Helpmij tegen spyware offensief

[sigma]

quote:
--------------------------------------------------------------------------------
Geplaatst door sigma

O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Desktop Messenger\8876480\Program\LDMConf.exe

--------------------------------------------------------------------------------


Vink de bovenstaande aan in HijackThis, sluit alle vensters behalve HijackThis en klik op Fix checked.
Daarna opnieuw opstarten.

De onderstaande ken ik niet. Kun je me vertellen waar die van zijn en of het echt nodig is dat ze opstarten?

O4 - HKLM\..\Run: [CostAware] C:\Program Files\NetInternals\CostAware\niIPCApp.exe
O4 - Global Startup: Nuria.lnk = C:\Program Files\IPing\Nuria\Nuria.exe

Groetjes,

Pieter

Hallo Pieter,

Bedankt voor de beoordeling.
Programma's verwijdert.
Costaware is een programma dat mijn internetverkeer monitort, houdt het aantal verzonden bytes bij.
Overigens probeerde dit programma na een maand gedraait te hebben zelf kontakt te zoeken met internet. ZA blokte dit, maar er zit dus wel spyware in.
Nuria is een programma wat de snelheid van mijn internet verbinding constant meet en dit ook bijhoud.
Dit programma heb ik nog niet op illegale toegang tot het internet kunnen betrappen.

Met vriendelijke groeten

Sigma

 

[woutrora]

Pieter bedankt:thumb: gelukkig krijg je hulp

 

[Kleinkramer]

Geplaatst door gezina

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title=Microsoft Internet Explorer van Het Net

Gezina,

Deze wil je wellicht ook laten fixen?

Als je Spywareblaster hebt, zit er in de Tools sectie overigens een optietje om dat eenvoudig te kunnen veranderen in "Gezina's Internet Explorer".

Of uiteraard in het register, waar je tenslotte ook niet helemaal vreemd bent:

How to Change the Internet Explorer Window Title



Grtz,

 

[York]

Geplaatst door Pieter Arntz


@York

Kun je die eens opsturen naar me (zie eerste bericht)

Bedoel je dat progje hotmail hack???


Greetzz York

 

[Pieter Arntz]

Ja York, die bedoel ik.

Bij voorbaat dank,

Pieter

 

[joyrider]

Ben ook wel benieuwd..

wat zal deze topic lang worden ...prachtig om dit allemaal te lezen ....


F:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
F:\Program Files\Netropa\Onscreen Display\OSD.exe
F:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
F:\Program Files\Eset\nod32krn.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\SpywareGuard\sgbhp.exe
F:\Program Files\Internet Explorer\iexplore.exe
F:\Documents and Settings\XP\Bureaublad\Werkmap\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://joyrider.tiscaliweb.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://ie.search.google.nl/{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title=-Joyrider-
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=F:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
O2 - BHO: (no name) - {00C6482D-C502-44C8-8409-FCE54AD9C208} - F:\Program Files\TechSmith\SnagIt 6\SnagItBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\nieuwe loads\dos\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - F:\Program Files\SpywareGuard\dlprotect.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - F:\Program Files\TechSmith\SnagIt 6\SnagItIEAddin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] F:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [SmcService] F:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [BOCleanautostart] BOClean.exe
O4 - HKLM\..\Run: [nod32kui] F:\Program Files\Eset\nod32kui.exe /WAITSERVICE
O4 - HKCU\..\Run: [MsnMsgr] "F:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PopUpStopperProfessional] "F:\PROGRA~1\PANICW~1\POP-UP~1\POPUPS~1.EXE"
O4 - Startup: SpywareGuard.lnk = F:\Program Files\SpywareGuard\sgmain.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Maintain Block List... - c:\maintain.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {8E65B894-C2E9-11D5-BCD3-00E018987517} - http://195.57.118.137/17/cabs/akifondos283nl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

[gezina]

@ Pieter, het is zelfs zo erg dat ik het jammer vind dat m'n nieuwe pc met XP (volgende week of zo weer thuis) de ouwe Ulead niet pikt, de nieuwere versies hebben die quick-buttons op de taakbalk niet! By the way, laat je svp helpen met dit topic zoals aangeboden, je moet nog heeeeeeeel lang mee hoor! Niet meer antwoorden hierop, ga verder met al die logjes.

@ Ton, dat zit idd al jaren bovenaan in IE, dat stoort mij geenszins, bovendien neem ik, als alles goed gaat, volgende week mijn nieuwe pc in gebruik. Als alles naar mijn smaak is 'in-en afgericht' plaats ik weer een log en dan schoon ik echt ALLES! Ook jij bedankt.

 

[Pieter Arntz]

Joyrider,

Is dit iets wat je vertrouwt en nodig hebt:

O16 - DPF: {8E65B894-C2E9-11D5-BCD3-00E018987517} - http://195.57.118.137/17/cabs/akifondos283nl.cab

Verder nog schoner dan die van mij. :thumb:

Groetjes,

Pieter

 

[leandrosvw]

ja, let me know

Logfile of HijackThis v1.95.0
Scan saved at 21:45:31, on 5-7-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\AppServ\Apache\Apache.exe
C:\Program Files\Norton Personal Firewall\ccPxySvc.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\AppServ\mysql\bin\mysqld-nt.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\AppServ\Apache\Apache.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Creative\SBAudigy\Taskbar\CTLTray.exe
C:\Program Files\Creative\SBAudigy\Taskbar\CTLTask.exe
C:\Program Files\Creative\SBAudigy\RemoteCenter\Rc\Rcman.exe
C:\HostControl0305b2.exe
C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
C:\Program Files\WinBar\WinBar.exe
D:\Program Files\OpenOffice.org1.1\program\soffice.exe
C:\Program Files\Creative\SBAudigy\RemoteCenter\Rc\OSDMenu.EXE
C:\Program Files\Creative\SBAudigy\RemoteCenter\Rc\EAX.exe
C:\Program Files\Creative\SBAudigy\RemoteCenter\Rc\VRC.exe
C:\Program Files\Creative\SBAudigy\RemoteCenter\Center\RCenter.exe
C:\Program Files\Creative\ShareDLL\MediaDet.Exe
C:\WINDOWS\System32\wuauclt.exe
C:\AppServ\apache\Apache.exe
C:\AppServ\apache\Apache.exe
C:\Documents and Settings\L.L. v. Wingerden\Bureaublad\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [TaskTray] C:\Program Files\Creative\SBAudigy\Taskbar\CTLTray.exe
O4 - HKCU\..\Run: [Taskbar] C:\Program Files\Creative\SBAudigy\Taskbar\CTLTask.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\SBAudigy\RemoteCenter\Rc\Rcman.exe
O4 - HKCU\..\Run: [HostControl] "C:\HostControl0305b2.exe"
O4 - Startup: OpenOffice.org 1.1.lnk = D:\Program Files\OpenOffice.org1.1\program\quickstart.exe
O4 - Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O4 - Startup: Registration-PCTV.lnk = C:\Program Files\Pinnacle\Pinnacle PCTV\ERegister\RegTool.exe
O4 - Global Startup: WlanUtility.lnk = C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37807.3617592593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

[joyrider]

is dit gewoon een adres dan????ik kan hem niet thuis brengen .

 

[nteusink]

Geplaatst door joyrider
is dit gewoon een adres dan????ik kan hem niet thuis brengen .

Het hoort waarschijnlijk bij akifondos.com, een wallpaper/screensaver site die een dialer installeert. Weg ermee dus Waarschijnlijk een wat oudere versie trouwens want tegenwoordig lijken ze geen DPF meer te gebruiken (zie attachment): akifondos280nl.exe

-edit Scan iedereen trouwens wel eerst even met Spybot of AdAware voordat het hijackthis log hier gepost wordt? scheelt vaak weer een aantal regels in het log

 

[Pieter Arntz]

Geplaatst door leandrosvw

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
[/url]

Bovenstaande kan uit.

Is dit:
O4 - HKCU\..\Run: [HostControl] "C:\HostControl0305b2.exe"

deze: http://www.oikoyama.net/

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door nteusink


Het hoort waarschijnlijk bij akifondos.com, een wallpaper/screensaver site die een dialer installeert. Weg ermee dus Waarschijnlijk een wat oudere versie trouwens want tegenwoordig lijken ze geen DPF meer te gebruiken (zie attachment): akifondos280nl.exe

-edit Scan iedereen trouwens wel eerst even met Spybot of AdAware voordat het hijackthis log hier gepost wordt? scheelt vaak weer een aantal regels in het log

SpywareBlaster kent het CLSID als Sexodial Dialer

Weg ermee dus.

Pieter

 

[leandrosvw]

thanks

Geplaatst door Pieter Arntz

Is dit:
O4 - HKCU\..\Run: [HostControl] "C:\HostControl0305b2.exe"

deze: http://www.oikoyama.net/

Groetjes,

Pieter

yep die is het

 

[pete1]

heb de thread even doorgelezen.

goed initiatief.

wat betreft de bron van dit soort zaken ...........

is er een goed activex en java applet fiter tegen dit soort "malicious" code.

daarmee bedoel ik dus niet het aanpassen van de instellingen van internet explorer


pe.

 

[Pieter Arntz]

Hoi pete1,

Ik geef altijd deze link als antwoord als iemand vraagt hoe hij zich tegen die zooi kan beschermen:

http://www.net-integration.net/cgi-bin/forum/ikonboard.cgi?act=ST;f=38;t=3051

Misschien wil Ton hem in het Nederlands vertalen.

Groetjes,

Pieter

 

[pete1]

link werkt niet helemaal mar heb de site even doorgekeken.

vertaling is niet nodig

heeft niet wat ik bedoel.

bv dit.

http://www.computerbytesman.com/acctroj/axcheck.htm

gewoon een filter voor "slechte" active/ java applet code met de normale internet settings.

pe.

 

[Pieter Arntz]

Bedankt voor de link. :thumb:

Misschien is IE-Spyad meer wat jij bedoelt: http://www.staff.uiuc.edu/~ehowes/resource.htm?

Ik heb mijn link aangepast, die zou het nu moeten doen.

Groetjes,

Pieter

 

[pete1]

thanks.

dit vangt de spyware inderdaad grotendeels af.

http://www.finjan.com/mcrc/sec_test.cfm

denk dat wat ik zoek iets verder gaat dan wat dit topic behandeld.

pe.

 

[tisha]

Hier is dan mijn log.

Heb eerst gescand met Spybot en er was geen spyware gevonden volgens spybot.

Logfile of HijackThis v1.95.0
Scan saved at 22:55:02, on 5-7-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MailWasher Pro\MailWasher.exe
C:\Documents and Settings\Monique\Bureaublad\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.nu.nl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride=localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\System32\blank.htm
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKCU\..\Run: [Washer] C:\Program Files\Washer\washer.exe /0
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {0C568603-D79D-11D2-87A7-00C04FF158BB} (BrowseFolderPopup Class) - http://download.mcafee.com/molbin/Shared/MGBrwFld.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.es/activescan/as/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab