[XP / IE] Geen internet door spy / malware? - Privacy en beveiliging

maandag 15 november 2004 21:58

Acties:

R9500 Pro >:)

Topicstarter

Ik zit op het moment alleen maar met vragen

En dan niet alleen waar ik dit topic moet plaatsen [WOS / hier / internet en telefonie? ]

Het probleem:
Internet werkt gewoon nauwelijks tot niet op de pc van mn vriendin.
Pings zijn zo hoog dat je een timeout krijgt, webpagina's laden niet, na heel lang zoeken krijg je te horen dat de pagina niet beschikbaar is. MSN meldt niet aan.

Internet gaat via @home, het sloomste abo, 64kbit lijntje. Verbinding is gecheckt door @home en die is in orde.

De @home helpdesk heeft ze laten scannen naar adware en malware met Adaware en Spybot, daarna deed het het weer even, maar tis dus weer in de soep gelopen... Deze keer helpen die programma's niet meer en heb ik Systemrestore gebruikt.

weer werkt het ff maar nu ist weer voorbij. Adaware vindt niks en Spybot is niet in staat om een systemrestore punt aan te maken voordattie verder kan.

Dus ik denk - ok, ik laatr weer gewoon restoren: werkt dus niet meer. Windows geeft een fout bij het opstarten dat het restoren mislukt is.

Het systeem: [ vraag me af of dat ertoe doet..]
AMD oud ding 300Mhz
192MB ram
WindowsXP
USB netwerkkaart

Dit draait natuurlijk niet erg soepel, maar internet werkte prima en nu dus niet meer...

Search leverde niks op, adware en malware problemen genoeg maar niks wat hierop lijkt...

[edit]
Internet werkt dus wél in de veilige modus. Systemrestore doet het ook via de veilige modus niet. Adaware en spybot zijn geupdate.

[ Voor 6% gewijzigd door Scatman_II op 15-11-2004 22:04 ]

OC / CM - Begint eer ge Bezint

maandag 15 november 2004 22:06

Acties:

breinonline

Are you afraid to be known?

Tsja, het kan door spyware veroorzaakt zijn. Als adaware en spybot niet werken zou je eens spysweeper kunnen proberen. Verder natuurlijk even met HijackThis de boel nakijken. Mocht je daar zelf niet uitkomen, of niets aan kunnen ontdekken post het dan zodat wij je kunnen helpen

Eventueel moet je aan een herinstallatie, dan werk je in ieder geval weer met een snel en schoon systeem. Draai ook meteen even de immuniseerfunctie van spybot in dat geval, scheelt een hoop ellende in de toekomst.

[edit]Als veilige modus wel werkt, kijk eens wat er allemaal geladen wordt bij opstarten van windows (via run > msconfig. Best kans dat daar de boosdoener tussen zit.

[ Voor 17% gewijzigd door breinonline op 15-11-2004 22:08 ]

WP: Mitsubishi Ecodan PUHZ-SHW112YAA, ERSC-VM2C, Procon ┃ PV: 4800Wp, SolarEdge SE5K, 15x JAM60S17/320, ZW 15º ┃ WTW: Zehnder Q600 ┃ SH: Home Assistant, Proxmox, Intel NUC 8i5 Mini

maandag 15 november 2004 22:07

Acties:

SSH

. . . . . . . .

hijack this log? zit je ook niet in het verkeerde forum?

maandag 15 november 2004 22:22

Acties:

Scatman_II

R9500 Pro >:)

Topicstarter

Ik ben opzich niet bang voor een frisse windowsXP installatie

Maar aangezien er op dat niet al te snelle dingetje best wat tijd in kan gaan zitten zou ik het graag anders oplossen.....

Verder ben ik vaker HijackThis logs tegengekomen hier en ik denk niet echt dat ik daar uit zal komen, dus zodra ik daar ben zal ik proberen dat te draaien.
Helaas heb ik de komende dagen even iets minder tijd dus kan ik dat niet meteen posten..

wat ik zo vreemd vind is dat ze zegt dat het systeem verder niet extreem traag is ofzo, maar internet werkt gewoon voor geen meter

Kan het iets te maken hebben met die netwerkkaart die aan de USBpoort hangt?

Ik zal ook ff kijken of ik door msconfig iets kan vinden. Maar waarom vinden die spyware programma's niks dan?

Bedankt voor de snelle reacties!

@hieronder: Krijg nou wat

dat hele subforum heb ik nooit zien staan....
Ik ga direct aan het lezen

zodra ik die Hijackthis log heb komtie hier te staan.

[ Voor 10% gewijzigd door Scatman_II op 15-11-2004 22:26 ]

OC / CM - Begint eer ge Bezint

maandag 15 november 2004 22:23

Acties:

elevator

Officieel moto fan :)

Dit lijkt me meer iets voor Beveiliging & Virussen

Windows Operating Systems >> Beveiliging & Virussen

Kan je nog eventjes de FAQ's / Policies van Beveiliging & Virussen door lezen en je topicstart nog even aanvullen met die eisen?

(Hijackthis log

)

woensdag 17 november 2004 13:47

Acties:

FrankGuthrie

I Wanna Be Kate

Hier heb ik dus 4 dagen gelden laast van gehad. Moest 10 keer refreshen voordat ik een internetpagina open kreeg. Totdat ik het brilliante idee kreeg om te gaan scannen op spyware.

Nu is bijna alles weg, behalve het volgende wat draait in mijn processen:
WinAdAlt.exe => Inmiddels in safemode (F8) verwijderd
WinAdCtl.exe => Inmiddels in safemode (F8) verwijderd

Zodra ik deze kill verschijnen ze weer in de taskmanager, erg irritant

Maar de rest heb ik weggekregen door het volgende te draaien:
Xoftspy (moet je voor betalen)
Hijackthisadware (freeware)
Spybot (Freeware)
en Kaspersky Anti Virus (moet je voor betalen => deze vond ik tegenstelling tot een teleurstellende Norton genoeg wormen en trojans)

En het rare is dat ik mijn PC 4 dagen geleden heb geinstalled. Je kan niet eens het internet meer op zonder dat je wordt bestookt met virussen!. Na het installeren van de benodigde updates is er gelukkig niks meer bijgekomen.

Heb als een gek moeten googlen, maar heeft resultaat opgeleverd. dus misschien is dat een idee. Alle onbekende processen, in de taskmanager, in de google search gooien en kijken wat voor resultaten je krijgt.

Gelukkig nu vrij van al het onbekende

[ Voor 24% gewijzigd door FrankGuthrie op 17-11-2004 14:19 ]

Russian Blue Neji
Kate Bush
Blue Horizon(a website about Star Trek & Babylon 5)

woensdag 17 november 2004 14:19

Acties:

Sassie

FrankGuthrie schreef op woensdag 17 november 2004 @ 13:47:
En het rare is dat ik mijn PC 4 dagen geleden heb geinstalled. Je kan niet eens het internet meer op zonder dat je wordt bestookt met virussen!. Na het installeren van de benodigde updates is er gelukkig niks meer bijgekomen.

Klopt helaas ja, heb het zelf ook ervaren.

Die 2 processen die je niet kunt killen.... ws is er nog iets verantwoordelijk voor het (her)opstarten daarvan. Met hijackthis (heb je de nieuwste versie gebruikt (1.98.2)?) lukte het vinden en fixen ook niet?
Je zou evt nog eens in de veilige modus kunnen scannen naar malware (met kaspersky en je spyware scanners (gebruik dan iig ook Hijackthis)).

En heb je hier al gekeken?
http://computercops.biz/postp366644.html
http://computercops.biz/postp368709.html

woensdag 17 november 2004 14:21

Acties:

FrankGuthrie

I Wanna Be Kate

Sassie schreef op woensdag 17 november 2004 @ 14:19:
[...]

Klopt helaas ja, heb het zelf ook ervaren.

Die 2 processen die je niet kunt killen.... ws is er nog iets verantwoordelijk voor het (her)opstarten daarvan. Met hijackthis (heb je de nieuwste versie gebruikt (1.98.2)?) lukte het vinden en fixen ook niet?
Je zou evt nog eens in de veilige modus kunnen scannen naar malware (met kaspersky en je spyware scanners (gebruik dan iig ook Hijackthis)).

En heb je hier al gekeken?
http://computercops.biz/postp366644.html
http://computercops.biz/postp368709.html

haha, ja, zoals je ziet, had ik die oplossing ook gevonde, en opgelost, zie post $_/-\o_$

Russian Blue Neji
Kate Bush
Blue Horizon(a website about Star Trek & Babylon 5)

woensdag 17 november 2004 19:44

Acties:

Scatman_II

R9500 Pro >:)

Topicstarter

FrankGuthrie schreef op woensdag 17 november 2004 @ 13:47:

*een boel tips *

Ik weet dat ik niet alleen sta in de oorlog tegen spyware, maar zo erg als wat jij hebt en mn vriendin dus nu heeft heb ik het nog niet eerder gezien. Bedankt voor de tips

Ik heb helaas nog geen Hijackthis log van die puter [alleen 1 vanuit de veilige modus, is dat wat?], maar wel een lijst via msconfig met opstartende zooi:

msn plus
ccApp
CfgWiz
qttask
fyfzgt
Winregs32cdn

MSN+ is de boosdoener waarschijnlijk niet, ccApp is van NAV, qttask is quicktime, en van fyfzgt en Winregs32cdn kan ik niks vinden.

CfgWiz is NAV: maar kan blijkbaar ook spy / malware zijn... lekker is dat.

Ze draaien dus Norton antivirus daar, volgens haar gewoon geupdate, maar dat werkt dus blijkbaar niet afdoende? Valt me dan tegen vant pakket.
Zodra ik dr ben zal ik een andere proberen te draaien

[Edit]
Als dat Norton dus bij lange na niet alles eruit pakt kan het dus ook gewoon een of andere worm zijn? Vreemd blijft dan wel dat de eerste keer het probleem (tijdelijk) verholpen was door naar spyware te scannen...

Hier nog ff de Hijackthis logfile genomen in de veilige modus, maakt dit uit?

code:

Logfile of HijackThis v1.98.2
Scan saved at 11:00:04 PM, on 11/15/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrator.cc750850-a\My Documents\Mijn ontvangen bestanden\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.home.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\fyfzgt.exe
O4 - HKLM\..\Run: [Registry Checkup System32cd Monitor] Winregs32cdn.exe
O4 - HKLM\..\RunServices: [Registry Checkup System32cd Monitor] Winregs32cdn.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://start.home.nl/

[ Voor 65% gewijzigd door Scatman_II op 17-11-2004 19:52 ]

OC / CM - Begint eer ge Bezint

woensdag 17 november 2004 21:15

Acties:

Serbia

Ik blaf niet, bijt alleen!

R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\fyfzgt.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://start.home.nl/

De eerste 2 moeten iig weg, de volgende zijn links die niet meer compleet zijn.
Advies ook weggooien.

woensdag 17 november 2004 22:12

Acties:

Scatman_II

R9500 Pro >:)

Topicstarter

Serbia schreef op woensdag 17 november 2004 @ 21:15:
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\fyfzgt.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://start.home.nl/

De eerste 2 moeten iig weg, de volgende zijn links die niet meer compleet zijn.
Advies ook weggooien.

Ok, bedankt voor dit advies

Zodra ik er ben zal ik er werk van maken

Maar is er enige kans dat dit het probleem oplost? Of zijn dit toch gewoon minder waardige dingen en ligt het ergens anders aan...

[ik weet het, eerst proberen

]

OC / CM - Begint eer ge Bezint

woensdag 17 november 2004 23:13

Acties:

FrankGuthrie

I Wanna Be Kate

Scatman_II schreef op woensdag 17 november 2004 @ 22:12:
[...]

Ok, bedankt voor dit advies Zodra ik er ben zal ik er werk van maken

Maar is er enige kans dat dit het probleem oplost? Of zijn dit toch gewoon minder waardige dingen en ligt het ergens anders aan...

[ik weet het, eerst proberen ]

Met Hijackthis ben je er nog niet hoor, gewoon met een goede virusscanner eroverheen => Kasperky, Bitdefender etc.....

Russian Blue Neji
Kate Bush
Blue Horizon(a website about Star Trek & Babylon 5)

maandag 22 november 2004 16:41

Acties:

Scatman_II

R9500 Pro >:)

Topicstarter

Het is opgelost!

Misschien een nuttige afsluiting om dat dan ieg nog even te posten...

Om te beginnen heb ik de hierboven genoemde Hijackthis keys verwijderd, dit loste het probleem [zoals verwacht :)] helaas niet op en ik moest dus verder zoeken.

Ik wou PC Cillin 2000 erop zetten, maar dat vond Norton niet goed, dus die moest eraf. Toen PC Cillin er echter helemaal opstond kon ik er niks mee omdattie maar bleef zeuren dat ik niet genoeg rechten had om het te mogen gebruiken...
Nogal vaag: alle gebruikers zijn admin, en zelfs de admin accaunt in de veilige modus was niet goed genoeg voor pc cillin.

Dus ik heb een online virusccan gedaan, deze vond een stuk of wat wormen, die verwijderd.
Nogsteeds het probleem: Bleek Winregs32cdn te veroorzaken... deze belastte de verbinding blijkbaar zodanig dat het pingen zo'n 3 seconden duurde

Die reg key eraf gegooid en het was voorbij....

Bedankt voor de hulp ieder1

[edit @ hieronder

]
Ik heb de eerste de beste online virusscanner gebruikt die ik via google vond, namelijk http://housecall.trendmicro.com/ .
Deze vond een stuk of 6 wormen [waarvan ik de naam nou ben vergeten..]

Dit loste het probleem echter niet op en dus heb ik via msconfig bij opstarten gezorgd dat die winregs32cdn niet meer opstartte,want ik wantrouwde dat ding al een tijdje

Toen het probleem verholpen leek heb ik de register key weggegooid en wast klaar:)

[ Voor 21% gewijzigd door Scatman_II op 24-11-2004 20:52 ]

OC / CM - Begint eer ge Bezint

maandag 22 november 2004 19:39

Acties:

FrankGuthrie

I Wanna Be Kate

Scatman_II schreef op maandag 22 november 2004 @ 16:41:
Het is opgelost! Misschien een nuttige afsluiting om dat dan ieg nog even te posten...

Om te beginnen heb ik de hierboven genoemde Hijackthis keys verwijderd, dit loste het probleem [zoals verwacht :)] helaas niet op en ik moest dus verder zoeken.

Ik wou PC Cillin 2000 erop zetten, maar dat vond Norton niet goed, dus die moest eraf. Toen PC Cillin er echter helemaal opstond kon ik er niks mee omdattie maar bleef zeuren dat ik niet genoeg rechten had om het te mogen gebruiken...
Nogal vaag: alle gebruikers zijn admin, en zelfs de admin accaunt in de veilige modus was niet goed genoeg voor pc cillin.

Dus ik heb een online virusccan gedaan, deze vond een stuk of wat wormen, die verwijderd.
Nogsteeds het probleem: Bleek Winregs32cdn te veroorzaken... deze belastte de verbinding blijkbaar zodanig dat het pingen zo'n 3 seconden duurde

Die reg key eraf gegooid en het was voorbij.... Bedankt voor de hulp ieder1

Hoe ben je er achtergekomen dat Winregs32cdn de veroorzakers was? En welke onlinescanner heb je gebruikt?

Russian Blue Neji
Kate Bush
Blue Horizon(a website about Star Trek & Babylon 5)