[Malware] about:blank / sp.html * - Privacy en beveiliging

zaterdag 14 augustus 2004 16:09

Acties:

Verwijderd

Topicstarter

ik heb de faqs en zo gelezen en ik kom er echt niet uit, ik heb cwshredder gebruikt, ad-aware en ik krijg het nog niet weg, het gaat om een site waar de openingspagina simpelweg "search for..." heet.
deze bestanden staan allemaal in hijack this als ik een scan uitvoer

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://H:\DOCUME~1\Erik\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://H:\DOCUME~1\Erik\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://H:\DOCUME~1\Erik\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://H:\DOCUME~1\Erik\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://H:\DOCUME~1\Erik\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://H:\DOCUME~1\Erik\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {FE1DC609-1361-407E-B6CD-2E7B43A5CF00} - H:\WINDOWS\System32\jbloi.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - H:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SBDrvDet] H:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] H:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "H:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] H:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "H:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [UpdReg] H:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [TotalRecorderScheduler] "H:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe"
O4 - HKLM\..\Run: [kdx] H:\WINDOWS\kdx\KHost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "H:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = H:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedi...wave/cabs/director/sw.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net...in/QuickTimeInstaller.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn...rStatsClient.cab27571.cab
O16 - DPF: {9FC5238F-12C4-454F-B1B5-74599A21DE47} (Webshots Photo Uploader) - http://community.webshots.com/html/WSPhotoUploader.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX/kdx.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab

Als iemand me kan helpen om de troep van m'n computer af te halen waardeer ik dat erg...ik kan veel sites niet eens meer openen door die zooi

zaterdag 14 augustus 2004 16:26

Acties:

Resistor

Niet meggeren!

Zet het log eens tussen

code:

1	[code]...[/code]

tags, zo krijg ik hoofdpijn. (en een paar enters)

En een beetje vooronderzoek doen kan ook geen kwaad.

code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = 
file://H:\DOCUME~1\Erik\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = 
file://H:\DOCUME~1\Erik\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
file://H:\DOCUME~1\Erik\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = 
file://H:\DOCUME~1\Erik\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
file://H:\DOCUME~1\Erik\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
file://H:\DOCUME~1\Erik\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = 
about:blank

http://www.trojaner-info....jackthis/about_blank.html lijkt mij meer info te geven (Duits)
En anders [google=sp.html hijacker]

code:

1 2	O2 - BHO: (no name) - {FE1DC609-1361-407E-B6CD-2E7B43A5CF00} - H:\WINDOWS\System32\jbloi.dll

Wat is dit? gooi het eens door Google of de Jottiscan. (zie faq)

code:

1 2	O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL O4 - HKLM\..\Run: [UpdReg] H:\WINDOWS\UpdReg.EXE

Waar zijn deze van? Lijkt mij wel legitiem, maar weet het niet zeker.

code:

1	O4 - HKLM\..\Run: [kdx] H:\WINDOWS\kdx\KHost.exe

idem

Het is hier geen 'dump hier je log en krijg hulp' forum.

[ Voor 5% gewijzigd door Resistor op 14-08-2004 16:29 ]

What will end humanity? Artificial intelligence or natural stupidity?

zaterdag 14 augustus 2004 16:38

Acties:

Pendaco

Vogon Poetry FTW!

Resistor schreef op 14 augustus 2004 @ 16:26:
code:
1
2
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [UpdReg] H:\WINDOWS\UpdReg.EXE
Waar zijn deze van? Lijkt mij wel legitiem, maar weet het niet zeker.

de 1ste is onderdeel van Sound Blaster Audigy kaart,
en de 2de is een update functie voor de geluidskaart.

(de 2de is voor de meesten overbodig en kan verwijdert/uitgeschakeld worden)

zaterdag 14 augustus 2004 16:40

Acties:

Verwijderd

daar hadden we hier toch zo'n mooie handleiding voor? /me Misterjonge is even zoeken

edit

pats

[ Voor 34% gewijzigd door Verwijderd op 14-08-2004 16:41 ]

zaterdag 14 augustus 2004 16:43

Acties:

WimB

About:Buster in veilige modus kan wonderen doen.

zaterdag 14 augustus 2004 19:11

Acties:

Verwijderd

Welkom op GoT,

About:blank / sp.html 'infecties' zijn al vaker voorbijgekomen hier.
Ik wil je dan ook verzoeken om daar eens op te searchen mocht WimB's oplossing niet werken.

Titel wat aangepast.

zaterdag 14 augustus 2004 19:57

Acties:

Verwijderd

Topicstarter

hartelijk dank mensen, ik ga gelijk bezig om het te repareren, de reden dat ik niks kon vinden in de search was omdat ik simpelweg niet wist dat het probleem bij de sp.html lag...ik heb niet zoveel verstand van virussen en hijackerzooi, in ieder geval bedankt, en nou maar hopen dat ik het wegkrijg

*Edit*ik denk dat ik een betere oplossing heb gevonden: firefox

, leuk programmatje

[ Voor 14% gewijzigd door Verwijderd op 14-08-2004 19:59 ]