[Spyware] geen internet meer na errorplace besmetting * - Privacy en beveiliging

dinsdag 25 mei 2004 17:06

Acties:

Verwijderd

Topicstarter

Hoi Allemaal! Ik kom sinds gisteravond niet meer op internet. De stroom was er eerst af.. en ik zat op *** op een serial te zoeken. Ik weet niet wat de oorzaak is dat ik niet meer op internet kom. Ik heb via deze site een programma gedownload waarin het volgende staat.

Logfile of HijackThis v1.97.7
Scan saved at 16:21:12, on 25-5-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\sysupd.exe
C:\WINDOWS\yuzaybjf.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\wuauclt.exe
G:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://world.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://world.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\mxTarget.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {3E523BF7-A4F3-4249-AF8E-D06FFA41CDBC} - C:\WINDOWS\yxknre.dll
O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\System32\bridge.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe
O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
O4 - HKLM\..\Run: [auhjnjs] C:\WINDOWS\yuzaybjf.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [sws.exe] c:\program files\GlobalDialer\chost00000\561156.exe -remove
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O10 - Broken Internet access because of LSP provider 'c:\windows\webhdll.dll' missing
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for ôå: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://world.yahoo.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedi...wave/cabs/director/sw.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.../MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m...uctl.CAB?37943.4680208333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://www.disney.com/serialzip.cab

WAT KAN HIERVAN WEG???

k hoop dat iemand me kan helpen!

Thanx

Greetz Wouter

[ Voor 2% gewijzigd door Verwijderd op 25-05-2004 19:24 . Reden: doe maar geen serial site :* ]

dinsdag 25 mei 2004 17:26

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

SCHREEUW NIET ZO

Oftewel, ik pas je topictitel wat aan zodat die wat zegt. 'ERRORPLACE help me!! :S' --> '[Spyware] geen internet meer na errorplace besmetting *', al is die ook wat dubbelzinnig.

Wat bedoel je met "geen internet"? Geen IP verbinding, niet pingen, niet browsen of niet browsen met specifiek jouw browser (gebruik je IE?)
Ik gok alleen niet IE, draai ook (volledig uptodate) AAW en SSD zoals uitgelegd in het sticky topic ( Afbeeldingslocatie: http://gathering.tweakers.net/global/templates/got/images/icons/Sticky_off.gif

) Beveiliging en Virussen - Nieuw topic starten is uitgelegd.

Ik haal ook even je verwijzing naar die warez site weg, zoals in Het algemeen beleid. Iedereen wordt geacht zich hieraan te houden is uitgelegd, zien we hier liever geen warez etc. Ik gok dat we allemaal wel de bron kunnen raden: IE gebruiken, niet uptodate zijn met OS, IE, virusscanner en te snel op 'ja' drukken

Ten slotte: welkom op GoT

edit:

In die sticky staat ook een link naar een site met uitleg om te zien wat al dan niet weg kan. Ik zou beginnen met kijken naar dlls en executables en die even door (ook) Google gooien. En begin met de webhancer troep

[ Voor 11% gewijzigd door F_J_K op 25-05-2004 17:29 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 25 mei 2004 17:34

Acties:

Resistor

Niet meggeren!

Dat programma is gewoon HijackThis, helemaal geen gevaarlijk programma

Lees eens de faq.

Maar goed, laat ik eens kijken...

code:

1	C:\WINDOWS\system32\crypserv.exe

Wat is dit?

code:

1	C:\Program Files\Winamp\winampa.exe

En dit? ik ken namelijk alleen maar de 'gewone' winamp.exe

code:

1	C:\WINDOWS\sysupd.exe

en dit?

code:

1	C:\WINDOWS\yuzaybjf.exe

Virussen geven vaak een random naam, dit lijkt mij aardig random, scannen dus!

code:

R3 - URLSearchHook: (no name) - _
{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918}
 - C:\WINDOWS\mxTarget.dll

hmm...

code:

O2 - BHO: (no name) - {3E523BF7-A4F3-4249-AF8E-D06FFA41CDBC} - 
C:\WINDOWS\yxknre.dll

O2 - BHO: (no name) - 
{71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)

O2 - BHO: (no name) - 
{83DE62E0-5805-11D8-9B25-00E04C60FAF2} - 
C:\WINDOWS\2_0_1browserhelper2.dll (file missing)

O2 - BHO: (no name) - 
{9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - 
C:\WINDOWS\System32\bridge.dll (file missing)

Hmm²

code:

1 2	O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe

Wat zijn dit voor programma's?

code:

O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
O4 - HKLM\..\Run: [auhjnjs] C:\WINDOWS\yuzaybjf.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] "
C:\Program Files\webHancer\Programs\whSurvey.exe"

Klinkt als virus + spyware

code:

1 2	O4 - HKCU\..\Run: [sws.exe] c:\program files\GlobalDialer\chost00000\561156.exe -remove

Tja, wat zou dit nou zijn

code:

O12 - Plugin for .spop: 
C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O12 - Plugin for ôå: 
C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

en dit zijn?

code:

1 2	O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://waren.com/cabs/serialzip.cab

Ik vertrouw geen .cab'jes met zulke namen in mijn HT log

[ Voor 8% gewijzigd door Resistor op 25-05-2004 17:45 . Reden: [s]ben[/] was nog bezig met layout repareren ;) ]

What will end humanity? Artificial intelligence or natural stupidity?

dinsdag 25 mei 2004 19:13

Acties:

pasta

Ondertitel

Resistor schreef op 25 mei 2004 @ 17:34:
code:
1
C:\Program Files\Winamp\winampa.exe
En dit? ik ken namelijk alleen maar de 'gewone' winamp.exe

Goh, ik ken naast de gewone Winamp (winamp.exe) ook nog een Winamp Agent (winampa.exe)

Hij kan evengoed nog weg, want het vertraagt je systeem een beetje

Signature

dinsdag 25 mei 2004 20:59

Acties:

Verwijderd

De volgende processen vertrouw ik niet:

code:

1 2	C:\WINDOWS\sysupd.exe C:\WINDOWS\yuzaybjf.exe

Doe eens een volledige virus scan met een up to date virusscanner/

[ Voor 9% gewijzigd door Verwijderd op 25-05-2004 21:04 ]

dinsdag 25 mei 2004 21:02

Acties:

wildhagen

Blablabla

die wuaclt.exe is wel OK, die is van Automatic Updating in Windows. Die andere 2 zijn niet OK nee...

Virussen? Scan ze hier!

dinsdag 25 mei 2004 21:04

Acties:

Verwijderd

wildhagen schreef op 25 mei 2004 @ 21:02:
die wuaclt.exe is wel OK, die is van Automatic Updating in Windows. Die andere 2 zijn niet OK nee...

Done.

dinsdag 25 mei 2004 21:08

Acties:

Verwijderd

Hij heeft duidelijk op 'ja' geklikt toen de vraag 'wilt u crack.zip installeren' gesteld werd. Daar kwam die .cab vandaan, die kan dus ook weg.

Overigens mis ik in dit topic een beetje het advies om een spyware-scanner als ad-aware en/of spybot te installeren. Bij deze