Toon posts:

LOP.com domein hijacks

Pagina: 1
Acties:

woensdag 1 september 2004 20:41

Acties:
  • Duck-Twacy
  • Registratie: September 2000
  • Laatst online: 27-10-2024

Duck-Twacy

I'm hit!

Topicstarter
Omdat ik me nog steeds zorgen maak over de frisheid van mijn XP pro sp1 systeem nog een verzoekje om wat assistentie. Ik vind het bv verdacht dat iedere keer na aanloggen (op ADSL) er zo'n 80 kilobyte wordt verstuurd, terwijl er nog niets kwa browser of mail loopt oid. Dacht dat dat vroegel veel minder was (een paar kb).

Ik heb alle entries van de hijack log langsgelopen en gecheckt op sysinfo.,org. Geen gekke dingen gevonden. Wel denk ik dat ik de R1 regel moet verwijderen (die hier naar wijst file://c:/spad/start.html ) en misschien ook die R0 regel naar www.google.com

Wat ik echt niet snap zijn al die O17 entries. Wat i sdat nu allemaal. de uitleg in de spyware faq is me niet zo duidelijk.. Weghalen die O17 regels??

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67

Logfile of HijackThis v1.97.7
Scan saved at 20:19:15, on 1-9-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\WINDOWS\System32\gearsec.exe
C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Winamp3\winampa.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\E-Color\Common\IconMgr.exe
C:\Program Files\EPSON\EPSON CardMonitor\EPSON CardMonitor1.0.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\E-Color\E-Color Indicator\TICIcon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Ronald\Mijn documenten\Downloads\HijackThis.exe
C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\System32\cmd.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.haagsdierencentrum.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
KNIP
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CCS\Services\Tcpip\..\windows: NameServer = 216.127.92.38
O17 - HKLM\System\CCS\Services\Tcpip\..\{37861D2A-518C-489F-B92E-4BAD57157FE1}: NameServer = 194.109.104.104 194.109.6.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{884784DA-3EC0-4ED2-8A3A-5F1A9B3BE632}: NameServer = 216.127.92.38
O17 - HKLM\System\CS1\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 216.127.92.38
O17 - HKLM\System\CS1\Services\Tcpip\..\windows: NameServer = 216.127.92.38
O17 - HKLM\System\CS2\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 216.127.92.38
O17 - HKLM\System\CS2\Services\Tcpip\..\windows: NameServer = 216.127.92.38
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 216.127.92.38

Jee wat wordt dat breed... Heb daarom een deel maar weggeknipt. Gaat even om de O17 regels.

Natuurlijk is het systeem uitgebreid gescand met recente mcafee, adaware, seacrh&destroy, trojanhunter, spysweeper, the cleaner.

[ Voor 32% gewijzigd door Duck-Twacy op 01-09-2004 20:43 ]

2 crush your enemies, 2 win the Tournament

woensdag 1 september 2004 20:45

Acties:
  • Boegie
  • Registratie: Juli 2003
  • Laatst online: 23-10-2023

Boegie

We besiemelen mekoar

Ik vind deze link altijd wel handig. Analyseert je log. Heb je tenminste een idee over hoe en wat. Zag dat je wel een paar spyware (BackWeb) dingetjes hebt bijvoorbeeld

woensdag 1 september 2004 20:46

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

code:
1
2
3

::: DNS: resolved 216.127.92.38 to ev1s-216-127-92-38.ev1servers.net
::: DNS: resolved 194.109.104.104 to resolver.xs4all.nl
::: DNS: resolved 194.109.6.66 to resolver.xs4all.nl


Ik denk dat je die 216.127.92.38 idd maar weg moet donderen.. Die andere (194.109.*) zijn van jezelf

woensdag 1 september 2004 21:01

Acties:
  • Duck-Twacy
  • Registratie: September 2000
  • Laatst online: 27-10-2024

Duck-Twacy

I'm hit!

Topicstarter
Osiris schreef op 01 september 2004 @ 20:46:
code:
1
2
3

::: DNS: resolved 216.127.92.38 to ev1s-216-127-92-38.ev1servers.net
::: DNS: resolved 194.109.104.104 to resolver.xs4all.nl
::: DNS: resolved 194.109.6.66 to resolver.xs4all.nl


Ik denk dat je die 216.127.92.38 idd maar weg moet donderen.. Die andere (194.109.*) zijn van jezelf
Nou ik heb ze verwijderd, gereboot en nu (na aanloggen) wordt er nog maar krap 4Kb verstuurd...

2 crush your enemies, 2 win the Tournament

woensdag 1 september 2004 21:05

Acties:
  • Duck-Twacy
  • Registratie: September 2000
  • Laatst online: 27-10-2024

Duck-Twacy

I'm hit!

Topicstarter
Boegie schreef op 01 september 2004 @ 20:45:
Ik vind deze link altijd wel handig. Analyseert je log. Heb je tenminste een idee over hoe en wat. Zag dat je wel een paar spyware (BackWeb) dingetjes hebt bijvoorbeeld
mmmm, dat linkje had mij een uur zoeken en uitpluizen kunnen besparen ;)

2 crush your enemies, 2 win the Tournament

donderdag 2 september 2004 19:18

Acties:
  • Down Under
  • Registratie: Augustus 2000
  • Laatst online: 05:46

Down Under

Duck-Twacy schreef op 01 september 2004 @ 21:05:
[...]

mmmm, dat linkje had mij een uur zoeken en uitpluizen kunnen besparen ;)
misschien handig om dit linkje (http://www.hijackthis.de/index.php?langselect=english) in de How To op te nemen ?
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq