[hijack] startpagina gekaapt door dll-site - Privacy en beveiliging

dinsdag 15 juni 2004 17:29

Acties:

Verwijderd

Topicstarter

sinds gister word mijn startpagina gekaapt door de searchsite "home search"
die van een dll komt nl res://rgwje.dll/index.html#96676

ik heb geprobeert om de site mbv Ad-Aware, Sybot, CwShredder en HiJackthis te verwijderen, maar hij komt steeds terug, soms onder een andere dll naam

weet iemand raad?

dit is het Hijackthislog, ik steeds de regels waarin het dll voorkomt weggehaald, maar ze blijven terugkomen

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
E:\WINDOWS\appzp.exe
E:\WINDOWS\System32\RUNDLL32.EXE
E:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
E:\Program Files\Norton AntiVirus\navapsvc.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\iphc32.exe
E:\Program Files\MSN Messenger\msnmsgr.exe
E:\WINDOWS\system32\rundll32.exe
E:\Program Files\Outlook Express\msimn.exe
E:\Program Files\Messenger\msmsgs.exe
E:\Documents and Settings\Dennis.DF\Desktop\HijackThis.exe
E:\Program Files\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINDOWS\system32\rgwje.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://rgwje.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://rgwje.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINDOWS\system32\rgwje.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://rgwje.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://E:\WINDOWS\system32\rgwje.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5404A399-743F-2283-0E3A-2D7C43197B4B} - E:\WINDOWS\system32\adddx.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [appzp.exe] E:\WINDOWS\appzp.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Adobe Gamma Loader.lnk = E:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m...uctl.CAB?38083.6319444444
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macrome...ve/cabs/flash/swflash.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp01.photoprintit.de/5/defaults/activex/XUpload.ocx

dinsdag 15 juni 2004 17:30

Acties:

wildhagen

Blablabla

code:

1	O4 - HKLM\..\Run: [appzp.exe] E:\WINDOWS\appzp.exe

Verdacht... Haal die file eens door de Jotti-scan: http://virusscan.jotti.dhs.org/

Deze file zie ik nergens in de startup staan, maar hij draait wel, en Google levert 0 hits op, dus haal onderstaande file ook maar door de link hierboven heen:

code:

1	E:\WINDOWS\iphc32.exe

Deze entrie kan ook weg overigens:

code:

1	O2 - BHO: (no name) - {5404A399-743F-2283-0E3A-2D7C43197B4B} - E:\WINDOWS\system32\adddx.dll

[ Voor 60% gewijzigd door wildhagen op 15-06-2004 17:32 ]

Virussen? Scan ze hier!

dinsdag 15 juni 2004 17:48

Acties:

Verwijderd

Topicstarter

Ik heb ze beide gescanned maar er wordt geen virus gevonden, als ik trouwens die Appzp laat fixen door Hijackthis komt ie gewoon weer terug....

dinsdag 15 juni 2004 17:52

Acties:

cutter

Wannabe i7 fanboy

Verwijderd schreef op 15 juni 2004 @ 17:48:
Ik heb ze beide gescanned maar er wordt geen virus gevonden, als ik trouwens die Appzp laat fixen door Hijackthis komt ie gewoon weer terug....

Wel al je browser windows dichthouden en opnieuw opstarten direct na de verwijderactie.

dinsdag 15 juni 2004 17:54

Acties:

wildhagen

Blablabla

Nou, die appzp.exe heb ik ff gedraaid, op een testbak (die uiteraard geen fysieke verbinding met andere PC"s of het internet heeft), en hij wil meteen naar allerlei ultra-vage sites toe. En hij ramt zich ook meteen in de Run-key in het register...

Dus imho is die toch verdacht, ondanks dat geen enkele scanner hem oppikt.. heb hem toch ff gesubmit...

Verder heb ik zo 1-2-3 geen idee hoe dit op te lossen..

Virussen? Scan ze hier!

dinsdag 15 juni 2004 18:09

Acties:

Verwijderd

Topicstarter

alles leek ff goed te gaan; entrys gewist, opnieuw opgestart, ongeveer 10x ging het goed (hoewel ie wel steeds vast liep bij het afsluiten) maar nu ie ie weer terug, wel onder een andere naam

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
E:\WINDOWS\System32\RUNDLL32.EXE
E:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
E:\Program Files\Norton AntiVirus\navapsvc.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\iphc32.exe
E:\WINDOWS\system32\adddx.exe
E:\Program Files\Internet Explorer\iexplore.exe
E:\Documents and Settings\Dennis.DF\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINDOWS\system32\uxgkk.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://uxgkk.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://uxgkk.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINDOWS\system32\uxgkk.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://uxgkk.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://E:\WINDOWS\system32\uxgkk.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5404A399-743F-2283-0E3A-2D7C43197B4B} - E:\WINDOWS\system32\adddx.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [adddx.exe] E:\WINDOWS\system32\adddx.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Adobe Gamma Loader.lnk = E:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m...uctl.CAB?38083.6319444444
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macrome...ve/cabs/flash/swflash.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp01.photoprintit.de/5/defaults/activex/XUpload.ocx

dinsdag 15 juni 2004 19:57

Acties:

Verwijderd

Ik heb precies hetzelfde probleem als jij.. bij mij staat ie alleen onder een andere ..... .dll vermeld.

dinsdag 15 juni 2004 20:04

Acties:

Verwijderd

Topicstarter

Het is echt zwaar klote. Het rare is dat zodra je alles wist, hij weer onder een andere dll terugkomt; wat ik nu gedaan heb, ik weet niet hoelang het werkt, is om die dll te openen met notepad en alles wissen en m dan als lege dll te saven, Zodra je dan Internet opstart krijg je dan een leeg scherm met "cannot fiind server" Is nog niet alles maar is iig beter dan die search site.

mocht je nog een oplossing vinden laat me dan ook ff weten

bvd en suc6!

dinsdag 15 juni 2004 20:05

Acties:

Mike Jarod

Donder alles waar uxgkk.dll of adddx.dll in staat er uit.

Gooi beide .dll's eens door die online scanner van Jotti.

Zoek en draai ook even CWShredder

[ Voor 6% gewijzigd door Mike Jarod op 15-06-2004 20:06 . Reden: ik HAAT die 3% edit bij het wijzigen van 1 letter :( ]

dinsdag 15 juni 2004 23:51

Acties:

Verwijderd

Topicstarter

Ik alle entrys weggegooit maar ze komen meteen weer terug ; CWShredder geeft geen fouten aan......

woensdag 16 juni 2004 10:04

Acties:

Verwijderd

mocht je nog een oplossing vinden laat me dan ook ff weten bvd en suc6!

Van 't weekend maar even mij een maat van me langs gaan. Je hoort van me mocht ik wat vinden.

woensdag 16 juni 2004 10:38

Acties:

Verwijderd

nog 1x proberen
sluit

code:

1
2
3

E:\WINDOWS\iphc32.exe
E:\WINDOWS\system32\adddx.exe
E:\Program Files\Internet Explorer\iexplore.exe

eens af met taskman en als ze terug komen in savemode.

verwijder dan dit met hjt:

code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINDOWS\system32\uxgkk.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://uxgkk.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://uxgkk.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINDOWS\system32\uxgkk.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://uxgkk.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://E:\WINDOWS\system32\uxgkk.dll/sp.html#96676
O2 - BHO: (no name) - {5404A399-743F-2283-0E3A-2D7C43197B4B} - E:\WINDOWS\system32\adddx.dll
O4 - HKLM\..\Run: [adddx.exe] E:\WINDOWS\system32\adddx.exe

woensdag 16 juni 2004 14:57

Acties:

Luniek

Ik heb hetzelfde probleem en ik word er helemaal gek van!
Weet iemand al wat???

http://www.luniek.com

woensdag 16 juni 2004 14:58

Acties:

elevator

Officieel moto fan :)

Luniek - open voor je eigen probleem even een eigen topic. Zorg er wel voor dat je topic volledig voldoet aan de "Topic starten"-policy zoals je deze bovenaan Beveiliging & Virussen kan vinden

woensdag 16 juni 2004 15:39

Acties:

Luniek

Dat gaat niet door die virus....

http://www.luniek.com

woensdag 16 juni 2004 15:50

Acties:

cutter

Wannabe i7 fanboy

HUH... kun je geen eigen topic openen door een virus...

woensdag 16 juni 2004 18:00

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 16 juni 2004 @ 10:38:
nog 1x proberen

...........

[/quote]

nog steeds hetzelfde resultaat, het blijft teugkomen

woensdag 16 juni 2004 18:12

Acties:

Verwijderd

helaas, maar zoek eens op:
http://www.google.nl/sear...eid=mozilla-search&num=20
heb nog geen goede oplossing gevondenm, maar leeg eens al je temp dirs en temp internet files.

woensdag 16 juni 2004 20:13

Acties:

Verwijderd

Topicstarter

tjeemig blijkt een groot probleem te zijn........waarop nog geen echte antwoorden zijn. Zou het helpen, ik doe het liever niet, om een system restore in xp te doen?

woensdag 16 juni 2004 20:23

Acties:

Verwijderd

Dit is een crosspost van mij, daar dit topic wellicht ook wat heeft aan vergelijkingsmateriaal van de hijack log die ik heb vergaard. Misschien zijn er duidelijke overeenkomsten

Dmv het Spybot S&D tooltje kon ik zien dat bij elke page request, er een poging wordt gedaan om het registry te vervuilen. Ik heb alleen geen flauw idee waar ik in het registry de entries moet zoeken die worden uitgevoerd bij page requests. Dan heb je tenminste een startpunt om uit te pluizen.

Nou, toeval alom, mijn moeder heeft hetzelfde probleem op haar systeem. Ik heb cwshredder gedraaid, spybot S&D, adaware, BPS spyware-adware remover, handmatig registry entries verwijderd, maar het is een gemeen goedje. Ook worden er popups geopend met only the best als page title.

Bij elke nieuwe page request van MSIE, staat het troepje er weer. Best bijzonder dat geen enkele anti spyware prog het kan verwijderen.

Haar startpagina komt terecht op res://zvfwu.dll/index.html#96676

Ik heb zvfwu.dll net verwijderd uit de windows dir, maar de aanroep wordt gewoon weer aangemaakt.

Ik heb hier de hijack this logfile misschien komt die op bepaalde punten overeen.

Logfile of HijackThis v1.97.7
Scan saved at 7:39:11 PM, on 6/16/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\CFusionMX\runtime\bin\jrunsvc.exe
C:\CFusionMX\db\slserver52\bin\swagent.exe
C:\CFusionMX\runtime\bin\jrun.exe
C:\CFusionMX\db\slserver52\bin\swstrtr.exe
C:\CFusionMX\db\slserver52\bin\swsoc.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\PROGRA~1\MICROS~2\MSSQL\binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\appau.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\hphmon05.exe
C:\WINDOWS\mssi32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Micha\Local Settings\Temporary Internet Files\Content.IE5\IXR8DW7Y\HijackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zvfwu.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zvfwu.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zvfwu.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zvfwu.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zvfwu.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\zvfwu.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {66A6B404-64CF-F22B-5DA9-5DE0B5DEB9EE} - C:\WINDOWS\system32\appce.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Program Files\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [mssi32.exe] C:\WINDOWS\mssi32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BPSANTISPY] C:\Program Files\BulletProofSoft.com\SpywareRemover\Spyware.exe /STARTUP
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Research (HKLM)
O9 - Extra button: SWF Catcher (HKLM)
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft...-94901338C922/wmv9VCM.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m...iuctl.CAB?38112.530775463
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F13866EF-764E-4C9D-9E04-47D95E3C0EFC}: NameServer = 194.159.73.136,194.159.73.137

[ Voor 4% gewijzigd door Verwijderd op 16-06-2004 20:26 ]

woensdag 16 juni 2004 21:33

Acties:

Verwijderd

ok hier de oplossing:
http://forums.spywareinfo.com/index.php?showtopic=7447
iexplore.exe is dus normaal 82kb en nu dus 89kb..
als je IE opstart dan maakt het die dll en is alles weer zoals het begin.

woensdag 16 juni 2004 22:24

Acties:

Luniek

system restore helpt niet, en wouterwouter2 de oplossing is ook nog niet helder zoals daar op het forum nu nog te lezen is.

http://www.luniek.com

woensdag 16 juni 2004 22:25

Acties:

MadMan81

Bij mij werkt dat helaas niet..

Bovendien is op hier op een niet geinfecteerd systeem IE ook gewoon 89Kb

Cupra Born

woensdag 16 juni 2004 22:41

Acties:

Mike Jarod

Ik vind die link van wouterwouter helemaal niet zo verkeerd eigenlijk. Dan bedoel ik de tips van filemon en regmon. Daarmee kan je vast wel uitvinden wat er allemaal gebeurt als je IE start.

Behalve CWShredder worden hier nog wat andere tooltjes genoemd als je er echt diep in wilt gaan graven

woensdag 16 juni 2004 22:49

Acties:

Freee!!

Trotse papa van Toon en Len!

MadMan81 schreef op 16 juni 2004 @ 22:25:
Bij mij werkt dat helaas niet..

Spijtig voor je

Bovendien is op hier op een niet geinfecteerd systeem IE ook gewoon 89Kb

Bij mij (W2K up to date, IE6 met SP1) is IE ook 89 KB en ik ben er vrij zeker van dat ik geen besmetting heb.

The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long

GoT voor Behoud der Nederlandschen Taal [GvBdNT

donderdag 17 juni 2004 19:16

Acties:

Verwijderd

Topicstarter

iemand nog een idee?

donderdag 17 juni 2004 21:56

Acties:

Verwijderd

Mr. Liu schreef op 16 juni 2004 @ 22:49:
[...]

Spijtig voor je

[...]

Bij mij (W2K up to date, IE6 met SP1) is IE ook 89 KB en ik ben er vrij zeker van dat ik geen besmetting heb.

klopt, er is een ander bestand dat daarna pas die iexplore.exe dingen laat doen en die .dll files laat genereren.
Moet je ff het hele topic doorlezen.

donderdag 17 juni 2004 22:28

Acties:

BoGhi

Hetzelfde probleem, in het andere topic van Luniek heeft ie opgelost. Ik vermoed dat het gewoon een kwestie is van de genoemde stappen consequent doorlopen. Even rustig doorlezen. Vooral dat stukje over de veilige modus niet overslaan..
Suc6.

[ Voor 13% gewijzigd door BoGhi op 17-06-2004 22:29 . Reden: Link naar topic toegevoegd ]

Programmers don't die. They GOSUB without RETURN

vrijdag 18 juni 2004 01:15

Acties:

Verwijderd

Topicstarter

BoGhi schreef op 17 juni 2004 @ 22:28:
Hetzelfde probleem, in het andere topic van Luniek heeft ie opgelost. Ik vermoed dat het gewoon een kwestie is van de genoemde stappen consequent doorlopen. Even rustig doorlezen. Vooral dat stukje over de veilige modus niet overslaan..
Suc6.

Nou ik geloof ook dat ik clean ben $_/-\o_$ $_/-\o_$ , Al wacht ik het nog ff af

. Ik ben, denk ik, wel iets te enthousiast aan het deleten geweest want ik krijg nu bij het opstarten steeds de melding dat 2 dll's niet geladen kunnen worden nl: NVMCTRAY.dll en NvCpl.dll, hoe kan ik die dat weer fixen en/of zijn dit ook "gevaarlijke dll's?

vrijdag 18 juni 2004 01:19

Acties:

Nobby

Nuts!

Verwijderd schreef op 18 juni 2004 @ 01:15:
[...]

Nou ik geloof ook dat ik clean ben $_/-\o_$ $_/-\o_$ , Al wacht ik het nog ff af . Ik ben, denk ik, wel iets te enthousiast aan het deleten geweest want ik krijg nu bij het opstarten steeds de melding dat 2 dll's niet geladen kunnen worden nl: NVMCTRAY.dll en NvCpl.dll, hoe kan ik die dat weer fixen en/of zijn dit ook "gevaarlijke dll's?

Die dll's zijn van je Nvidia agp-kaart

Installeer je detonator drivers weer een keer en alles moet goed zijn.

NvMcTray.dll : Taskbar icon loader for all NVidia brand AGP PCI card driver software configurations.

nvcpl.dll : Library file for NVIDIA display adapter.

BRON: www.google.nl

[ Voor 40% gewijzigd door Nobby op 18-06-2004 01:26 ]

From all the things I have lost, I miss my mind the most - Ozzy
Uitvindingen zijn niets anders dan betere middelen naar een slechter doel - Berry van Aerle
Het uitzetten van je pc is als het dooddrukken van een muis, dat doe je niet zo makkelijk.

vrijdag 18 juni 2004 13:07

Acties:

Verwijderd

Topicstarter

Luniek schreef op 18 juni 2004 @ 09:48:
Proficiat! Wat een hel, he?!

Ja idd! ben blij dat ik er eindelijk vanaf ben!

zaterdag 19 juni 2004 09:52

Acties:

Mike Jarod

_{schaamteloze dubbelpost}

Dit lees ik net op http://www.spywareinfo.com/~merijn/

June 18, 2004:
Please stop emailing me about the new CWS variant that hijacks you to res://<random>.dll/sp.html#96676. I am aware of this new thing, but it's a beast to remove.
A solution is being worked on, see this thread on the SWI forums.

If it's not working for you, or it's too complicated, I heard from several people that this workaround works as well:

* Open the DLL you get hijacked to in Notepad
* Select all content (Ctrl-A) and delete it
* Save the file and exit Notepad
* Find the file in Explorer, right-click it, select Properties, put a checkmark in 'Read-Only' and click OK.

If you can't find the DLL file, make sure your settings allow you to view "Hidden files". Open up any explorer windows and click on "Tools", "Folder Options", "View" and be sure to check off "Show Hidden Files and Folders".

Kortom CWShredder gaat deze vermoedelijk binnenkort herkennen/cleanen