Toon posts:

[Spyware] searchfind.info pop-ups

Pagina: 1
Acties:

donderdag 26 augustus 2004 02:05

Acties:
  • Alphega
  • Registratie: Oktober 2001
  • Laatst online: 02-05 22:43

Alphega

Topicstarter
Ik heb hier een pc waar volgens mij spyware op staat. Ik dacht dat het er af was maar nu krijg ik steeds een popup in IE die linkt naar de site "searchfind.info". Dit terwijl Mozilla Firefox mijn default browser is. Mijn windows updates waren voor dit probleem begon al up to date.

Wat ik heb gedaan:
"AdAware SE" (vantevoren geupdate): deze vind niets.
"Spy Sweeper" (vantevoren geupdate): deze vind niets.
"CWShredder" (de update van dit programma werkt op dit moment niet maar setup is in ieder geval wel net gedownload): deze vind niets
"AboutBuster": hoefde niets te fixen
"sphjfix 107": hoefde niets te fixen
"Spybot S&D" (ook een keer laten rebooten en bij boot laten draaien)

Spybot vind steeds dezelfde fout (zie screenshot) zegt deze vervolgens gefixed te hebben en als je dan weer scant staat diezelfde fout er nog steeds.
Afbeeldingslocatie: http://home.tiscali.nl/fambekkers/Alphega/files/Spybot.jpg

Dit is de HijackThis log:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60

Logfile of HijackThis v1.98.2
Scan saved at 3:07:56, on 26-8-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MailWasher\MailWasher.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
D:\Programs\mIRC\mirc.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
D:\Desktop\Desktop Alphega\hijackthis1982.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NvMixerTray] C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: MailWasherPro.lnk = C:\Program Files\MailWasher\MailWasher.exe
O4 - Startup: mIRC.lnk = D:\Programs\mIRC\mirc.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6211AC26-A1B4-422A-AC52-1E70B7D24465} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/nl/filesharingctrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093040214343
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9145B37A-176D-44EC-AA45-60D8381273FD}: NameServer = 195.241.48.33,195.241.49.33


Mijn vraag is nu, hoe krijg ik deze spyware weg?

[edit]
Net als bij de bekendere variant heb je hier ook een url http://www.searchfind.info/uninstall.exe deze draaien lijkt alleen niets te helpen.
Ik vermoed dat deze 2 dingen gefixed moeten worden door HijackThis:
"R3 - Default URLSearchHook is missing"
"O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)"
Mogen deze 2 entries inderdaad gefixed worden?

[ Voor 55% gewijzigd door Alphega op 26-08-2004 03:23 ]

donderdag 26 augustus 2004 10:27

Acties:

Verwijderd

Alphega schreef op 26 augustus 2004 @ 02:05:
Ik heb hier een pc waar volgens mij spyware op staat. Ik dacht dat het er af was maar nu krijg ik steeds een popup in IE die linkt naar de site "searchfind.info". Dit terwijl Mozilla Firefox mijn default browser is. Mijn windows updates waren voor dit probleem begon al up to date.

Wat ik heb gedaan:
"AdAware SE" (vantevoren geupdate): deze vind niets.
"Spy Sweeper" (vantevoren geupdate): deze vind niets.
"CWShredder" (de update van dit programma werkt op dit moment niet maar setup is in ieder geval wel net gedownload): deze vind niets
"AboutBuster": hoefde niets te fixen
"sphjfix 107": hoefde niets te fixen
"Spybot S&D" (ook een keer laten rebooten en bij boot laten draaien)

Spybot vind steeds dezelfde fout (zie screenshot) zegt deze vervolgens gefixed te hebben en als je dan weer scant staat diezelfde fout er nog steeds.
[afbeelding]

Dit is de HijackThis log:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60

Logfile of HijackThis v1.98.2
Scan saved at 3:07:56, on 26-8-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MailWasher\MailWasher.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
D:\Programs\mIRC\mirc.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
D:\Desktop\Desktop Alphega\hijackthis1982.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NvMixerTray] C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: MailWasherPro.lnk = C:\Program Files\MailWasher\MailWasher.exe
O4 - Startup: mIRC.lnk = D:\Programs\mIRC\mirc.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6211AC26-A1B4-422A-AC52-1E70B7D24465} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/nl/filesharingctrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093040214343
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9145B37A-176D-44EC-AA45-60D8381273FD}: NameServer = 195.241.48.33,195.241.49.33


Mijn vraag is nu, hoe krijg ik deze spyware weg?

[edit]
Net als bij de bekendere variant heb je hier ook een url http://www.searchfind.info/uninstall.exe deze draaien lijkt alleen niets te helpen.
Ik vermoed dat deze 2 dingen gefixed moeten worden door HijackThis:
"R3 - Default URLSearchHook is missing"
"O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)"
Mogen deze 2 entries inderdaad gefixed worden?
een flinke regcleaner draaien

donderdag 26 augustus 2004 10:38

Acties:

Verwijderd

Verwijderd schreef op 26 augustus 2004 @ 10:27:
[...]


een flinke regcleaner draaien
Behalve dat ik ten zeerste aan het nut daarvan twijfel, is het nodig om die hele lap te quoten?
Zou je aub. je post kunnen editten?


TS: Dat DSO exploit gedoe van Spybot is iirc een bugje of some sort.
Het is iig niet relevant voor je spywareprobleem.

Al eens een full system scan gedaan met KAV met extended bases?

De door jou genoemde files kun je weggooien ja.

donderdag 26 augustus 2004 12:20

Acties:
  • Alphega
  • Registratie: Oktober 2001
  • Laatst online: 02-05 22:43

Alphega

Topicstarter
Ik heb een zo volledig mogelijke scan gedaan met Kapersky deze vond 3 bestanden:
C:\WINDOWS\Downloaded Program Files\rundlg32.dll" (TojanClicker.Win32.Agent.n)
C:\WINDOWS\system32\Q1549062.dll (TrojanDownloader.Win32.Small.sh)
C:\WINDOWS\system32\Q211320093.dll (TrojanDownloader.Win32.Small.sh)

Deze konden niet gedisinfecteerd worden en zijn daarom gedelete door Kapersky.
Ook heb ik nu die 2 items gefixed met HijackThis, ik heb in ieder geval geen last meer van die popups op dit moment. En als dat DSO gebeuren een bug is van Spybot dan is er verder geen probleem meer. Dom van mij dat ik niet eerder gewoon even goed heb gescant.
Bedankt voor de hulp.

[ Voor 10% gewijzigd door Alphega op 26-08-2004 12:31 ]

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq