[Hijack] Home Search als startpagina (.dll file) - Privacy en beveiliging

dinsdag 15 juni 2004 20:08

Acties:

Verwijderd

Topicstarter

Mijn pc wordt sinds vandaag geteisterd door de startpagina Home Search, welke in bestandvorm als lhgrk.dll/sp.html#96676 op mijn pc staat.

- Ad-Aware herkent 'm als spyware en verwijderd 'm inderdaad ook. Echter na reboot staat het bestand gewoon weer op mijn pc.
- SpyBot S&D herkent dit bestand ook als spyware, verder zelfde verhaal als hierboven.

HijackThis zegt dit: --> let op het winrt.exe, dit is een onbekend proces welke ik ook niet kan eindigen of verwijderen. Tevens staat er af en toe het msny32.exe welke mij ook onbekend is.

Logfile of HijackThis v1.97.7
Scan saved at 19:59:12, on 15-6-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
F:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINNT\System32\svchost.exe
F:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\winrt.exe
C:\WINNT\Explorer.EXE
F:\Program Files\Creative\PROGRAM\CTMIX32.EXE
F:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\R.van den Brink\Bureaublad\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\lhgrk.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://lhgrk.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://lhgrk.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\lhgrk.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://lhgrk.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\lhgrk.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door chello broadband
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\program files\Adobe\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7030B6C9-592F-750B-38BF-BE5DD6C98CAB} - C:\WINNT\system32\netna32.dll
O3 - Toolbar: @msdxmLC.dll,-1@1043,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [CreativeMixer] f:\Program Files\Creative\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [vptray] F:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Office\Office\OSA9.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.chello.nl/
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.nl
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C010E82-F82A-46F2-A27A-92AE05D5BF61}: NameServer = 212.142.28.66,212.142.28.130

CWShredder zegt dit:

Windows 2000 (5.00.2195 SP4)
Windows dir: C:\WINNT
Windows system dir: C:\WINNT\system32
AppData folder: C:\Documents and Settings\R.van den Brink\Application Data
Username: R.van den Brink

Hosts file not present
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINNT\system32\userinit.exe,
Found Win.ini file: C:\WINNT\win.ini (635 bytes, A)
Found System.ini file: C:\WINNT\system.ini (231 bytes, A)

Ik heb zo'n beetje al het mogelijk dat in mijn macht ligt gedaan, maar wordt hier nogal

van. Hulp wordt erg op prijs gesteld!!!! Tnx

dinsdag 15 juni 2004 20:13

Acties:

Mike Jarod

Begin eens met dit weg te halen

code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\lhgrk.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://lhgrk.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://lhgrk.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\lhgrk.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://lhgrk.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\lhgrk.dll/sp.html#96676
O2 - BHO: (no name) - {7030B6C9-592F-750B-38BF-BE5DD6C98CAB} - C:\WINNT\system32\netna32.dll
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

edit:
Schouw

dinsdag 15 juni 2004 20:14

Acties:

Verwijderd

code:

1 2	C:\WINNT\winrt.exe msny32.exe

Zoek die files en scan ze eens hier: http://www.kaspersky.com/scanforvirus.html

code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\lhgrk.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://lhgrk.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://lhgrk.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\lhgrk.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://lhgrk.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\lhgrk.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

Dat mag je fixen.

Net zoals deze:

code:

1	O2 - BHO: (no name) - {7030B6C9-592F-750B-38BF-BE5DD6C98CAB} - C:\WINNT\system32\netna32.dll

Dit is waarschijnlijk de boosdoener.

En ook deze nog:

code:

1	O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

Edit:

MJ

donderdag 17 juni 2004 20:25

Acties:

Verwijderd

Topicstarter

Ok, het zit dus zo (ga het proberen te omschrijven):

De home search startpagina wordt veroorzaakt door een .dll bestand die telkens weer een andere naam krijgt. Dit bestand is te verwijderen maar komt dus gewoon weer terug.
Veroorzaker hier van is een .exe bestand, verder zelfde riedeltje. Dit alles wordt uiteindelijk veroorzaakt door een .exe bestand wiens proces niet te stoppen is en niet te verwijderen is.

Zodra IE opgestart wordt is komt alles weer terug, dus je blijft aan de gang met adaware, hijackthis etc..

Ik ga lekker formaten dit weekend en ga over op mozilla, lijkt mij tot nu toe enige oplossing.

Mocht er nog voortijdig een oplossing komen.. let me know!

donderdag 17 juni 2004 20:30

Acties:

Verwijderd

Heb je gedaan wat in m'n post staat?
En dan doel ik voornamelijk op het scannen van die files.

donderdag 17 juni 2004 22:52

Acties:

Vlassie1980

Ik heb dus ook hiermee te maken en vindt het dus ook super irritant, ik ben nogal een n00b op beveiligingsgebied.

Zou iemand me a.u.b. stap voor stap uit kunnen leggen waar ik bovenstaande regels kan verwijderen of moet ik daar een speciaal programma voor gebruiken?

Bvd

vrijdag 18 juni 2004 09:50

Acties:

Luniek

Kijk even bij de thread van mij: Malware-achtige verschijnselen op pc niet weg te krijgen*
Even rustig doorlezen allemaal en alles stap voor stap doen. Dan moet het lukken!
Succes, want je zult er wel even mee bezig zijn...

http://www.luniek.com

zaterdag 19 juni 2004 09:53

Acties:

Mike Jarod

_{en nog een keer een crosspost (is beter voor de search)}

Dit lees ik net op http://www.spywareinfo.com/~merijn/

June 18, 2004:
Please stop emailing me about the new CWS variant that hijacks you to res://<random>.dll/sp.html#96676. I am aware of this new thing, but it's a beast to remove.
A solution is being worked on, see this thread on the SWI forums.

If it's not working for you, or it's too complicated, I heard from several people that this workaround works as well:

* Open the DLL you get hijacked to in Notepad
* Select all content (Ctrl-A) and delete it
* Save the file and exit Notepad
* Find the file in Explorer, right-click it, select Properties, put a checkmark in 'Read-Only' and click OK.

If you can't find the DLL file, make sure your settings allow you to view "Hidden files". Open up any explorer windows and click on "Tools", "Folder Options", "View" and be sure to check off "Show Hidden Files and Folders".

Kortom CWShredder gaat deze vermoedelijk binnenkort herkennen/cleanen

maandag 21 juni 2004 15:10

Acties:

Verwijderd

Topicstarter

@ Schouw: heb de files gescant, maar worden niet herkent als virus. Verder blijft alles terugkomen.

Wacht nog even af mbt tot post hierboven.

woensdag 23 juni 2004 14:17

Acties:

Verwijderd

GVd ik zit presies met hetzelfde kreng en niks werk er tot nu toe tegen, heb het nu zover dat ie iig de pagina niet meer vind en gewoon aangeeft : pagina niet gevonden maar het is geen premanente oplossing, hoop dat die lui van CWShredder een oplossing vinden

woensdag 23 juni 2004 17:04

Acties:

CaptBiele

No Worries!

ik heb hetzelfde probleem gehad. CWShredder is wel goed, maar als je een smerig bestandje laat staan, dan kan je de volgende keer weer van voor af aan beginnen.

Je moet echt per bestand gaan controleren of het daar thuis hoort of niet. Het had mij de vorige keer zo veel tijd gekost omdat ik een bestand zag van C:\windows\system32\nogiets
maar dat moest dus zijn: C:\windows\nogiets heel irri.....

vrijdag 25 juni 2004 10:56

Acties:

Verwijderd

Topicstarter

YIHAAAAAAAAAAAA ik ben d'r vanaf!!!!!!!!!!!!!!!

Mijn oplossing:

rebooten in veilige modus, hijackthis en cwshredder erover heen halen en vervolgens in je register zoeken naar de bestanden die gevonden werden in hijackthis.