evast (op verzoek van Pieter)

Status
Niet open voor verdere reacties.
E

evast

Gebruiker
Lid geworden
11 jun 2004
Berichten
7
Dit is een nieuwe hijackthis log.

Ik heb gemerkt dat de startpagina dagelijks wordt veranderd. Zoals je kan zien op de log bij bvb R1. Nu staat er vgjde.dll en gisteren of eergisteren was dat sgqod.dll
Maar het nummer dat volgt blijft wel html#96676
ook de pagina blijft dezelfde.


Logfile of HijackThis v1.97.7
Scan saved at 15:59:47, on 16/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\sdkbl.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\System32\hphmon03.exe
C:\Program Files\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\sdknw32.exe
C:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\System32\HPHipm09.exe
C:\Documents and Settings\Van Steenberge\Mijn documenten\Mijn ontvangen bestanden\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vgjde.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vgjde.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vgjde.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vgjde.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vgjde.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vgjde.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {36A47713-CB84-EE43-1462-1606479D61D2} - C:\WINDOWS\system32\ieei.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [sdknw32.exe] C:\WINDOWS\sdknw32.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
 
Geplaatst door H@NsiePanzzzer
Je mag het log nog een keer plaatsen, maar nu hier: >>Helpmij tegen spywareoffensief<<

Klik op "Reageer op bericht":)
Klik om te vergroten...

Nee H@nsjePansje, Evast opent juist een nieuw topic op verzoek van Pieter:

Geplaatst door Pieter Arntz
Hoi evast,

Dit is een nieuwe variant. We zijn er nog mee bezig om uit te vinden hoe het precies werkt.
Zou je een nieuw topic willen starten hier in spyware met je HijackThis log? Zet er dan wel even bij dat je dat op mijn verzoek doet, ander wordt hij meteen weer gesloten. :)

Groetjes,

Pieter
Klik om te vergroten...

Bron
 
Hans,

even verder kijken dan bla bla bla :)

Geplaatst door Pieter Arntz


Hoi evast,

Dit is een nieuwe variant. We zijn er nog mee bezig om uit te vinden hoe het precies werkt.
Zou je een nieuw topic willen starten hier in spyware met je HijackThis log? Zet er dan wel even bij dat je dat op mijn verzoek doet, ander wordt hij meteen weer gesloten. :)

Groetjes,

Pieter
Klik om te vergroten...
 
Dacht dat ik up to date was met Helpmij tegen offensief maar niet dus....:o

Oke, pieter zei dat Evast moest zeggen dat het op verzoek van Pieter was, maar ik dacht dat Pieter gevraagd had om een nieuw log en dat Evast op de verkeerde knop gedouwd had... Magoed :p
 
Pieter, het is inmiddels alweer veranderd naar pdpku.dll
Dus het veranderd waarschijnlijk zelfs meerdere keren per dag.
 
Geplaatst door evast
Dit is een nieuwe hijackthis log.

Ik heb gemerkt dat de startpagina dagelijks wordt veranderd. Zoals je kan zien op de log bij bvb R1. Nu staat er vgjde.dll en gisteren of eergisteren was dat sgqod.dll
Maar het nummer dat volgt blijft wel html#96676
ook de pagina blijft dezelfde.


Logfile of HijackThis v1.97.7
Scan saved at 15:59:47, on 16/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\sdkbl.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\System32\hphmon03.exe
C:\Program Files\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\sdknw32.exe
C:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\System32\HPHipm09.exe
C:\Documents and Settings\Van Steenberge\Mijn documenten\Mijn ontvangen bestanden\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vgjde.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vgjde.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vgjde.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vgjde.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vgjde.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vgjde.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {36A47713-CB84-EE43-1462-1606479D61D2} - C:\WINDOWS\system32\ieei.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [sdknw32.exe] C:\WINDOWS\sdknw32.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Klik om te vergroten...

Hoi evast,

Even goed op de volgorde letten svp. Print het desnoods uit.

Sluit alle vensters behalve HijackThis.

In TaakBeheer (Ctrl-Alt-Del) beeindig je deze twee processen:
C:\WINDOWS\sdkbl.exe
C:\WINDOWS\sdknw32.exe

Vink dan de onderstaande aan in HijackThis en klik op Fix checked:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vgjde.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vgjde.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vgjde.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vgjde.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vgjde.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vgjde.dll/sp.html#96676

O2 - BHO: (no name) - {36A47713-CB84-EE43-1462-1606479D61D2} - C:\WINDOWS\system32\ieei.dll

O4 - HKLM\..\Run: [sdknw32.exe] C:\WINDOWS\sdknw32.exe

Start dan opnieuw op in veilige modus en vindt de volgende bestanden:
C:\WINDOWS\sdkbl.exe
C:\WINDOWS\sdknw32.exe
C:\WINDOWS\vgjde.dll
en de backup van C:\WINDOWS\system32\ieei.dll in de map C:\Documents and Settings\Van Steenberge\Mijn documenten\Mijn ontvangen bestanden\hijackthis

Maak een zip bestandje en doe al die bestanden erin. Verwijder de originelen.

Stuur een kopie van het zipbestand svp naar: mij op (klik op deze link voor het adres)

Groetjes en alvast bedankt,

Pieter
 
Pieter hartelijk bedankt, alles draait weer normaal.
Ik ben er wel niet in geslaagd alles in zip bestandje te krijgen om naar je door te sturen.
Nogmaals bedankt en veel succes verder.:thumb:
 
Geplaatst door evast
Pieter hartelijk bedankt, alles draait weer normaal.
Ik ben er wel niet in geslaagd alles in zip bestandje te krijgen om naar je door te sturen.
Nogmaals bedankt en veel succes verder.:thumb:
Klik om te vergroten...

Graag gedaan. Ik heb ondertussen al mijn eigen verzameling van deze variant aangelegd, dus zit maar niet in de war over de op te sturen bestanden.

Groetjes,

Pieter
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan