[IE6] Spyware cashsearch.biz niet te verwijderen? - Privacy en beveiliging

zondag 23 mei 2004 16:19

Acties:

0 Henk 'm!

Desperados!

Topicstarter

Een onbekende service zet als startpage steeds HTTP://cashsearch.biz/redir.php
als ik IE opstart wordt ik automatisch doorgestuurd naar een willekeurige 18+ site.

Add-aware en Spybot vinden nix. Ook in registry nix gevonden. Als ik in google zoek op cashsearch.biz gebeurt er nix....dus dat wordt door de software afgevangen.....

Is iemand deze eerder tegengekomen en weet hoe dit uit de registry te poetsen is? Ik ben er nu echt doodziek van....

Quod licet lovi, non licet bovi

zondag 23 mei 2004 16:20

Acties:

0 Henk 'm!

blackd

Post eens een HijackThis logfile.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zondag 23 mei 2004 16:25

Acties:

0 Henk 'm!

Anoniem: 39835

Ik vind jv16 powertools altijd erg handig om in het registry te klooien. En check msconfig ff of er geen rare dingen gestart worden met windows

zondag 23 mei 2004 16:28

Acties:

0 Henk 'm!

SSH

. . . . . . . .

cashsearch.biz wel te vinden in je register?

zondag 23 mei 2004 16:29

Acties:

0 Henk 'm!

MrDry

Desperados!

Topicstarter

Ik kan geen log posten....als ik copy en paste dan crashed IE bij het versturen

Waar vind ik msconfig?

Quod licet lovi, non licet bovi

zondag 23 mei 2004 16:30

Acties:

0 Henk 'm!

Anoniem: 39835

MrDry schreef op 23 mei 2004 @ 16:29:
Ik kan geen log posten....als ik copy en paste dan crashed IE bij het versturen

Waar vind ik msconfig?

start -> uitvoeren/run -> msconfig en dan enter (mits je xp hebt, of win2k)

zondag 23 mei 2004 16:32

Acties:

0 Henk 'm!

MrDry

Desperados!

Topicstarter

SSH schreef op 23 mei 2004 @ 16:28:
cashsearch.biz wel te vinden in je register?

Alleen bij de settings van IE maar die komen weer terug als ik ze wijzig....

Quod licet lovi, non licet bovi

zondag 23 mei 2004 16:36

Acties:

0 Henk 'm!

Mike Jarod

Msconfig is waarschijnlijk niet afdoende, ik gok dat er behalve een \Run item (wel in msconfig uit te zetten), ook nog minimaal 1 BHO in de weg zit. En dan potentieel nog wat ActiveX dingetjes (.cabs).

Kan je je log niet ergens uploaden of vanaf een andere PC sturen?

Heb je trouwens CWShredder al eens geprobeerd? (hier)

[ Voor 22% gewijzigd door Mike Jarod op 23-05-2004 16:38 ]

zondag 23 mei 2004 16:38

Acties:

0 Henk 'm!

Anoniem: 39835

En ff alle temp files van IE legen

Heb je laatste spybot, en helemaal geupdate?

zondag 23 mei 2004 16:41

Acties:

0 Henk 'm!

CrimInalA

Anoniem: 39835 schreef op 23 mei 2004 @ 16:30:
[...]

start -> uitvoeren/run -> msconfig en dan enter (mits je xp hebt, of win2k)

werkt juist NIET bij win2k , wel bij alle anderen .

die advertising cookies popups en alle andere rommel zijn inderdaad een echte pest aan het worden . mijn 2 favorieten (pestpatrol en adaware) vinden bijna niks meer van die dingen , je moet elke keer manueel de links uit startup en registry gaan halen . Zeer omslachtig allemaal .

(Zelfs users met superbeperkte rechten hebben hier last van

, klote als je een netwerk moet beheren op deze manier hoor .)

[ Voor 14% gewijzigd door CrimInalA op 23-05-2004 16:42 ]

zondag 23 mei 2004 16:42

Acties:

0 Henk 'm!

Spider.007

* Tetragrammaton

Spyware > BV

SA > BV

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

zondag 23 mei 2004 16:43

Acties:

0 Henk 'm!

blackd

MrDry schreef op 23 mei 2004 @ 16:29:
Ik kan geen log posten....als ik copy en paste dan crashed IE bij het versturen

Pak een andere browser?

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zondag 23 mei 2004 16:53

Acties:

0 Henk 'm!

MrDry

Desperados!

Topicstarter

blackd schreef op 23 mei 2004 @ 16:43:
[...]

Pak een andere browser?

Hmmm....dat ik daar niet eerder aan gedacht heb....

code:

Logfile of HijackThis v1.97.7
Scan saved at 16:22:33, on 23-5-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\Program Files\Network Associates\Alert Manager\amgrsrvc.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\ismserv.exe
C:\WINNT\System32\llssrv.exe
C:\Program Files\Network Associates\McAfee GroupShield\bin\SAFeService.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Network Associates\McAfee GroupShield\bin\RPCServ.EXE
C:\Program Files\Common Files\McAfee\log and quarantine\bin\i386\NAIlgpip.exe
C:\WINNT\system32\ntfrs.exe
C:\Program Files\Common Files\Network Associates\Outbreak Manager\Outbreak.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\lserver.exe
** C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\modemshr.exe
C:\Program Files\Exchsrvr\bin\exmgmt.exe
C:\Program Files\Exchsrvr\bin\mad.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\Program Files\Microsoft Shared Fax\Bin\FXSSVC.exe
C:\Program Files\Exchsrvr\bin\store.exe
C:\Program Files\Exchsrvr\bin\emsmta.exe
C:\Program Files\Microsoft ISA Server\mspadmin.exe
C:\Program Files\Microsoft ISA Server\wspsrv.exe
C:\Program Files\Microsoft ISA Server\w3proxy.exe
C:\Program Files\Microsoft ISA Server\W3Prefch.exe
C:\Program Files\Network Associates\McAfee GroupShield\bin\RPCServ.EXE
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\taskmgr.exe
C:\WINNT\explorer.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

** R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
** R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
** R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
** R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
** R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
** R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
O1 - Hosts file is located at: C:\WINNT\nsdb\hosts
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" +c
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = achterom.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E15D789-08BA-4212-9108-C75837235F9A}: NameServer = 192.168.1.13
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = achterom.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = achterom.net

[edit] Op verzoek modie 'verdachte' items gemarkeerd

[ Voor 3% gewijzigd door MrDry op 23-05-2004 17:14 ]

Quod licet lovi, non licet bovi

zondag 23 mei 2004 16:55

Acties:

0 Henk 'm!

Spider.007

* Tetragrammaton

Bekijk deze even: [rml][ Howto] Spyware scannen en opruimen[/rml]

Markeer de regels in je HijackThis logfile aan de hand van een sterretje waarover je twijfels hebt.

[ Voor 35% gewijzigd door Spider.007 op 23-05-2004 16:56 ]

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

zondag 23 mei 2004 17:00

Acties:

0 Henk 'm!

Anoniem: 39835

CrimInalA schreef op 23 mei 2004 @ 16:41:
[...]

werkt juist NIET bij win2k , wel bij alle anderen .

die advertising cookies popups en alle andere rommel zijn inderdaad een echte pest aan het worden . mijn 2 favorieten (pestpatrol en adaware) vinden bijna niks meer van die dingen , je moet elke keer manueel de links uit startup en registry gaan halen . Zeer omslachtig allemaal .

(Zelfs users met superbeperkte rechten hebben hier last van , klote als je een netwerk moet beheren op deze manier hoor .)

Jah idd, wist het niet meer zeker van win2k. Lang niet meer gebruikt

zondag 23 mei 2004 17:02

Acties:

0 Henk 'm!

alt-92

ye olde farte

offtopic:
Welke IDIOOT gebruikt op een Exchange/ISAServer in GODsnaam IE om vage sites af te surfen?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 23 mei 2004 17:06

Acties:

0 Henk 'm!

Mike Jarod

^^^

Behalve de overduidelijke dingen, zie ik maar 1 ding wat me opvalt, maar eigenlijk niet echt gekke dingen. Ik zal het even voor me houden omdat Spider.007 graag eerst wat input van MrDry wil

Probeer zoals ik al zei ook even CWShredder.

edit: Idd die met ** kunnen weg. Wat me opvalt is dat je HOSTS file in een andere directory staat (C:\WINNT\nsdb\hosts), dat heb ik nog niet gezien. Er van uitgaande dat dat niet hoort, kijk eens wat er in staat? Veel meer dan 'localhost 127.0.0.1' moet er niet in staan.

[ Voor 39% gewijzigd door Mike Jarod op 23-05-2004 17:16 ]

zondag 23 mei 2004 17:16

Acties:

0 Henk 'm!

MrDry

Desperados!

Topicstarter

Nou...erg rare dingen zie ik niet in de logfile...behalve de rechtsreekse verwijzingen uiteraard....er draaien veel te veel services aangezien het een sever is. Heb een aantal processen ff door google gehaald maar lijken te kloppen.

CWShredder geprobeerd. Vond niks.

En ja dat van die hostfile viel me ook op. Staat nix in, behalve de localhost dan.

[ Voor 15% gewijzigd door MrDry op 23-05-2004 17:17 ]

Quod licet lovi, non licet bovi

zondag 23 mei 2004 17:49

Acties:

0 Henk 'm!

Mike Jarod

Nou ik heb dus geen idee hoe je verder te helpen

Op Google vind ik geen info over deze variant, en ik zie geen gekke dingen in je HijackThis log. Als iemand anders wel wat vindt horen we het natuurlijk graag

Kijk hier eens: http://www.spywareinfo.com/~merijn/cwschronicles.html

Ik krijg een beetje het vermoeden dat het een variant is van CWS (CoolWebSearch). Op die pagina vind je een heleboel info over wat er allemaal voor varianten zijn en hoe die te werk gaan. Die van jou staat er niet letterlijk tussen, maar bijvoorbeeld bij CWS.Realyellowpage is te zien dat ie niet zichtbaar is in een HijackThis log. Staat trouwens ook bij dat ie op dit moment niet door CWShredder gecleaned wordt.

Wat ik zou doen is gaan spelen met de programma's die daar gebruikt worden (PrcView, Killbox) en kijken of je ergens achter kan komen. Het is natuurlijk maar een gok dat dit een CWS variant is, maarja je moet ergens beginnen toch? Je kan ook contact opnemen met de maker van die site, afaik is die actief bezig met het bestrijden van dit soort dingen dus wie weet.

Als je hier allemaal geen zin/tijd/kennis voor hebt, zou ik het laten rusten en bv Mozilla FireFox gebruiken. Ik snap trouwens zowiezo niet dat je op dit systeem wat op een (produktie)server lijkt loopt te internetten 4 fun

zondag 23 mei 2004 17:56

Acties:

0 Henk 'm!

dr snuggles

MrDry schreef op 23 mei 2004 @ 16:53:

code:

C:\WINNT\System32\termsrv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\locator.exe
C:\WINNT\System32\lserver.exe
*C:\WINNT\System32\dns.exe
*C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\modemshr.exe
C:\Program Files\Exchsrvr\bin\exmgmt.exe
*C:\Program Files\Exchsrvr\bin\mad.exe
*C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\Program Files\Microsoft Shared Fax\Bin\FXSSVC.exe
*C:\WINNT\system32\internat.exe
*C:\Program Files\WinZip\WZQKPICK.EXE


* R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
* R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
* R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
* R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
* R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
* R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" +c
*O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

* O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash

toon volledige bericht

Ik heb alles wat ik zelf uit zou gooien in boven staande lijst gezet. Alles wat een * heeft, is zelfs verdacht.

Sloop zo veel mogelijk weg via msconfig. Dat kan je makkelijk weer aanzetten als dat nodig is. Hoe minder rommel er op de achtergrond draait, hoe minder geheugen er gebruikt wordt, hoe beter.

offtopic:
Nu weet ik weer waarom ik geen Mcafee software meer gebruik. Ik tel 12 exe files van mcafee. Daarom worden pc's dus zo traaaaaag.

[ Voor 13% gewijzigd door dr snuggles op 23-05-2004 20:15 ]

zondag 23 mei 2004 18:08

Acties:

0 Henk 'm!

alt-92

ye olde farte

wwillem: jij hebt overduidelijk nog nooit een Windows 2000 Server OS onderhanden gehad?

_{nog afgezien van McAfee != Norton, heeft win2k geen msconfig}

code:

1	16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

is de enige wat wazige die ik zou verdenken gezien de inhoud:

l y i n i t i a l i z a b l e f r o m p e r s i s t e n t d a t a C o n t r o l s t h a t a r e s a f e l y s c r i p t a b l e Software\MediaTickets Demo wb rs.exe DLRunOnceMapping CMediaTicketsInstallerPropPage %d%% 4 Ì~ .?AVCNoTrackObject@@ Ì~ .?AVAFX_MODULE_STATE@@ Ì~ .?AV_AFX_DLL_MODULE_STATE@@ Ì~ .?AVtype_info@@ http://fp.clickspring.net/fingerprint.php /dispatcher.php fp.clickspring.net € AAAAB3NzaC1yc2EAAAABIwAAAIEAx21Q2C ÿÿÿÿÿÿÿÿContent-type: application/x-www-form-urlencoded
POST HTTP/1.1 */* CS Fingerprint Module &demo= &lang= &regKeyExists= &referer= &buildnum= &version= &productid= &wcryptid= &cpuinfo= &win32id= &macaddr= &hdserial= checksum= 0 1 %d Microsoft Win32s Microsoft Windows Millennium Edition SE Microsoft Windows 98 OSR2 Microsoft Windows 95 Service Pack 6a (Build %d) SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q246009 Service Pack 6 %d.%d SERVERNT LANMANNT Workstation WINNT ProductType SYSTEM\CurrentControlSet\Control\ProductOptions Server 4.0 Server 4.0, Enterprise Edition Server Advanced Server Datacenter Server Standard Edition Web Edition Enterprise Edition %s (Build %d) Datacenter Edition Professional Home Edition Workstation 4.0 Microsoft Windows NT Microsoft Windows 2000 Microsoft Windows XP Microsoft Windows Server 2003 family, Unknown OS %.2X -%.2X getMA: GetAdaptersInfo GetMA: could not malloc http://www.clickspring.net/install/notify.php?pid=%d&module=fp&v=200&result=%d&message=%s&referer=%d %s (%d): %s %s %X getHDS: get vol info C:\ getMSCG: query machine guid MachineGuid getMSCG: open crypto key SOFTWARE\Microsoft\Cryptography getWID: Get product id ProductId getWID: Open Windows key SOFTWARE\Microsoft\Windows\CurrentVersion getCPUI: Get processor name string ProcessorNameString
getCPUInfo: Query vendor id VendorIdentifier %s
getCPUI: Query identifier Identifier getCPUI: Open CPU key HARDWARE\DESCRIPTION\System\CentralProcessor\0 setUID: RegSetValueEx UUID setUID: RegCreateKeyEx SOFTWARE\ClickSpring setUID: RegQueryValueEx ; PID set_pid_list: RegSetValueEx set_pid_list: RegCreateKeyEx € %0
toon volledige bericht

activeX controls die install notify doen naar iets met click in een URL vind ik op zn minst wasigh..

[ Voor 238% gewijzigd door alt-92 op 23-05-2004 18:48 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 23 mei 2004 18:21

Acties:

0 Henk 'm!

Rafe

wwillem, heb je wel gezocht naar wat die processen doen? Locator, Winmgmt,
Dns, Inetinfo, Mssearch, Mad, Internat en Wzqkpick is niets mis mee?

edit:
\32 was stukken sneller omdat ik alles aan het opzoeken was

[ Voor 6% gewijzigd door Rafe op 28-05-2004 16:28 ]

zondag 23 mei 2004 18:53

Acties:

0 Henk 'm!

alt-92

ye olde farte

Clickspring.net / Mediatickets it is...

http://www.mvps.org/winhelp2002/bannedIP.htm

Ook hier een reference.

Eens te meer geef t dit topic duidelijk aan dat op een Server NIET voor de pret gesurft dient te worden, en al helemaal niet met IE.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 23 mei 2004 19:02

Acties:

0 Henk 'm!

Mike Jarod

Grappig dat je die .cab als tekst neerzet

Ik zie daar rs.exe in staan, en via Google vond ik dit by Symantec.

Ik had trouwens al eerder die cab met Kaspersky gescand, en die vond toen niets.

edit: Hebbes

Ik heb 'm even door de Jotti scan gerost (http://virusscan.jotti.dhs.org/) en daar vindt Kaspersky als enige not-a-virus:AdvWare.MediaTickets. Blijkbaar heb ik de extended bases niet draaien op mijn PC, anders was dit toch hopelijk wel herkend

@Topicstarter: een Kaspersky AV + extended bases zou hem dus moeten vinden

edit2: Op Google vind ik hier niets over, misschien dat Schouw uit kan zoeken hoe deze precies werkt en welke files er mee te maken kunnen hebben?

edit3: Tip van Schouw: om bij Kaspersky de extended bases te gebruiken moet je de updatelocatie veranderen van [server]/updates naar [server]/updates_ext

[ Voor 81% gewijzigd door Mike Jarod op 23-05-2004 19:20 ]

zondag 23 mei 2004 19:03

Acties:

0 Henk 'm!

Jeroen Blom

Staat er in je system of system32 directory toevallig het bestand system32.dll? Gooi deze dan even weg en ga dan aan de gang met HijackThis.

"Ik noem dit het probleem van de verkeerde combinatie: de wereld is grijs, maar wetenschap is zwart/wit. We praten in nullen en enen, maar de waarheid ligt ertussen in." - Bart Kosko

zondag 23 mei 2004 20:05

Acties:

0 Henk 'm!

MrDry

Desperados!

Topicstarter

Jeroen Blom schreef op 23 mei 2004 @ 19:03:
Staat er in je system of system32 directory toevallig het bestand system32.dll? Gooi deze dan even weg en ga dan aan de gang met HijackThis.

Yep...dat is de oplossing...

Booten in safe mode en dan SYSTEM32.DLL verwijderen. Na opstarten nog ff gescand met Ad-Aware, Hijack en Sybot...nu is ie weer schoon.

Bedankt allemaal voor het meedenken.

_{Offtopic: De mozilla browser is helemaal nog zo gek nog niet....}

Quod licet lovi, non licet bovi

zondag 23 mei 2004 20:18

Acties:

0 Henk 'm!

dr snuggles

BackSlash32 schreef op 23 mei 2004 @ 18:08:
wwillem: jij hebt overduidelijk nog nooit een Windows 2000 Server OS onderhanden gehad?

Nee, sorry idd. Maar ik wist ook niet dat het windows 2000 betrof.

Rafe schreef op 23 mei 2004 @ 18:21:
wwillem, heb je wel gezocht naar wat die processen doen? Locator, Winmgmt,
Dns, Inetinfo, Mssearch, Mad, Internat en Wzqkpick is niets mis mee?

Nogmaals, ik wist a) niet dat het een server betrof en b) niet dat het win2k betrof.
En msconfig voor win2k kan je toch gewoon overal downloaden? Net als de msconfig voor win95.

zondag 23 mei 2004 23:26

Acties:

0 Henk 'm!

alt-92

ye olde farte

wwillem schreef op 23 mei 2004 @ 20:18:
Nee, sorry idd. Maar ik wist ook niet dat het windows 2000 betrof.

Stond in HJT log hoor

Nogmaals, ik wist a) niet dat het een server betrof en b) niet dat het win2k betrof.
En msconfig voor win2k kan je toch gewoon overal downloaden? Net als de msconfig voor win95.

Exchange en ISA was al een hint geweest, daarnaast dns, dhcp en License Server (lserver) dat het niet om een pro install gaat.

Maar goed, TS had die files toch niet verwijderd hoor

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 28 mei 2004 10:38

Acties:

0 Henk 'm!

Anoniem: 99392

Ik had hetzelfde probleem. Ik heb toen met spybot iets gevonden van DSO Exploit.
Iedereen als ik deze met Spybot weggooide kwam hij terug. Toen heb ik handmatig die key (HKEY_USERS\S-1-5-21-1723562035-681778538-1043214923-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3) verwijderd. Toen heb ik in de regedit gezocht naar Cashseach en tickets, alle verdachte keys hier heb ik ook weggegooit. Ook heb ik met HijackThis alles van Cashseach verwijderd. En voor de zekerheid heb ik hierna die site (213.159.117.132) in mijn explorer blacklist gezet. Hopen dat hij nu wel weg blijft

Ik hoop dat je hier iets aan hebt!