[IE] last van spyware (martfinder? sp.html) krijg niet weg - Privacy en beveiliging

zaterdag 26 juni 2004 12:05

Acties:

0 Henk 'm!

Topicstarter

Ik heb last van spyware. Ik heb al heel veel keren geprobeerd dit weg te krijgen (spybot, ad-aware, en een hoop met de hand), maar steeds blijft hij terug komen.

De ene keer is het van martfinder, en de andere keer is het weer iets anders.

De reclames of spam die ik steeds krijg gaan over dat mijn computer niet goed beveiligd is etc. En dat er spyware geconstateerd is. Vaak wordt de browser (IE6) mijn besturingssysteem (XP) enzo ook nog vermeld.
Wat erg opvallend is is dat er ook vaak een popup komt met 5 * 2 kevers, die met elkaar aan het neuken zijn in allerlei standjes (een groot animated gifje eigenlijk), daar staat dan ook weer allerlei teksten bij.

Dit is de HiJack log die hijack produceerde. Hier wordt ik alleen niet veel duidelijker uit. Alle R1 en R0 registers heb ik al meerdere malen (10< maal) verwijdert, maar die blijft steeds maar terug komen.

code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\lkhlja.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\lkhlja.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\lkhlja.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\lkhlja.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\lkhlja.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\lkhlja.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: TX4 - {00000000-0C95-B1F8-547A-405204D6961A} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\program files\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {3194D6D6-F96F-47B3-B0BD-0392E92815D8} - (no file)
O2 - BHO: (no name) - {4B230381-FD39-4568-83BF-315493D70BFC} - C:\WINDOWS\System32\cbm.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {F3488C86-023A-45C4-B6C4-B60E45C77BA4} - C:\WINDOWS\System32\lkhlja.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup"
O4 - HKLM\..\Run: [CTSysVol] "C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe"
O4 - HKLM\..\Run: [CTDVDDet] "C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE"
O4 - HKLM\..\Run: [CTHelper] "CTHELPER.EXE"
O4 - HKLM\..\Run: [AsioReg] "REGSVR32.EXE /S CTASIO.DLL"
O4 - HKLM\..\Run: [UpdReg] "C:\WINDOWS\UpdReg.EXE"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Program Files\Dell AIO Printer A920\dlbkbmgr.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDSentry] "C:\WINDOWS\System32\DSentry.exe"
O4 - HKLM\..\Run: [dla] "C:\WINDOWS\system32\dla\tfswctrl.exe"
O4 - HKLM\..\Run: [win32.exe] C:\WINDOWS\win32.exe
O4 - HKLM\..\Run: [zsysdll32.dll] C:\WINDOWS\system\sysdll32.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Create Mobile Favorite (HKLM)
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM)
O9 - Extra button: Onderzoek (HKLM)
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\windows\win.exe
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {69432678-2906-2705-1128-068943397621} - 
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O19 - User stylesheet: C:\WINDOWS\win32.bmp

Iemand een idee hoe het wel verwijdert kan worden? Ik heb ook al alle geinstalleerde software doorgelopen, maar ook daar kon ik geen verdachte programma's vinden...

zaterdag 26 juni 2004 12:06

Acties:

0 Henk 'm!

wildhagen

Blablabla

code:

O4 - HKLM\..\Run: [win32.exe] C:\WINDOWS\win32.exe
O4 - HKLM\..\Run: [zsysdll32.dll] C:\WINDOWS\system\sysdll32.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\windows\win.exe
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe

Die vier zijn vrijwel zeker virussen of andere malware. Haal ze maar eens door de Jotti-scan: http://virusscan.jotti.dhs.org/

Deze entries mogen weg:

code:

O2 - BHO: (no name) - {3194D6D6-F96F-47B3-B0BD-0392E92815D8} - (no file)
O2 - BHO: (no name) - {4B230381-FD39-4568-83BF-315493D70BFC} - C:\WINDOWS\System32\cbm.dll (file missing)
O2 - BHO: (no name) - {F3488C86-023A-45C4-B6C4-B60E45C77BA4} - C:\WINDOWS\System32\lkhlja.dll
O16 - DPF: {69432678-2906-2705-1128-068943397621} -

Heb je overigens ook CWShredder al eens geprobeer, uiteraard de nieuwste versie?

[ Voor 68% gewijzigd door wildhagen op 26-06-2004 12:12 ]

Virussen? Scan ze hier!

zaterdag 26 juni 2004 12:11

Acties:

0 Henk 'm!

burlapp

Topicstarter

maar hoe kan het dan dat Norton dit niet detecteerd? Ik heb de nieuwste update....

Kan ik het bestand gewoon onder safe-mode wissen?? Of moet er nog meer gebeuren?

zaterdag 26 juni 2004 12:13

Acties:

0 Henk 'm!

wildhagen

Blablabla

burlapp schreef op 26 juni 2004 @ 12:11:
maar hoe kan het dan dat Norton dit niet detecteerd? Ik heb de nieuwste update....

Omdat niet alle virusscanners alle virussen af vangen, er is er niet één die dat kan. Daarnaast staat Norton ook niet bekend als een van de beste virusscanners.

Kan ik het bestand gewoon onder safe-mode wissen?? Of moet er nog meer gebeuren?

Ik zou iig even opzoeken met WELK virus(sen) we te maken hebben (via de link die ik gaf bijvoorbeeld, of via onlinescanners). Het kán link zijn om zomaar malware te verwijderen zonder de uitwerking te kennen. De overiges entries (die onderste lijst van mij) kunnen wel zo weggehaal worden.

Virussen? Scan ze hier!

zaterdag 26 juni 2004 12:18

Acties:

0 Henk 'm!

burlapp

Topicstarter

Ja, ok, al die bestanden die je aanmerkte, zijn idd. mailware virussen. Maar op die site zelf staat geen info over het wissen. Als het echt dus virussen zijn (zoals het nu blijkt, kan ik ze dan wel wissen? Of is ook dat riskant?

zaterdag 26 juni 2004 12:22

Acties:

0 Henk 'm!

wildhagen

Blablabla

Gezien de gedetecteerde virussen kan je de entries idd veilig weghalen.

Virussen? Scan ze hier!

zaterdag 26 juni 2004 17:25

Acties:

0 Henk 'm!

burlapp

Topicstarter

hmmm, nu heb ik kasparsky antivirus dus geinstalleerd, de hele zooi nagelopen. Maar nu blijft die popup komen. En ook de startpagina blijft veranderen.

Ik heb die bestanden die in dat HiJack bestand stonden gewist. Iemand een idee??

zaterdag 26 juni 2004 17:29

Acties:

0 Henk 'm!

Mike Jarod

Probeer dit eens?

[rml]Mike Jarod in "[ IEXPLORER] Last van adware - sp.html"[/rml]

zaterdag 26 juni 2004 17:31

Acties:

0 Henk 'm!

Verwijderd

Mike Jarod schreef op 26 juni 2004 @ 17:29:
Probeer dit eens?

[rml]Mike Jarod in "[ IEXPLORER] Last van adware - sp.html"[/rml]

Die werkt

Gister nog bij een maatje van me toegepast.

zaterdag 26 juni 2004 17:38

Acties:

0 Henk 'm!

burlapp

Topicstarter

relaxed! Die link werkte ook bij mij!

thnx

zaterdag 26 juni 2004 17:49

Acties:

0 Henk 'm!

Mike Jarod

Gelukkig

Ik kwoot nog even dat andere topic, makkelijker voor een ander met hetzelfde probleem die de search gebruikt:

Dit is hetzelfde als de post van BoGhi, maar ik kwam daar dankzij dit draadje.

Samengevat:
Download dit progsel: klik (voor meer info klik).
Draai na herstarten de nieuwste versie van CWShredder.

zaterdag 10 juli 2004 12:21

Acties:

0 Henk 'm!

Scheppie

Ik had hetzelfde probleem, maar het is opgelost zoals hierboven beschreven is.

Thanks gasten!