Helpmij tegen spyware offensief

Status
Niet open voor verdere reacties.
Hoi smitsje,

Vink de onderstaande items aan in HijackThis, sluit dan alle vensters behalve HijackThis en klik op Fix checked:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program Files/MS-Connect/Portal/portal.html (obfuscated)
Alle O1 items
O4 - HKLM\..\Run: [MS-RunKey] C:\WINDOWS\System32\arr.exe

Start daarna opnieuw op en verwijder:
C:\WINDOWS\System32\arr.exe
C:\Program Files\MS-Connect <= complete map

Groetjes,

Pieter
 
Geplaatst door Pieter Arntz
Hoi speenbrain,

Bij nader inzien. Resultaat van de online Kaspersky scanner:
system32.exe Infected: Trojan.Win32.VB.cd

Ik dacht laat ik die nog even proberen. Dat is echt een aanrader als je een verdacht bestandje hebt. Helaas kun je er niet je hele computer laten scannen.
http://www.kaspersky.com/remoteviruschk.html

Groetjes,

Pieter
Klik om te vergroten...

hoi pieter
bedankt ik heb daar ff gekeken en hij geeft inderdaad aan dat het om een Trojan.Win32.VB.cd gaat maar hij kan er verder niets overvinden en of vetellen Vreemd
vooral om dat de andere virus en trojan scanners hem niet vinden alleen kaspersky ?

maar ik zal eens een demo van deze installeren en de pc in zijn geheel met deze scanner scannen

dit doe ik zo dra ik zelf weer beter ben heb nu zelf een virus griep

p.s ik kan in zijn geheel geen info vinden over deze Trojan.Win32.VB.cd
 
Het enige dat ik kan vinden is dat hij op 25-7 in de update van KAV zat.
Inderdaad geen letter over wat het doet.

Ik zal eens kijken of ik via andere kanalen wat te weten kan komen.

Beterschap,

Pieter

@ smitsje,

Graag gedaan.
 
Geplaatst door Pieter Arntz
Het enige dat ik kan vinden is dat hij op 25-7 in de update van KAV zat.
Inderdaad geen letter over wat het doet.

Ik zal eens kijken of ik via andere kanalen wat te weten kan komen.

Beterschap,

Pieter

@ smitsje,

Graag gedaan.
Klik om te vergroten...

dat komt omdat het een alias is volgens mij:

Trojan.Win32.VB.by, Trojan.Win32.VB.bz,
Trojan.Win32.VB.ca, Trojan.Win32.VB.cb,
Trojan.Win32.VB.cc, Trojan.Win32.VB.cd, Trojan.Win32.VB.ce, Trojan.Win32.VB.cf, Trojan.Win32.VB.cg, Trojan.Win32.VB.ch,
Trojan.Win32.VB.ci, Trojan.Win32.VB.cj,

vind dit wel:

http://vil.mcafee.com/dispVirus.asp?virus_k=100390 (Trojan.Win32.VB.aj (Kaspersky))
http://vil.nai.com/vil/content/v_100389.htm (Trojan.Win32.VB.ai (Kaspersky))
http://vil.mcafee.com/dispVirus.asp?virus_k=100381 (Trojan.Win32.VB.ac (Kaspersky))
 
controle

Hoi Beste Pieter,

Zou het mogelijk zijn om mijn systeem eens na te zien. Hierbij de log, na de scan met adaware6 en na het verwijderen van de hosts file (op aanraden van hijack zelf).

Logfile of HijackThis v1.96.1
Scan saved at 20:05:01, on 17/08/2003
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\logonui.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\spoolsv.exe
G:\Program Files\eSafe\Protect\ESPWatch.exe
G:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
G:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
G:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
G:\Program Files\eSafe\Protect\SERVNT.EXE
G:\Program Files\WS_FTP Pro\ftpsched.exe
G:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
G:\WINDOWS\System32\nvsvc32.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\ZONELABS\vsmon.exe
G:\Program Files\eSafe\Protect\LOOKOUT.EXE
G:\Program Files\SpeedFan\speedfan.exe
G:\Program Files\Internet Explorer\IEXPLORE.EXE
F:\bestanden\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://approvedlinks.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:/www.searchv.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchv.com/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.be/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchv.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchv.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchv.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tjem.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchv.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchv.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchv.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchv.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchv.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchv.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.pandora.be:8080
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://approvedlinks.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = iexplore
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2F4F8CC3-FF89-11D1-9F63-0020182D7E20} - G:\PROGRA~1\ESAFE\PROTECT\espie.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - G:\PROGRA~1\WS_FTP~1\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [EM_EXEC] G:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [eSafe Protect] "G:\Program Files\eSafe\Protect\ESPWatch.exe" /delay=5
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "G:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "G:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - Global Startup: Acrobat Assistant.lnk = G:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = G:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = G:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: G:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (sys Class) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://activex.microsoft.com/activex/controls/macromedia/Swdir.cab
O16 - DPF: {1D2DCA0D-B30F-40AD-9690-087105F214EC} (IEDial Class) - http://download.nocreditcard.com/download/Object/ieaccess2XP.cab
O16 - DPF: {297F2B65-017C-11D5-A128-00D0B7869AD6} (SpectorPhotoUploader Control) - http://www.spector.be/nl/myprint/SPU.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...apple.com/qt505/nl/win/QuickTimeInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2002060602/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {78960E0E-0B0C-11D4-8997-00104BD12D94} (AV Class) - http://www.pcpitstop.com/antivirus/PCPAV.CAB
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://G:\Program Files\AutoCAD 2002\AcDcToday.ocx
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37845.5254513889
O16 - DPF: {A51DEDCD-20F7-11D4-98A5-00C0CA130748} (Tintel Class) - http://www.tintel.nl/download/tcw.cab
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://G:\Program Files\AutoCAD 2002\InstBanr.ocx
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/SharedContent/sc/bin/cabsa.cab
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://G:\Program Files\AutoCAD 2002\InstFred.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://G:\Program Files\AutoCAD 2002\AcPreview.ocx
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab

bij voorbaat dank

Rudy
 
Ik ben Pieter wel niet, maar download en run Merijn's CWShredder

Dat fixt al die door searchv.com en approvedlinks.com gehijackde Search en Startpagina's.

Vervolgens laat je Hijack This het volgende fixen:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tjem.com/searchbar.html

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = iexplore

O16 - DPF: {1D2DCA0D-B30F-40AD-9690-087105F214EC} (IEDial Class) - http://download.nocreditcard.com/do...ieaccess2XP.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) -
O16 - DPF: {A51DEDCD-20F7-11D4-98A5-00C0CA130748} (Tintel Class) - http://www.tintel.nl/download/tcw.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/Sha...c/bin/cabsa.cab

Groetjes,
 
thanks

Hoi Kleinkramer,

Bedankt voor de reactie. Heb alles uitgevoerd zoals gezegd. Had wel geen problemen maar heb wel begin deze week geteisterd geweest door "blaster".

Nogmaals dank voor de snelle reactie.

Groetjes,

Rudy
 
Pieter zat hierop te puzzelen:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = iexplore

Geen idee wat dat doet.

Groetjes,

Pieter
 
@pieter

die kijkt of de Internet Connection Wizard ooit gedraaid heeftof geinstallerd is.

Zo niet dan zet het wat registersleutels in je register en draait het ICW de volgende keer als het goed is ..

@Ton

onder het motto: wie niet waagt, wie niet wint !

zou merijn de source code van zijn programma vrijgeven ??
 
