daarnaast, kan deze wel weg
code:
1

O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab


En als laatste,
code:
1

O17 - HKLM\System\CCS\Services\Tcpip\..\{7CC5F927-EB20-42D1-9114-4135023F32EF}: NameServer = 10.0.0.138
Deze entry vind ik vreemd, ik weet dat het IP adres hoort bij de SpeedTouch 510, maar ik heb em er zelf niet tussen staan (en ik gebruik ook een SpeedTouch 510)

Signature

dinsdag 11 mei 2004 09:53

Acties:
  • Opa
  • Registratie: Januari 2000
  • Laatst online: 18-11 14:49

Opa

Nu Multifocaal!

pastapappie.NET schreef op 11 mei 2004 @ 09:43:
En als laatste,
code:
1

O17 - HKLM\System\CCS\Services\Tcpip\..\{7CC5F927-EB20-42D1-9114-4135023F32EF}: NameServer = 10.0.0.138
Deze entry vind ik vreemd, ik weet dat het IP adres hoort bij de SpeedTouch 510, maar ik heb em er zelf niet tussen staan (en ik gebruik ook een SpeedTouch 510)
Het lijkt me dat hij de DNS servers in de router heeft staan en dat Windows simpelweg naar de router verwijst.

Ik zou overigens SPywareblaster, Spybot en AdAware onafhankelijk van elkaar laten draaien. Die vinden nog een hoop meer zut dan HiJackThis, dat alleen browser hijacks vindt.

Hyundai ioniq Electric 8/2020 > Zeekr X Long Range 8/2024

dinsdag 11 mei 2004 09:55

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

victorvo schreef op 11 mei 2004 @ 09:53:
[...]


Het lijkt me dat hij de DNS servers in de router heeft staan en dat Windows simpelweg naar de router verwijst.

Ik zou overigens SPywareblaster, Spybot en AdAware onafhankelijk van elkaar laten draaien. Die vinden nog een hoop meer zut dan HiJackThis, dat alleen browser hijacks vindt.
Dat mag dan wel zijn, maar kijk dan eens een regel hoger in zn log. ;) Daar staan dus ook de DNS servers vermeld die ongetwijfeld in zn router staan. :)

Signature

dinsdag 11 mei 2004 10:27

Acties:
  • Opa
  • Registratie: Januari 2000
  • Laatst online: 18-11 14:49

Opa

Nu Multifocaal!

pastapappie.NET schreef op 11 mei 2004 @ 09:55:
[...]

Dat mag dan wel zijn, maar kijk dan eens een regel hoger in zn log. ;) Daar staan dus ook de DNS servers vermeld die ongetwijfeld in zn router staan. :)
Die horen bij een andere interface. Misschien de instellingen van het werk. 172.16.* is toch ook een private scope?

The plot thickens. B)

Hyundai ioniq Electric 8/2020 > Zeekr X Long Range 8/2024

dinsdag 11 mei 2004 21:27

Acties:
  • da_fisherman
  • Registratie: November 2003
  • Niet online

da_fisherman

ik zie hier weer die scvhost.exe, die klopt zowiezo niet.
is dat een virus? alsek taakbeheer open heb ik er namelijk 5: 3 in SYSTEM, 1 in netwerkservice en 1 in lokale service

dinsdag 11 mei 2004 22:36

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Indigo - het is niet de bedoeling dat je in iemands anders topic je eigen vragen gaat stellen. Verder is het de bedoeling dat je eerst zelf aan de slag gaat met je hijackthis logfile zoals je in Beveiliging en Virussen - Nieuw topic starten kan lezen.

Ik ga dit topic dan ook sluiten :)
Pagina: 1

Dit topic is gesloten.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq