[IE6] Spyware cashsearch.biz niet te verwijderen?

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • MrDry
  • Registratie: December 2001
  • Laatst online: 11-04 09:05

MrDry

Desperados!

Topicstarter
Een onbekende service zet als startpage steeds HTTP://cashsearch.biz/redir.php
als ik IE opstart wordt ik automatisch doorgestuurd naar een willekeurige 18+ site.

Add-aware en Spybot vinden nix. Ook in registry nix gevonden. Als ik in google zoek op cashsearch.biz gebeurt er nix....dus dat wordt door de software afgevangen.....

Is iemand deze eerder tegengekomen en weet hoe dit uit de registry te poetsen is? Ik ben er nu echt doodziek van....

Quod licet lovi, non licet bovi


Acties:
  • 0 Henk 'm!

  • blackd
  • Registratie: Februari 2001
  • Niet online
Post eens een HijackThis logfile.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023


Acties:
  • 0 Henk 'm!

Anoniem: 39835

Ik vind jv16 powertools altijd erg handig om in het registry te klooien. En check msconfig ff of er geen rare dingen gestart worden met windows ;)

Acties:
  • 0 Henk 'm!

  • SSH
  • Registratie: Januari 2004
  • Niet online

SSH

. . . . . . . .

cashsearch.biz wel te vinden in je register?

Acties:
  • 0 Henk 'm!

  • MrDry
  • Registratie: December 2001
  • Laatst online: 11-04 09:05

MrDry

Desperados!

Topicstarter
Ik kan geen log posten....als ik copy en paste dan crashed IE bij het versturen

Waar vind ik msconfig?

Quod licet lovi, non licet bovi


Acties:
  • 0 Henk 'm!

Anoniem: 39835

MrDry schreef op 23 mei 2004 @ 16:29:
Ik kan geen log posten....als ik copy en paste dan crashed IE bij het versturen

Waar vind ik msconfig?
start -> uitvoeren/run -> msconfig en dan enter (mits je xp hebt, of win2k)

Acties:
  • 0 Henk 'm!

  • MrDry
  • Registratie: December 2001
  • Laatst online: 11-04 09:05

MrDry

Desperados!

Topicstarter
SSH schreef op 23 mei 2004 @ 16:28:
cashsearch.biz wel te vinden in je register?
Alleen bij de settings van IE maar die komen weer terug als ik ze wijzig....

Quod licet lovi, non licet bovi


Acties:
  • 0 Henk 'm!

  • Mike Jarod
  • Registratie: Januari 2002
  • Niet online
Msconfig is waarschijnlijk niet afdoende, ik gok dat er behalve een \Run item (wel in msconfig uit te zetten), ook nog minimaal 1 BHO in de weg zit. En dan potentieel nog wat ActiveX dingetjes (.cabs).

Kan je je log niet ergens uploaden of vanaf een andere PC sturen?

Heb je trouwens CWShredder al eens geprobeerd? (hier)

[ Voor 22% gewijzigd door Mike Jarod op 23-05-2004 16:38 ]


Acties:
  • 0 Henk 'm!

Anoniem: 39835

En ff alle temp files van IE legen :P Heb je laatste spybot, en helemaal geupdate?

Acties:
  • 0 Henk 'm!

  • CrimInalA
  • Registratie: Mei 2002
  • Niet online
Anoniem: 39835 schreef op 23 mei 2004 @ 16:30:
[...]

start -> uitvoeren/run -> msconfig en dan enter (mits je xp hebt, of win2k)
werkt juist NIET bij win2k , wel bij alle anderen .

die advertising cookies popups en alle andere rommel zijn inderdaad een echte pest aan het worden . mijn 2 favorieten (pestpatrol en adaware) vinden bijna niks meer van die dingen , je moet elke keer manueel de links uit startup en registry gaan halen . Zeer omslachtig allemaal .

(Zelfs users met superbeperkte rechten hebben hier last van :( , klote als je een netwerk moet beheren op deze manier hoor .)

[ Voor 14% gewijzigd door CrimInalA op 23-05-2004 16:42 ]


Acties:
  • 0 Henk 'm!

  • Spider.007
  • Registratie: December 2000
  • Niet online

Spider.007

* Tetragrammaton

Spyware > BV

SA > BV

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate


Acties:
  • 0 Henk 'm!

  • blackd
  • Registratie: Februari 2001
  • Niet online
MrDry schreef op 23 mei 2004 @ 16:29:
Ik kan geen log posten....als ik copy en paste dan crashed IE bij het versturen
Pak een andere browser?

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023


Acties:
  • 0 Henk 'm!

  • MrDry
  • Registratie: December 2001
  • Laatst online: 11-04 09:05

MrDry

Desperados!

Topicstarter
blackd schreef op 23 mei 2004 @ 16:43:
[...]

Pak een andere browser?
Hmmm....dat ik daar niet eerder aan gedacht heb....

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
Logfile of HijackThis v1.97.7
Scan saved at 16:22:33, on 23-5-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\Program Files\Network Associates\Alert Manager\amgrsrvc.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\ismserv.exe
C:\WINNT\System32\llssrv.exe
C:\Program Files\Network Associates\McAfee GroupShield\bin\SAFeService.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Network Associates\McAfee GroupShield\bin\RPCServ.EXE
C:\Program Files\Common Files\McAfee\log and quarantine\bin\i386\NAIlgpip.exe
C:\WINNT\system32\ntfrs.exe
C:\Program Files\Common Files\Network Associates\Outbreak Manager\Outbreak.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\lserver.exe
** C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\modemshr.exe
C:\Program Files\Exchsrvr\bin\exmgmt.exe
C:\Program Files\Exchsrvr\bin\mad.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\Program Files\Microsoft Shared Fax\Bin\FXSSVC.exe
C:\Program Files\Exchsrvr\bin\store.exe
C:\Program Files\Exchsrvr\bin\emsmta.exe
C:\Program Files\Microsoft ISA Server\mspadmin.exe
C:\Program Files\Microsoft ISA Server\wspsrv.exe
C:\Program Files\Microsoft ISA Server\w3proxy.exe
C:\Program Files\Microsoft ISA Server\W3Prefch.exe
C:\Program Files\Network Associates\McAfee GroupShield\bin\RPCServ.EXE
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\taskmgr.exe
C:\WINNT\explorer.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

** R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
** R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
** R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
** R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
** R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
** R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
O1 - Hosts file is located at: C:\WINNT\nsdb\hosts
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" +c
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = achterom.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E15D789-08BA-4212-9108-C75837235F9A}: NameServer = 192.168.1.13
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = achterom.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = achterom.net


[edit] Op verzoek modie 'verdachte' items gemarkeerd

[ Voor 3% gewijzigd door MrDry op 23-05-2004 17:14 ]

Quod licet lovi, non licet bovi


Acties:
  • 0 Henk 'm!

  • Spider.007
  • Registratie: December 2000
  • Niet online

Spider.007

* Tetragrammaton

Bekijk deze even: [rml][ Howto] Spyware scannen en opruimen[/rml]
Markeer de regels in je HijackThis logfile aan de hand van een sterretje waarover je twijfels hebt.
:)

[ Voor 35% gewijzigd door Spider.007 op 23-05-2004 16:56 ]

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate


Acties:
  • 0 Henk 'm!

Anoniem: 39835

CrimInalA schreef op 23 mei 2004 @ 16:41:
[...]


werkt juist NIET bij win2k , wel bij alle anderen .

die advertising cookies popups en alle andere rommel zijn inderdaad een echte pest aan het worden . mijn 2 favorieten (pestpatrol en adaware) vinden bijna niks meer van die dingen , je moet elke keer manueel de links uit startup en registry gaan halen . Zeer omslachtig allemaal .

(Zelfs users met superbeperkte rechten hebben hier last van :( , klote als je een netwerk moet beheren op deze manier hoor .)
Jah idd, wist het niet meer zeker van win2k. Lang niet meer gebruikt :P

Acties:
  • 0 Henk 'm!

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

offtopic:
Welke IDIOOT gebruikt op een Exchange/ISAServer in GODsnaam IE om vage sites af te surfen?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


Acties:
  • 0 Henk 'm!

  • Mike Jarod
  • Registratie: Januari 2002
  • Niet online
^^^

Behalve de overduidelijke dingen, zie ik maar 1 ding wat me opvalt, maar eigenlijk niet echt gekke dingen. Ik zal het even voor me houden omdat Spider.007 graag eerst wat input van MrDry wil :)

Probeer zoals ik al zei ook even CWShredder.

edit: Idd die met ** kunnen weg. Wat me opvalt is dat je HOSTS file in een andere directory staat (C:\WINNT\nsdb\hosts), dat heb ik nog niet gezien. Er van uitgaande dat dat niet hoort, kijk eens wat er in staat? Veel meer dan 'localhost 127.0.0.1' moet er niet in staan.

[ Voor 39% gewijzigd door Mike Jarod op 23-05-2004 17:16 ]


Acties:
  • 0 Henk 'm!

  • MrDry
  • Registratie: December 2001
  • Laatst online: 11-04 09:05

MrDry

Desperados!

Topicstarter
Nou...erg rare dingen zie ik niet in de logfile...behalve de rechtsreekse verwijzingen uiteraard....er draaien veel te veel services aangezien het een sever is. Heb een aantal processen ff door google gehaald maar lijken te kloppen.

CWShredder geprobeerd. Vond niks.


En ja dat van die hostfile viel me ook op. Staat nix in, behalve de localhost dan.

[ Voor 15% gewijzigd door MrDry op 23-05-2004 17:17 ]

Quod licet lovi, non licet bovi


Acties:
  • 0 Henk 'm!

  • Mike Jarod
  • Registratie: Januari 2002
  • Niet online
Nou ik heb dus geen idee hoe je verder te helpen :/

Op Google vind ik geen info over deze variant, en ik zie geen gekke dingen in je HijackThis log. Als iemand anders wel wat vindt horen we het natuurlijk graag :)

Kijk hier eens: http://www.spywareinfo.com/~merijn/cwschronicles.html

Ik krijg een beetje het vermoeden dat het een variant is van CWS (CoolWebSearch). Op die pagina vind je een heleboel info over wat er allemaal voor varianten zijn en hoe die te werk gaan. Die van jou staat er niet letterlijk tussen, maar bijvoorbeeld bij CWS.Realyellowpage is te zien dat ie niet zichtbaar is in een HijackThis log. Staat trouwens ook bij dat ie op dit moment niet door CWShredder gecleaned wordt.

Wat ik zou doen is gaan spelen met de programma's die daar gebruikt worden (PrcView, Killbox) en kijken of je ergens achter kan komen. Het is natuurlijk maar een gok dat dit een CWS variant is, maarja je moet ergens beginnen toch? Je kan ook contact opnemen met de maker van die site, afaik is die actief bezig met het bestrijden van dit soort dingen dus wie weet.

Als je hier allemaal geen zin/tijd/kennis voor hebt, zou ik het laten rusten en bv Mozilla FireFox gebruiken. Ik snap trouwens zowiezo niet dat je op dit systeem wat op een (produktie)server lijkt loopt te internetten 4 fun :)

Acties:
  • 0 Henk 'm!

  • dr snuggles
  • Registratie: September 2000
  • Niet online
MrDry schreef op 23 mei 2004 @ 16:53:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
C:\WINNT\System32\termsrv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\locator.exe
C:\WINNT\System32\lserver.exe
*C:\WINNT\System32\dns.exe
*C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\modemshr.exe
C:\Program Files\Exchsrvr\bin\exmgmt.exe
*C:\Program Files\Exchsrvr\bin\mad.exe
*C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\Program Files\Microsoft Shared Fax\Bin\FXSSVC.exe
*C:\WINNT\system32\internat.exe
*C:\Program Files\WinZip\WZQKPICK.EXE


* R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
* R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
* R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
* R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
* R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
* R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" +c
*O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

* O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash
toon volledige bericht
Ik heb alles wat ik zelf uit zou gooien in boven staande lijst gezet. Alles wat een * heeft, is zelfs verdacht.

Sloop zo veel mogelijk weg via msconfig. Dat kan je makkelijk weer aanzetten als dat nodig is. Hoe minder rommel er op de achtergrond draait, hoe minder geheugen er gebruikt wordt, hoe beter.

offtopic:
Nu weet ik weer waarom ik geen Mcafee software meer gebruik. Ik tel 12 exe files van mcafee. Daarom worden pc's dus zo traaaaaag.

[ Voor 13% gewijzigd door dr snuggles op 23-05-2004 20:15 ]


Acties:
  • 0 Henk 'm!

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

wwillem: jij hebt overduidelijk nog nooit een Windows 2000 Server OS onderhanden gehad?

nog afgezien van McAfee != Norton, heeft win2k geen msconfig


code:
1
16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

is de enige wat wazige die ik zou verdenken gezien de inhoud:
l y i n i t i a l i z a b l e f r o m p e r s i s t e n t d a t a C o n t r o l s t h a t a r e s a f e l y s c r i p t a b l e Software\MediaTickets Demo wb rs.exe DLRunOnceMapping CMediaTicketsInstallerPropPage %d%% 4 Ì~ .?AVCNoTrackObject@@ Ì~ .?AVAFX_MODULE_STATE@@ Ì~ .?AV_AFX_DLL_MODULE_STATE@@ Ì~ .?AVtype_info@@ http://fp.clickspring.net/fingerprint.php /dispatcher.php fp.clickspring.net € AAAAB3NzaC1yc2EAAAABIwAAAIEAx21Q2C ÿÿÿÿÿÿÿÿContent-type: application/x-www-form-urlencoded
POST HTTP/1.1 */* CS Fingerprint Module &demo= &lang= &regKeyExists= &referer= &buildnum= &version= &productid= &wcryptid= &cpuinfo= &win32id= &macaddr= &hdserial= checksum= 0 1 %d Microsoft Win32s Microsoft Windows Millennium Edition SE Microsoft Windows 98 OSR2 Microsoft Windows 95 Service Pack 6a (Build %d) SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q246009 Service Pack 6 %d.%d SERVERNT LANMANNT Workstation WINNT ProductType SYSTEM\CurrentControlSet\Control\ProductOptions Server 4.0 Server 4.0, Enterprise Edition Server Advanced Server Datacenter Server Standard Edition Web Edition Enterprise Edition %s (Build %d) Datacenter Edition Professional Home Edition Workstation 4.0 Microsoft Windows NT Microsoft Windows 2000 Microsoft Windows XP Microsoft Windows Server 2003 family, Unknown OS %.2X -%.2X getMA: GetAdaptersInfo GetMA: could not malloc http://www.clickspring.net/install/notify.php?pid=%d&module=fp&v=200&result=%d&message=%s&referer=%d %s (%d): %s %s %X getHDS: get vol info C:\ getMSCG: query machine guid MachineGuid getMSCG: open crypto key SOFTWARE\Microsoft\Cryptography getWID: Get product id ProductId getWID: Open Windows key SOFTWARE\Microsoft\Windows\CurrentVersion getCPUI: Get processor name string ProcessorNameString
getCPUInfo: Query vendor id VendorIdentifier %s
getCPUI: Query identifier Identifier getCPUI: Open CPU key HARDWARE\DESCRIPTION\System\CentralProcessor\0 setUID: RegSetValueEx UUID setUID: RegCreateKeyEx SOFTWARE\ClickSpring setUID: RegQueryValueEx ; PID set_pid_list: RegSetValueEx set_pid_list: RegCreateKeyEx € %0
toon volledige bericht
activeX controls die install notify doen naar iets met click in een URL vind ik op zn minst wasigh..

[ Voor 238% gewijzigd door alt-92 op 23-05-2004 18:48 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


Acties:
  • 0 Henk 'm!

  • Rafe
  • Registratie: Mei 2002
  • Laatst online: 19-02 23:57
wwillem, heb je wel gezocht naar wat die processen doen? Locator, Winmgmt,
Dns, Inetinfo, Mssearch, Mad, Internat en Wzqkpick is niets mis mee? :)

edit:
\32 was stukken sneller omdat ik alles aan het opzoeken was :+

[ Voor 6% gewijzigd door Rafe op 28-05-2004 16:28 ]


Acties:
  • 0 Henk 'm!

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Clickspring.net / Mediatickets it is...

http://www.mvps.org/winhelp2002/bannedIP.htm

Ook hier een reference.

Eens te meer geef t dit topic duidelijk aan dat op een Server NIET voor de pret gesurft dient te worden, en al helemaal niet met IE.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


Acties:
  • 0 Henk 'm!

  • Mike Jarod
  • Registratie: Januari 2002
  • Niet online
Grappig dat je die .cab als tekst neerzet :) Ik zie daar rs.exe in staan, en via Google vond ik dit by Symantec.

Ik had trouwens al eerder die cab met Kaspersky gescand, en die vond toen niets.

edit: Hebbes :P Ik heb 'm even door de Jotti scan gerost (http://virusscan.jotti.dhs.org/) en daar vindt Kaspersky als enige not-a-virus:AdvWare.MediaTickets. Blijkbaar heb ik de extended bases niet draaien op mijn PC, anders was dit toch hopelijk wel herkend :P

@Topicstarter: een Kaspersky AV + extended bases zou hem dus moeten vinden :)

edit2: Op Google vind ik hier niets over, misschien dat Schouw uit kan zoeken hoe deze precies werkt en welke files er mee te maken kunnen hebben?

edit3: Tip van Schouw: om bij Kaspersky de extended bases te gebruiken moet je de updatelocatie veranderen van [server]/updates naar [server]/updates_ext :)

[ Voor 81% gewijzigd door Mike Jarod op 23-05-2004 19:20 ]


Acties:
  • 0 Henk 'm!

  • Jeroen Blom
  • Registratie: Juni 1999
  • Laatst online: 10-05 19:34
Staat er in je system of system32 directory toevallig het bestand system32.dll? Gooi deze dan even weg en ga dan aan de gang met HijackThis.

"Ik noem dit het probleem van de verkeerde combinatie: de wereld is grijs, maar wetenschap is zwart/wit. We praten in nullen en enen, maar de waarheid ligt ertussen in." - Bart Kosko


Acties:
  • 0 Henk 'm!

  • MrDry
  • Registratie: December 2001
  • Laatst online: 11-04 09:05

MrDry

Desperados!

Topicstarter
Jeroen Blom schreef op 23 mei 2004 @ 19:03:
Staat er in je system of system32 directory toevallig het bestand system32.dll? Gooi deze dan even weg en ga dan aan de gang met HijackThis.
Yep...dat is de oplossing...

Booten in safe mode en dan SYSTEM32.DLL verwijderen. Na opstarten nog ff gescand met Ad-Aware, Hijack en Sybot...nu is ie weer schoon.

Bedankt allemaal voor het meedenken.

Offtopic: De mozilla browser is helemaal nog zo gek nog niet.... :)

Quod licet lovi, non licet bovi


Acties:
  • 0 Henk 'm!

  • dr snuggles
  • Registratie: September 2000
  • Niet online
BackSlash32 schreef op 23 mei 2004 @ 18:08:
wwillem: jij hebt overduidelijk nog nooit een Windows 2000 Server OS onderhanden gehad?
Nee, sorry idd. Maar ik wist ook niet dat het windows 2000 betrof.
Rafe schreef op 23 mei 2004 @ 18:21:
wwillem, heb je wel gezocht naar wat die processen doen? Locator, Winmgmt,
Dns, Inetinfo, Mssearch, Mad, Internat en Wzqkpick is niets mis mee? :)
Nogmaals, ik wist a) niet dat het een server betrof en b) niet dat het win2k betrof.
En msconfig voor win2k kan je toch gewoon overal downloaden? Net als de msconfig voor win95.

Acties:
  • 0 Henk 'm!

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

wwillem schreef op 23 mei 2004 @ 20:18:
Nee, sorry idd. Maar ik wist ook niet dat het windows 2000 betrof.
Stond in HJT log hoor ;)
Nogmaals, ik wist a) niet dat het een server betrof en b) niet dat het win2k betrof.
En msconfig voor win2k kan je toch gewoon overal downloaden? Net als de msconfig voor win95.
Exchange en ISA was al een hint geweest, daarnaast dns, dhcp en License Server (lserver) dat het niet om een pro install gaat.

Maar goed, TS had die files toch niet verwijderd hoor :P

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


Acties:
  • 0 Henk 'm!

Anoniem: 99392

Ik had hetzelfde probleem. Ik heb toen met spybot iets gevonden van DSO Exploit.
Iedereen als ik deze met Spybot weggooide kwam hij terug. Toen heb ik handmatig die key (HKEY_USERS\S-1-5-21-1723562035-681778538-1043214923-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3) verwijderd. Toen heb ik in de regedit gezocht naar Cashseach en tickets, alle verdachte keys hier heb ik ook weggegooit. Ook heb ik met HijackThis alles van Cashseach verwijderd. En voor de zekerheid heb ik hierna die site (213.159.117.132) in mijn explorer blacklist gezet. Hopen dat hij nu wel weg blijft 8)

Ik hoop dat je hier iets aan hebt!
Pagina: 1