[Virus?] letters worden door cijfers vervangen - Privacy en beveiliging

donderdag 10 juni 2004 12:24

Acties:

Verwijderd

Topicstarter

Een kamaraad van me heeft volgens mij last van een virus maar ik weet dit niet zeker.

als hij aan het typen is, in bijv msn of explorer dan worden enkele letters vervangen door cijfers.
zodat je dus het volgende krijgt:
"edje zegt:
d6et het n6g steeds
edje zegt:
re-aar dat 5s ff"

Nu heb ik dus ff een log laten maken van hijackthis maar weet dus niet wat wel en niet thuishoort op zo'n pc vandaar dat ik het hier dus even vraag.

Hierbij dus nog even het log

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Hotbar\bin\4.4.6.0\WeatherOnTray.exe
C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Hotbar\bin\4.4.6.0\HbInst.exe
C:\WINDOWS\System32\com.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\SYSTEM~1\soap.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\sessmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hotbar\bin\4.4.6.0\HbSrv.exe
C:\WINDOWS\System32\rsvp.exe
D:\hijackthis\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/NowOnline/Portal/portal.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/Onlinedirect/Portal/portal.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.home.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.hotbar.com/dyn/hotbar/3.0/sb_searchPageHome.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door @Home
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/NowOnline/Portal/portal.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://global.acer.com/
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Program Files\DAP\DAPIEBar.dll (file missing)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL
O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\WINDOWS\system32\IEHelper.dll
O2 - BHO: Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - C:\Program Files\Hotbar\bin\4.4.6.0\HbHostIE.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: LBBHO - {EFD84954-6B46-42f4-81F3-94CE9A77052D} - C:\WINDOWS\lbbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - C:\Program Files\Hotbar\bin\4.4.6.0\HbHostIE.dll
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\Hotbar\bin\4.4.6.0\WeatherOnTray.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Hotbar] C:\Program Files\Hotbar\bin\4.4.6.0\HbInst.exe /Upgrade
O4 - HKLM\..\Run: [CLSID] C:\WINDOWS\System32\com.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ChkMail] ˜<‹
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [System Soap Pro] C:\PROGRA~1\SYSTEM~1\soap.exe min
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\2.bin\MWSOEMON.EXE
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\2.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm92630
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://start.home.nl/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/ima...alInitialSetup1.0.0.8.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft...-94901338C922/wmv9VCM.CAB
O16 - DPF: {421A63BA-4632-43E0-A942-3B4AB645BE51} - http://download-ak.system...makamai/systemsoappro.cab
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.../MessengerStatsClient.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab

Alvast bedankt voor het helpen en hopelijk komen we eruit

donderdag 10 juni 2004 12:35

Acties:

wildhagen

Blablabla

Dit is een virus, haal maar eens door http://virusscan.jotti.dhs.org/

code:

1	O4 - HKLM\..\Run: [CLSID] C:\WINDOWS\System32\com.exe

Spyware:

code:

1
2
3

O4 - HKCU\..\Run: [System Soap Pro] C:\PROGRA~1\SYSTEM~1\soap.exe min
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKLM\..\Run: [Hotbar] C:\Program Files\Hotbar\bin\4.4.6.0\HbInst.exe /Upgrade

Idem:

code:

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL
O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000000} - C:\WINDOWS\system32\IEHelper.dll
O2 - BHO: Hotbar - {B195B3B3-8A05-
O3 - Toolbar: &Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - C:\Program Files\Hotbar\bin\4.4.6.0\HbHostIE.dll
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL
O16 - DPF: {421A63BA-4632-43E0-A942-3B4AB645BE51} - http://download-ak.system...makamai/systemsoappro.cab
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\2.bin\MWSOEMON.EXE

Dialer:

code:

1	O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx

Gefeliciteerd, dit is een van de meest rommelige/geinfecteerde systemen die ik dit jaar tegengekomen ben....

[ Voor 5% gewijzigd door wildhagen op 10-06-2004 12:36 ]

Virussen? Scan ze hier!

donderdag 10 juni 2004 13:01

Acties:

Verwijderd

Topicstarter

Zal vanavond even de laatste versie van spybot eroverheen gooien.

iemand al een idee wat de oorzaak is van het verwisselen van letters door cijfers?
dat is namelijk het grootste euvel en werkt ook heel vervelend.

donderdag 10 juni 2004 13:04

Acties:

cutter

Wannabe i7 fanboy

wildhagen schreef op 10 juni 2004 @ 12:35:

Gefeliciteerd, dit is een van de meest rommelige/geinfecteerde systemen die ik dit jaar tegengekomen ben....

LOL

kan hier geen prijs of zo aan gekoppeld worden.....

donderdag 10 juni 2004 13:08

Acties:

momania

iPhone 30! Bam!

Hij zit toch niet toevallig op ene laptop en heeft zijn numlock aan staan he?
Want die letters en cijfer waardoor ze vervangen worden komen wel precies overeen.

Neem je whisky mee, is het te weinig... *zucht*

donderdag 10 juni 2004 13:09

Acties:

Verwijderd

Verwijderd schreef op 10 juni 2004 @ 13:01:
iemand al een idee wat de oorzaak is van het verwisselen van letters door cijfers?
dat is namelijk het grootste euvel en werkt ook heel vervelend.

GoT != helpdesk waar je je probleem kan dumpen om een uurtje later het antwoord op te gaan halen.

Op deze manier laat je het iig klinken alsof je GoT wel zo beschouwt..

We vragen je niet bovenstaande dingen te doen om je te pesten hoor.

Edit:

momania schreef op 10 juni 2004 @ 13:08:
Hij zit toch niet toevallig op ene laptop en heeft zijn numlock aan staan he?
Want die letters en cijfer waardoor ze vervangen worden komen wel precies overeen.

Dat lost de rest van de troep natuurlijk niet op.

[ Voor 25% gewijzigd door Verwijderd op 10-06-2004 13:10 ]

donderdag 10 juni 2004 13:10

Acties:

Fire69

momania schreef op 10 juni 2004 @ 13:08:
Hij zit toch niet toevallig op ene laptop en heeft zijn numlock aan staan he?
Want die letters en cijfer waardoor ze vervangen worden komen wel precies overeen.

Hebben we hier op't werk ook af en toe voor.
Dan lopen ze wel rood aan als je ze dat verteld.

[ Voor 16% gewijzigd door Fire69 op 10-06-2004 13:11 ]

donderdag 10 juni 2004 13:29

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 10 juni 2004 @ 13:09:
[...]

GoT != helpdesk waar je je probleem kan dumpen om een uurtje later het antwoord op te gaan halen.

Op deze manier laat je het iig klinken alsof je GoT wel zo beschouwt..

We vragen je niet bovenstaande dingen te doen om je te pesten hoor.

Dat snap ik en was ook niet de bedoeling om het zo over te laten komen maar het zou gewoon wat makkelijker werken als ik gewoon zou kunnen typen vandaar dat ik het nog maar een keer vroeg.

Zal trouwens even vragen of hij idd niet zijn numlock aan heeft staan want hij zit idd op een laptop

donderdag 10 juni 2004 16:13

Acties:

Verwijderd

Dat die vriend lcifers krijgt ipv letters, ligt dat niet aan hem? Misschien typt ie in BrEeZaH taal

donderdag 10 juni 2004 23:21

Acties:

Verwijderd

Topicstarter

nou het cijfers/letter probleem is idd opgelost
hiervoor bedankt

nu moet ik hem nog aan het verstand brengen hoe hij die spyware eraf moet krijgen

iig al vast bedankt voor de hulp en zal tzt een update plaatsen over de resultaten.

vrijdag 11 juni 2004 03:49

Acties: