:strip_icc():strip_exif()/u/14/wildhagen60x60.jpg?f=community)
*schaam* *schaam*
Ja, hoor, het is zover. Vraag me niet *HOE* ik eraan kom, want Joost mag het weten, en als hij het weet mag hij het mij melden, want ik vind het ultra-vaag....
Uiteraard heb ik zaken als Ad-Aware gedraaid en Vriend Google gebruikt, maar zonder resultaat, anders werd hier dit topic niet gepost natuurlijk (de meesten kennen me hier wel denk ik zo).
Jotti-scan (http://virusscan.jotti.dhs.org/) leverde als resultaat op (o.a.) als virusnaam "TrojanDownloader.Win32.Agent.an" (Kaspersky's naamgeving). Ik kan hier op Google NUL hits over vinden, en helaas vind ik de zoekfunctie van KAV's virusdatabase nogal een draak, ik heb er nooit mee overweg gekund.
Mijn eigen virusscanner (McAfee Enterprise 8.0i beta2, DAT 4367, engine 4.3.20) vind hem niet. Na submit bij NAI word hij als "Heuristic detection: New Malware.X" genoemd en naar een "research analyst geforward". Je raad het al: de NAI site meld niets over deze melding
Ik heb de entry uiteraard met HT al weggegooid, ik ben ook niet helemaal van gisteren. Maar helaas, de entry komt steeds terug.
Dit is de log:
Het gaat dus om die BHO-regel met winoa32.dll erin. De rest is volledig legitiem, voor zover ik kan beoordelen...
Heeft iemand nog ideeën, suggesties of links? Ik vind dit wel heel lullig... probeer altijd heel goed uit te kijken en nu ben ik zelf slachtoffer geworden
Resultaat van dit onding is namelijk dat er in IE een # voor elke URL word gezet waardoor deze dus niet kan resolven. Mogelijk doet hij nog meer, maar dat heb ik (nog) niet kunnen achterhalen...
Ja, hoor, het is zover. Vraag me niet *HOE* ik eraan kom, want Joost mag het weten, en als hij het weet mag hij het mij melden, want ik vind het ultra-vaag....
Uiteraard heb ik zaken als Ad-Aware gedraaid en Vriend Google gebruikt, maar zonder resultaat, anders werd hier dit topic niet gepost natuurlijk (de meesten kennen me hier wel denk ik zo).
Jotti-scan (http://virusscan.jotti.dhs.org/) leverde als resultaat op (o.a.) als virusnaam "TrojanDownloader.Win32.Agent.an" (Kaspersky's naamgeving). Ik kan hier op Google NUL hits over vinden, en helaas vind ik de zoekfunctie van KAV's virusdatabase nogal een draak, ik heb er nooit mee overweg gekund.
Mijn eigen virusscanner (McAfee Enterprise 8.0i beta2, DAT 4367, engine 4.3.20) vind hem niet. Na submit bij NAI word hij als "Heuristic detection: New Malware.X" genoemd en naar een "research analyst geforward". Je raad het al: de NAI site meld niets over deze melding
Ik heb de entry uiteraard met HT al weggegooid, ik ben ook niet helemaal van gisteren. Maar helaas, de entry komt steeds terug.
Dit is de log:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
| Logfile of HijackThis v1.97.7
Scan saved at 21:03:57, on 18-6-2004
Platform: Unknown Windows (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\Program Files\Norton Internet Security\NISUM.EXE
D:\PROGRA~1\APC\POWERC~1\APC\POWERC~1\agent\pbeagent.exe
D:\PROGRA~1\APC\POWERC~1\APC\POWERC~1\server\PBESER~1.EXE
D:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
D:\Program Files\Network Associates\Common Framework\FrameworkService.exe
D:\Program Files\Network Associates\VirusScan\Mcshield.exe
D:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
D:\Program Files\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\System32\vmnat.exe
C:\WINDOWS\system32\atlva32.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\vmnetdhcp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Motherboard Monitor 5\MBM5.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
D:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
D:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
D:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe
D:\Program Files\Babylon\Babylon.exe
D:\Program Files\WinZip\WZQKPICK.EXE
D:\Program Files\SEC\Natural Color\NaturalColorLoad.exe
D:\Program Files\KeirNet\K9\K9.exe
D:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
D:\Program Files\mozilla.org\Mozilla\mozilla.exe
D:\Program Files\BOINC\boinc_gui.exe
C:\WINDOWS\system32\cmd.exe
g:\HijackThis.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.nl/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {B849DA45-86A4-E0DA-DD53-02A7363DFCC4} - C:\WINDOWS\winoa32.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [MBM 5] "D:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ShStatEXE] "D:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [Mozilla Quick Launch] "D:\Program Files\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [Babylon Translator] D:\Program Files\Babylon\Babylon.exe
O4 - HKCU\..\Run: [RssReader] D:\Program Files\RssReader\RssReader.exe
O4 - Startup: Launch K9.lnk = D:\Program Files\KeirNet\K9\K9.exe
O4 - Startup: NaturalColorLoad.lnk = ?
O4 - Global Startup: BOINC.lnk = D:\Program Files\BOINC\boinc_gui.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\ipsecdialer.exe
O4 - Global Startup: NaturalColorLoad.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Research (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/296159719cada9a2bc18/netzip/RdxIE601.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20031216/qtinstall.info.apple.com/mickey/us/win/QuickTimeInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/0fb5e03023def1/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37898.0514351852
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.rav.ro/scan/ravonline.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/en/check/qdiagh.cab?316
O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - http://activex.microsoft.com/activex/controls/sdkupdate/sdkinst.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab |
Het gaat dus om die BHO-regel met winoa32.dll erin. De rest is volledig legitiem, voor zover ik kan beoordelen...
Heeft iemand nog ideeën, suggesties of links? Ik vind dit wel heel lullig... probeer altijd heel goed uit te kijken en nu ben ik zelf slachtoffer geworden
Resultaat van dit onding is namelijk dat er in IE een # voor elke URL word gezet waardoor deze dus niet kan resolven. Mogelijk doet hij nog meer, maar dat heb ik (nog) niet kunnen achterhalen...
Virussen? Scan ze hier!
:strip_exif()/u/69352/eye.gif?f=community)
