Helpmij tegen spyware offensief (deel 3)

[Al Capino]

Excuses, hier nog even mijn tekst van de vorige vraag van mij, want die moest hier naartoe verhuizen.

Als ik op een downloadlink klik, gaat hij naar een lege pagina en die ik de hele url met bestandsnaam staan, maar er komt geen downloadvenster naar voren om te saven. Ik heb net windows xp pro opnieuw geinstalleerd, dus dan zou ik eigenlijk zeker geen probs moeten hebben....

- Heb firewall al volledig ge-deinstalled, werkt niet.
- heb geen router
- zit direct op internet
- kan wel downen met een accelerator (maar niet iedere site ondersteunt dat ivm dataverkeer)
- rechtermuisknop en dan opslaan werkt wel weer. Maar dit werkt niet op javaknoppen of als rechtermuisknop gedisabled is.
- volledig met ad-aware ge-update gescanned, niets....
- flashget ook al eraf gehaald, geen verschil

- ik installeer nooit patches omdat die meestal mijn systeem mollen, ook nooit nodig gehad opzich. Deze fout heb ik voor het eerst, eerder nooit probleem geweest.

Herkent iemand dit probleem?

 

[hendricus]

tcp32ss.exe

Pieter,
bij het restarten na de windows updates krijg ik steeds weer tcp32ss.exe in mijn opstartlijst
ik las het advies ( en heb dat ook opgevolgd) om die eruit te halen omdat ie niet nodig is.
Maar weet jij wat het precies doet en waarom het blijft terugkomen na een herstart?
ik vind het niet terug in c:windows/...

 

[Pieter Arntz]

Geplaatst door Al Capino


Herkent iemand dit probleem?

Hoi Al Capino,

Ik heb het al vaker gezien en met verschillende oplossingen. Wat ik moest weten is of " Doel opslaan als ... " werkt. (Dat doet het dus als er een link is om op te klikken) en of het voor alle soorten bestanden geldt. (.exe, .zip, etc.)

Eén keer meegemaakt dat iemand zijn zip bestanden automatisch met Quicktime werden geopend en die kon dus daardoor geen zipjes downen.

Ik zou trouwens in ieder geval SP1 voor IE6 installeren, al is het maar voor de veiligheid.

Groetjes,

Pieter

 

[Pieter Arntz]

Re: tcp32ss.exe

Geplaatst door hendricus
Pieter,
bij het restarten na de windows updates krijg ik steeds weer tcp32ss.exe in mijn opstartlijst
ik las het advies ( en heb dat ook opgevolgd) om die eruit te halen omdat ie niet nodig is.
Maar weet jij wat het precies doet en waarom het blijft terugkomen na een herstart?
ik vind het niet terug in c:windows/...

Hoi hendricus,

Een zoektochtje op Google naar die bestandsnaam levert alleen maar CWS logjes op.
Ben je daarmee besmet geweest?

Ik heb hier bv een aardig lang draadje op annoyances.org:
http://www.annoyances.org/exec/forum/winxp/t1081143721

Je kunt het bestand zelf niet vinden? Ook niet met verborgen bestanden weergegeven?
Zoek ook eens naar de bestanden die in het draadje hierboven genoemd worden:
tcp32ss.exe
tcp32ss??????.PF [various .pf that start with tcp23ss]
tcp32shlp.exe
clrschp010.exe
tcp32ss2.exe

Groetjes,

Pieter

 

[Al Capino]

Hoi Pieter,

Bedankt voor je reply!

SP1 voor ie heb ik al wel geinstalled. (ook alleen voor dit probleem dus. de update functie zelf gebruik ik niet)

Ik kan nog wel rechtermuiknop en opslaan als doen. Kan ook alles downloaden dan. Helaas werkt het niet met sites die beveiligs zijn tegen rechtermuisknop en java knoppen.

Die quicktime: haha, ja. Kan gebeuren he
Maar dan opent quicktime zich wel na elke klik op een downloadlink.

 

[Pieter Arntz]

Hoi Al Capino,

Hmmm. Fix deze twee eens in HijackThis:
O12 - Plugin for .exe: E:\Program Files\Opera7\PLUGINS\NPFgc1.dll
O12 - Plugin for .zip: E:\Program Files\Opera7\PLUGINS\NPFgc1.dll
en probeer het dan nog eens.

Groetjes,

Pieter

 

[hendricus]

@ Pieter

die sites was ik al tegengekomen op mijn zoektocht!
de bestandjes zijn niet bekend in mijn pc
verborgen bestanden heb ik altijd open staan ( ).
of ik besmet ben geweest met cws logjes weet ik eigenlijk niet: trojanhorse downloader small 4 bs en backdoor padodor A
Die zijn verwijderd!
alles is nu clean dus ik laat het maar zo.
erg bedankt voor je hulp

 

[wajang]

Log

Ter info:

Hierbij het log van een PC van een collega, welke van geen meter meer draaide. Geen virussen gevonden. Beetje spyware (72) gevonden met AdAware. Ook gescand op Trojans. Alle rommel verwijderd (hoop ik) vandaar dit log. Het is een Pentium4 1800 met Xp home.
Het enige probleem is dat het logo van 12Move rechtsboven in de browser staat te klieren. Of je ziet 12Move of een draaiende wereldbol.

Logfile of HijackThis v1.97.7
Scan saved at 21:47:53, on 13-4-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Creative\SBAudigy\TaskBar\CTLTray.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\Zwolle\Mijn documenten\eprompt\ePrompter.exe
C:\Program Files\Logitech\iTouch\kbdtray.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\mgabg.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\totalcmd\TOTALCMD.EXE
C:\Tijdelijk\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.12move.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door 12move
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll (file missing)
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Program Files\DAP\DAPIEBar.dll (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Program Files\Panicware\Pop-Up Stopper Pro\CCHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Pa&nicware Pop-Up Stopper Pro - {B1E741E7-1E77-40D4-9FD8-51949B9CCBD0} - C:\Program Files\Panicware\Pop-Up Stopper Pro\popuppro.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TaskTray] "C:\Program Files\Creative\SBAudigy\TaskBar\CTLTray.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: ePrompter.lnk = C:\Documents and Settings\Zwolle\Mijn documenten\eprompt\ePrompter.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Figuur openen in &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~2\Office\1043\phdintl.dll/phdContext.htm
O9 - Extra button: Real.com (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.12move.nl

 

[Pieter Arntz]

Re: Log

Geplaatst door wajang

O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll (file missing)
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Program Files\DAP\DAPIEBar.dll (file missing)

Hoi wajang,

Wat restjes. Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Om van de 12move logootjes af te komen:
Start > Uitvoeren > regedit
In de Register Editor ga je naar :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar
Selecteer BrandBitmap en verwijder die
Selecteer SmBrandBitmap en idem dito.

Start daarna opnieuw op.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door hendricus
@ Pieter

die sites was ik al tegengekomen op mijn zoektocht!
de bestandjes zijn niet bekend in mijn pc
verborgen bestanden heb ik altijd open staan ( ).
of ik besmet ben geweest met cws logjes weet ik eigenlijk niet: trojanhorse downloader small 4 bs en backdoor padodor A
Die zijn verwijderd!
alles is nu clean dus ik laat het maar zo.
erg bedankt voor je hulp

Oh. Als alles goed is zou ik er niks meer aan doen. Ik dacht dat dit nog steeds speelde:
"bij het restarten na de windows updates krijg ik steeds weer tcp32ss.exe in mijn opstartlijst"

Groetjes,

Pieter

 

[Heatseeker]

Heatseekers log!

Logfile of HijackThis v1.97.7
Scan saved at 22:17:23, on 13-4-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Program Files\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\atwtusb.exe
C:\Program Files\Trust\AMI MOUSE 250SP WIRELESS OPTICAL\lwbwheel.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\PackethSvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\DOWNLOADS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Program Files\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Winsock Driver] WSDRIVER.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Trust\AMI MOUSE 250SP WIRELESS OPTICAL\lwbwheel.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {01CA75F1-054B-4A63-9221-C6926369EC52} (HS_live Control) - http://install.homestead.com/~site/InstallFiles/SIFiles/lpxlive/HS_live.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37884.097962963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab

 

[wajang]

Alles gefixt.
12Move logo is er helaas nog na de verwijderingen in het register. Alleen het draaiende bolletje is nu weg. In plaats daarvan is nu het MS vlaggetje.
Dus tijdens downloaden pagina, MS vlaggetje en als de pagina er is, dan weer het 12Move logo.

 

[Pieter Arntz]

Geplaatst door Heatseeker

R3 - Default URLSearchHook is missing
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com

O4 - HKLM\..\Run: [Winsock Driver] WSDRIVER.EXE

O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load

O16 - DPF: {01CA75F1-054B-4A63-9221-C6926369EC52} (HS_live Control) - http://install.homestead.com/~site/InstallFiles/SIFiles/lpxlive/HS_live.cab

Hoi Heatseeker,

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op en verwijder:
C:\WINDOWS\Downloaded Program Files\bridge.dll

Ik neem aan dat de opstart van de Spybot Worm slechts een restantje is.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door wajang
Alles gefixt.
12Move logo is er helaas nog na de verwijderingen in het register. Alleen het draaiende bolletje is nu weg. In plaats daarvan is nu het MS vlaggetje.
Dus tijdens downloaden pagina, MS vlaggetje en als de pagina er is, dan weer het 12Move logo.

Hmm, dat had ik hiervandaan:
http://support.microsoft.com/default.aspx?scid=kb;EN-US;176713
Kijk ook eens naar deze: http://support.microsoft.com/?kbid=224457

Of probeer deze: http://www.dougknox.com/utility/scripts_desc/unbrand.htm

Groetjes,

Pieter

 

[Al Capino]

Hee Pieter!

Volgens mij werkt het weer!
Tot nu toe werken alle downloads weer als vanouds!

Vind ik vreemd, want ik heb deze plugins niet zelf geinstalled, maar die zaten er al bij en heb opera altijd meegeinstalled en nooit problemen mee gehad.

Krijgt opera nu geen problemen by the way?

BEDANKT MAN! HEEL HEEL BEDANKT!!! :thumb: :thumb: :thumb: :thumb: :thumb: :thumb: :thumb:

 

[Pieter Arntz]

Geplaatst door Al Capino
Hee Pieter!

Volgens mij werkt het weer!
Tot nu toe werken alle downloads weer als vanouds!

Vind ik vreemd, want ik heb deze plugins niet zelf geinstalled, maar die zaten er al bij en heb opera altijd meegeinstalled en nooit problemen mee gehad.

Krijgt opera nu geen problemen by the way?

BEDANKT MAN! HEEL HEEL BEDANKT!!! :thumb: :thumb: :thumb: :thumb: :thumb: :thumb: :thumb:

Hoi Al Capino,

Toppie. :thumb:

Ik gebruik zelf nog Opera 7.22 en die Plugins nooit gezien.
Ik moest opeens aan dit gevalletje denken:
http://www.wilderssecurity.com/showthread.php?t=23429 doordat we over Quicktime begonnen.
En toen zag ik opeens de mogelijkheid, die achteraf de oplossing bleek.

Groetjes,

Pieter

 

[hendricus]

nogmaals tcp32ss.exe

@ Pieter,
hoi, ik kom er toch nog 'n keer op terug.....
Bij het starten van de pc vanochtend kreeg ik het volgende te zien:
- via diamondCSregistry prot kreeg ik de vraag om toegang van tcp32ss.exe ( onder HKLM\software\microsoft\windows\current version\run
name=devsec data=c:\windows\tcp32ss.exe
- tcp32ss.exe staat in de opstartlijst (msconfig) zonder vink nu
- tcp32ss.exe staat NIET in het register (hklm etc)
- staat NIET in de opstartlijst van regcleaner 4.3
- staat NIET in de opstartlijst van AIDA32
- staat NIET in de opstartlijst ( 04) van hijackThis
tcp32ss.exe én tcp32shlp.exe staan in de program control list van zonealarm ( inmiddels removed)
- tcp32ss.exe staat NIET onder c:\windows
- tcp32shlp staat NIET onder c:\documents and settings\all users\menu start\programma's\opstarten\tcp32shlp.exe

de beide laatsten zoals bij zonealarm in de details wordt gesuggereerd!

Meer heb ik er niet over kunnen vinden. Het is eerder annoyant dan schadelijk.

 

[Pieter Arntz]

hendricus,

Heb je al eens het hele register nagezocht op de bestandsnaam?
Een handig tooltje daarvoor is RegSrch.vbs van http://www.billsway.com/vbspage/ Staat onder Registry Search Tool. Als het klaar is moet zoeken exporteert het alle resultaten naar een Woprdpad document.

Als ik het goed begrijp moet je tcp32ss.exe elke keer dat je je computer opstart blokkeren.

Groetjes,

Pieter

 

[hendricus]

klopt, Pieter.

via registry-> zoeken vond ik in
HKLM\software\microsoft\shared tools\msconfig\startupreg\devsec
rechterpagina command tcp32ss.exe

zal ik die maar wegklikken?

 

[Al Capino]

Geplaatst door Pieter Arntz


Hoi Al Capino,

Toppie. :thumb:

Ik gebruik zelf nog Opera 7.22 en die Plugins nooit gezien.
Ik moest opeens aan dit gevalletje denken:
http://www.wilderssecurity.com/showthread.php?t=23429 doordat we over Quicktime begonnen.
En toen zag ik opeens de mogelijkheid, die achteraf de oplossing bleek.

Groetjes,

Pieter

Opera gebruiken is nooit weg he.
Goede browser, maar dit had ik ook niet verwacht.

Je hebt een goed geheugen zo te lezen.:thumb:
Nogmaals bedankt! Je bent goed! :thumb: