Irritante secure.html worm/spyware? - Privacy en beveiliging

maandag 5 juli 2004 10:11

Acties:

Big Kahuna

Topicstarter

'mogguh
Ik heb per ongeluk een wormpje (denk ik) op mijn PC gekregen. De startpagina van mijn Internet Explorer wordt steeds automatisch op "C:\Windows\secure.html" gezet, ook al zet ik dit handmatig steeds weer uit. Dan krijg ik een blauwe pagina te zien die vervolgens allerlei popups en sites opent, zelfs een site die een bestand wil plaatsen dat Norton Anti Virus afvangt als zijnde een virus.

Needless to say dat dit irritant is. Norton AV draaien helpt niet, en Ad-aware en Spybot evenmin. Met Ad-watch kan ik het wijzigen van de startpagina wel blocken, maar dan krijg ik veertig van die meldingen per minuut, waardoor het systeem alsnog onwerkbaar wordt.

Heeft iemand hier een oplossing voor? Oh, het handmatig deleten van "C:\Windows\secure.html" heeft geen zin, dan wordt 'ie binnen een seconde weer teruggezet. Ook heb ik HijackThis gedraaid, en die registerkeys waar secure.html als default pagina stond ingesteld, eruit gekicked. Dit alles heeft nog niet mogen helpen helaas....

Bedankt!

20 x 310 Wp = 6.200 Wp @ SMA op zuid | PVOutput.org

maandag 5 juli 2004 10:14

Acties:

LuCarD

Certified BUFH

Post de log file van HijackThis eens?

Verwijderd schreef op 28 juni 2004 @ 12:04:
Gebruik de search eens en zoek op blazefind.
Verhelp dmv. een van de topics die je vindt de blazefindcrap en post dan eventueel een nieuw log hier om te zien of je clean bent.

[ Voor 80% gewijzigd door LuCarD op 05-07-2004 10:18 ]

Programmer - an organism that turns coffee into software.

maandag 5 juli 2004 10:34

Acties:

BeQuietAndDrive

Big Kahuna

Topicstarter

Ik heb gezocht op blazefind, maar ik heb geen searchbar of andere taskbar problemen. Ik heb alleen last van bovengenoemd probleem en dat lijkt los te staan van blazefind.

De Hijack log zal ik vanavond posten, ben nu namelijk niet thuis

Ik heb wel al dit gevonden op een ander forum, dat ga ik eens proberen:

What keeps resetting your home page back to point at secure.html, and what is reincarnating the file everytime you delete it is caused by a DLL file imbedded in explorer.exe called system32.dll. I found this file in C:\Windows\system32\system32.dll.

You cannont delete the dll file while it loaded, so you will have to delete it while explorer.exe is not running. I removed this virus by going to http://www.grisoft.com and downloading the free virus scanner to scan my system. After doing a common scan, it detected system32.dll as infected. From here, I opened the task manager and closed explorer.exe, then I had the program wipe the infected file. Remember: You cannot remove the infected file while it is loaded, (while explorer is running) so before making any attempt to remove it, make sure that the dll is not in memory.

I suppose you could also attempt to remove it by opening a command prompt, then closing explorer, then navigate the file via the cmd prompt and just del the dll.

After I cleared that file, I could set my homepage back to good old google, I had no more porn pop ups, and the horrible lag I was having with explorer vanished. Peace had returned to my tranquil pc.

Misschien help ik hier anderen ook wel mee.

20 x 310 Wp = 6.200 Wp @ SMA op zuid | PVOutput.org

maandag 5 juli 2004 22:47

Acties:

BeQuietAndDrive

Big Kahuna

Topicstarter

Bovenstaande lijkt idd geholpen te hebben, behalve als ik nu www.google.nl (of yahoo.com, whatever search engine), dan krijg ik die secure.html weer

Voor de zekerheid toch even mijn Hijack-log, misschien dat iemand er zijn deskundig licht op kan laten schijnen? Thanx!

Logfile of HijackThis v1.98.0
Scan saved at 22:44:58, on 5-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\TCAUDIAG.exe
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\explorer.exe
C:\WINDOWS\system32\explorer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Logitech\Profiler\lwemon.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Plextor\PlexTool.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe
D:\Downloads\Appz\Hijackthis\HijackThis.exe

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {47FE4100-E535-48B8-8056-665509A42D18} - C:\WINDOWS\System32\gaixbu.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -on
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\explorer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Program Files\Logitech\Profiler\lwemon.exe" /noui
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: PlexTools Professional.lnk = C:\Program Files\Plextor\PlexTool.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net...in/QuickTimeInstaller.exe
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O21 - SSODL: System - {D0955D6A-5818-4204-BA0E-BD8699CE4B0F} - C:\WINDOWS\system32\system32.dll (file missing)

20 x 310 Wp = 6.200 Wp @ SMA op zuid | PVOutput.org

dinsdag 6 juli 2004 07:37

Acties:

WimB

Kijk dit allemaal al eens na:

code:

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
O2 - BHO: (no name) - {47FE4100-E535-48B8-8056-665509A42D18} - C:\WINDOWS\System32\gaixbu.dll
O21 - SSODL: System - {D0955D6A-5818-4204-BA0E-BD8699CE4B0F} - C:\WINDOWS\system32\system32.dll (file missing)

dinsdag 6 juli 2004 07:42

Acties:

crisp

Devver

Pixelated

check ook je hosts file even

Intentionally left blank

dinsdag 6 juli 2004 09:48

Acties:

wildhagen

Blablabla

code:

1	O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\explorer.exe

Die is FOUT! Explorer.exe staat in \WINDOWS, niet in System32, en al helemaal niet in de Run-key.

Haal die maar eens door de Jotti-scan: http://virusscan.jotti.dhs.org/

Virussen? Scan ze hier!

maandag 12 juli 2004 18:52

Acties:

BeQuietAndDrive

Big Kahuna

Topicstarter

Ik ben nu van alle problemen af, thanx! Ik vroeg me alleen nog af wat deze precies doet:

code:

1	O2 - BHO: (no name) - {47FE4100-E535-48B8-8056-665509A42D18} - C:\WINDOWS\System32\gaixbu.dll

Ik kan er op internet niets over vinden.... weet iemand of deze entry daar hoort of niet? Ik draai Windows XP Home UK.

[ Voor 5% gewijzigd door BeQuietAndDrive op 12-07-2004 18:54 ]

20 x 310 Wp = 6.200 Wp @ SMA op zuid | PVOutput.org

maandag 12 juli 2004 19:02

Acties:

0xDEADBEEF

Dit lijkt me op Korgo:

code:

1	O2 - BHO: (no name) - {47FE4100-E535-48B8-8056-665509A42D18} - C:\WINDOWS\System32\gaixbu.dll

http://www.google.com/sea...e+%2Bsystem32&btnG=Search

edit:
En het is een BHO.

[ Voor 17% gewijzigd door 0xDEADBEEF op 12-07-2004 19:03 ]

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

maandag 12 juli 2004 21:04

Acties:

BeQuietAndDrive

Big Kahuna

Topicstarter

Klinkt als "kan weg" dus?

20 x 310 Wp = 6.200 Wp @ SMA op zuid | PVOutput.org

dinsdag 13 juli 2004 11:28

Acties:

0xDEADBEEF

_{Pin me er niet op vast dat het echt Korgo is, NAV zou die namelijk wel moeten detecteren.}

BeQuietAndDrive schreef op 12 juli 2004 @ 21:04:
Klinkt als "kan weg" dus?

Haal die gaixbu.dll voor de zekerheid door virusscan.jotti.dhs.org die je uiteraard bezoekt met Mozillla

offtopic:
Hoi wildhagen

[ Voor 20% gewijzigd door 0xDEADBEEF op 13-07-2004 11:38 ]

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

dinsdag 13 juli 2004 12:12

Acties:

FlipFluitketel

Frontpage Admin

Kijk eens even op deze pagina: http://easyrcon.com/spyremove/

Tooltje wat daar staat heb ik laatst ook bij iemand gebruikt en daarna was het opgelost..

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!