[IE] 24web hijack -> kan niet surfen - Privacy en beveiliging

woensdag 2 juni 2004 17:40

Acties:

Extreme Audio

Topicstarter

Ik zit hier bij m'n oom en z'n IE is gehijacked. IE start nu elke keer op met dit bestand:
C:/Program%20Files/Onlinedirect/Portal/portal.html

Ook kan er niet verder gesurft worden (alleen in veilige modus, wat ik nu dus doe).

Wat ik al gedaan heb:

Adaware gedraaid
Spybot gedraaid

geen succes

Gezocht op GoT en dit linkje gevonden, maar de oplossing die de site geeft, werkt niet.

Host file staat netjes op 127.0.0.1

Dit is de HJthis log:

code:

Logfile of HijackThis v1.97.7
Scan saved at 17:23:56, on 2-6-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE
C:\Program Files\Logitech\system\em_exec.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\System32\msgplus.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\Pavsrv51.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
E:\anti-spyware\HijackThis.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe

*R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/Onlinedirect/Portal/portal.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.startpagina.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Onlinedirect/Portal/portal.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [CLSID] C:\WINDOWS\System32\msgplus.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\panda software\panda titanium antivirus 2004\pavlsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.startpagina.nl
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38121.0279398148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab

Weet iemand misschien welke er niet tussen hoort? Want ik weet het ook niet meer..
BVD.

woensdag 2 juni 2004 17:47

Acties:

wildhagen

Blablabla

code:

1	O4 - HKLM\..\Run: [CLSID] C:\WINDOWS\System32\msgplus.exe

Verdacht... haal die maar eens door de Jotti-scan: http://virusscan.jotti.dhs.org/

[ Voor 24% gewijzigd door wildhagen op 02-06-2004 17:47 ]

Virussen? Scan ze hier!

woensdag 2 juni 2004 17:53

Acties:

Empathy

Extreme Audio

Topicstarter

INFECTED/MALWARE

Okay, die halen we even weg.

woensdag 2 juni 2004 17:55

Acties:

Mike Jarod

Doet je internet het alweer?

Ik zat te denken aan WinSockXPFix maar als je in de VM wel kan internetten gaat dat niet helpen denk ik.

[ Voor 191% gewijzigd door Mike Jarod op 02-06-2004 17:59 ]

woensdag 2 juni 2004 18:02

Acties:

Empathy

Extreme Audio

Topicstarter

Okay, de Hijack lijkt weg, maar surfen kan ik nog steeds alleen in veilige modus..
Na het intikken van een url blijft IE maar zoeken.

woensdag 2 juni 2004 19:13

Acties:

Empathy

Extreme Audio

Topicstarter

Ik ben het nu helemaal zat en gooi d'r nu een nieuwe image overheen. Moeten ze de firewall maar niet uitzetten..

Bedankt voor jullie hulp iig

vrijdag 4 juni 2004 09:26

Acties:

zwahiel

Eindbaas HK

Keihard de lekkerste!

Kijk eens in de registry bij HKLM run services, of er iets verdachts bij staat...

Heb eens mee gemaakt dat er een service stond die telkens met opstarten alle meuk die adaware weg gehaald zou hebben, uit een of andere gecodeerd zip/cab bestand weer terugzetten om vervolgens zichzelf te beëindigen...

Heb ik een paar dagen op gezeten voordat ik die door had

Laten we weer 's bierbrouwen of gewoon gekke dingen bouwen en knutselen. YEAH!
RIP Lada 2105 "Igor" 31-12-1992 - † 21-02-2014. De nieuwe Igor: Tesla model 3 SR+ 21-08-2020

vrijdag 4 juni 2004 09:28

Acties:

troyk

attrib -r troyk.nfo

check proxy settings eens.

It's not who you are , it's who you know.

vrijdag 4 juni 2004 09:28

Acties:

wildhagen

Blablabla

zwahiel schreef op 04 juni 2004 @ 09:26:
Kijk eens in de registry bij HKLM run services, of er iets verdachts bij staat...

Zijn logfile staat dus in de topicstart (Hijackthis checked daar ook op).

Virussen? Scan ze hier!

vrijdag 4 juni 2004 10:20

Acties:

Empathy

Extreme Audio

Topicstarter

Ze kunnen daar nu wel weer internetten, maar niet omdat ik de oplossing voor het probleem gevonden heb.. best wel frustrerend, maar helaas..
Ik heb er gewoon een image overheen gezet. Je moet wat.

Ik heb thuis ongeveer hetzelfde probleem gehad, die helaas nog niet compleet is opgelost..

Pagina: 1

Reageer