Geplaatst door vaat


dat komt omdat het een alias is volgens mij:

Trojan.Win32.VB.by, Trojan.Win32.VB.bz,
Trojan.Win32.VB.ca, Trojan.Win32.VB.cb,
Trojan.Win32.VB.cc, Trojan.Win32.VB.cd, Trojan.Win32.VB.ce, Trojan.Win32.VB.cf, Trojan.Win32.VB.cg, Trojan.Win32.VB.ch,
Trojan.Win32.VB.ci, Trojan.Win32.VB.cj,

vind dit wel:

http://vil.mcafee.com/dispVirus.asp?virus_k=100390 (Trojan.Win32.VB.aj (Kaspersky))
http://vil.nai.com/vil/content/v_100389.htm (Trojan.Win32.VB.ai (Kaspersky))
http://vil.mcafee.com/dispVirus.asp?virus_k=100381 (Trojan.Win32.VB.ac (Kaspersky))
Klik om te vergroten...

hallo vaat
deze had ik ook gevonden maar het gaat hier om vb.ai vb.aj vb.ac deze infecteren andere files dan die van mij
dat is een vb.cd en daar over vind je niets tot nu toe.

maar toch bedankt voor de moeite

@ pieter
ik heb de Kaspersky scanner geinstalleerd
heb hem laten scannen duurde 3uur 35minuten voor hij klaar was hij kon verder niks vinden

heb hem ook gelijk weer verwijderd conflikt met norton
deze werden uitgeschakeld ook mijn firewall niet zo mooi

groetjes: s
 
Ik heb heel veel last gehad van spyware dus heb ik met de nieuwste ad-aware gescand maar ik wil toch zeker weten dat alles weg is. Dus hier is mijn logfile:

Logfile of HijackThis v1.95.0
Scan saved at 12:18:57, on 18-8-03
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
F:\PROGRAM FILES\KERIO\PERSONAL FIREWALL\PERSFW.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\RUNDLL32.EXE
G:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAM FILES\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
G:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title=Microsoft Internet Explorer aangeboden door @Home
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer=http=127.0.0.1:6711
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - D:\PROGRAM FILES\DAP\DAPIEBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\conflict.1\googletoolbar_en_1.1.66-deleon.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - D:\PROGRAM FILES\DAP\DAPIEBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [AVGCtrl] G:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [PersFw] "F:\Program Files\Kerio\Personal Firewall\persfw.exe" /hide
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: MailTap.lnk = D:\Program Files\MailTap\mailtap.exe
O8 - Extra context menu item: &Frame in een nieuw venster openen - C:\WINDOWS\WEB\frm2new.htm
O8 - Extra context menu item: &Markeren - C:\WINDOWS\WEB\highlight.htm
O8 - Extra context menu item: Zoeken op het &web - C:\WINDOWS\WEB\selsearch.htm
O8 - Extra context menu item: &Lijst met koppelingen - C:\WINDOWS\WEB\urllist.htm
O8 - Extra context menu item: &Inzoomen - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Uit&zoomen - C:\WINDOWS\WEB\zoomout.htm
O8 - Extra context menu item: Lij&st met afbeeldingen - C:\WINDOWS\Web\imglist.htm
O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: LimeShop Preferences - file://c:\Program Files\topMoxie\TEMP\limeshop_script.htm
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL/cmbacklinks.html
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/ProductUpdates/content/opuc.cab
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (sys Class) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {DC5DD24E-567B-11D5-8997-00104BD12D94} (pcdr Class) - http://www.pcpitstop.com/techexpress/pcdrCom.CAB
O16 - DPF: {1842B0EE-B597-11D4-8997-00104BD12D94} (iCC Class) - http://www.pcpitstop.com/internet/pcpConnCheck.cab
O16 - DPF: {9732FB42-C321-11D1-836F-00A0C993F125} (mhLabel Class) - http://www.pcpitstop.com/mhLbl.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/nl/deleon/1.1.62-deleon/GoogleNav.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37634.2652662037
O16 - DPF: Yahoo! Chinese Checkers (Update Class) - http://download.games.yahoo.com/games/clients/y/cct0_x.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://virusscan.zdnet.nl/housecall/xscan53.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = home.nl
 
Hoi dude90,

Zo te zien wel.
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=

kun je laten fixen. Haal ook even de nieuwste versie van HijackThis op (1.96), alhoewel ik daar geen verrassingen in verwacht.

Groetjes,

Pieter
 
Geplaatst door speenbrain


hallo vaat
deze had ik ook gevonden maar het gaat hier om vb.ai vb.aj vb.ac deze infecteren andere files dan die van mij
dat is een vb.cd en daar over vind je niets tot nu toe.
Klik om te vergroten...

WOW :D

I knew i recognised certain modules and things inside this, and it looked like a trojanclicker (used to generate fake IE hits)

TrojanClicker.Win32.Netkon is almost an exact match for this, am adding this one as TrojanClicker.Win32.Netkon.a :D

Thanks for the catch

DiamondCS

Oftewel: morgenvroeg even een trial van TDS3 downen, als je het nog niet helemaal vertrouwt, KAV zou hem door het conflict met NAV gemist kunnen hebben .

Groetjes,

Pieter
 
Beste Pieter,

Ik heb je advies opgevolgd, maar de door jou genoemde mappen heb ik niet kunnen vinden. Wel enkele bestandjes die ' portal' in hun naam hebben. Die heb ik er maar uitgekieperd. Zou nu alles in orde zijn?
Groetjes
Joep
 
Geplaatst door joepheldoorn
Beste Pieter,

Ik heb je advies opgevolgd, maar de door jou genoemde mappen heb ik niet kunnen vinden. Wel enkele bestandjes die ' portal' in hun naam hebben. Die heb ik er maar uitgekieperd. Zou nu alles in orde zijn?
Groetjes
Joep
Klik om te vergroten...

Hoi Joep,

Dat zal dan met de scan al verdwenen zijn. Zolang die Teknum updater niet meer opstart zit jij goed.

Groetjes,

Pieter
 
hoi,Pieter, ik ben bij vrienden en deze pc draait vierkant. Kan je eens even naar deze log kijken?

Logfile of HijackThis v1.94.0
Scan saved at 20:41:40, on 18/08/2003
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL=http://searchbar.linksummary.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=+w
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=+w
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.startinbelgie.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL=+w
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://216.65.3.68/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://www.hotfreebies.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://www.hotfreebies.com/search.html
O1 - Hosts: 66.40.16.218 auto.search.msn.com
O2 - BHO: (no name) - {2F4F8CC3-FF89-11D1-9F63-0020182D7E20} - C:\PROGRAM FILES\ESAFE\PROTECT\espie.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: @msdxmLC.dll,-1@1043,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [eSafe Protect] C:\Program Files\eSafe\Protect\ESPWatch.exe /delay=5
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LDM] C:\Program Files\Desktop Messenger\8876480\Program\backWeb-8876480.exe
O4 - HKLM\..\Run: [SysOps] SysOps
O4 - HKLM\..\Run: [Windll32] C:\WINDOWS\Windll32.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [eSafe Protect] C:\Program Files\eSafe\Protect\SERV95.EXE
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O4 - Startup: Office Opstarten.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Office Werkbalk.lnk = C:\Program Files\Microsoft Office\Office\MSOFFICE.EXE
O4 - Startup: Microsoft Office Snelzoeken.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Desktop Messenger\8876480\Program\LDMConf.exe
O10 - Unknown file in Winsock LSP: c:\program files\esafe\protect\espsock2.dll
O10 - Unknown file in Winsock LSP: c:\program files\esafe\protect\espsock2.dll
O10 - Unknown file in Winsock LSP: c:\program files\esafe\protect\espsock2.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .aif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .ssc: C:\Program Files\Ubizen\SmartStart\NPSmartStart32.dll
O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.lochness.scotland.net/push.cab
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://activex.microsoft.com/activex/controls/iptdweb/ikcntrls.cab
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {AE775D48-49AA-11D1-8F1C-00C04FB67063} (MS Investor Ticker) - http://fdl.msn.com/public/investor/v5/ticker.cab
O16 - DPF: {BB47CA33-8B4D-11D0-9511-00C04FD9152D} (ExteriorSurround Object) - http://fdl.eu.msn.com/autos/SV/ocx/exterior/Outside.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.bitstream.com/wfplayer/tdserver.cab
O16 - DPF: {11BF0E2B-4229-4ADC-9C11-1C6968731018} - http://213.239.160.121/B57165/borkum/Borkum.cab
O16 - DPF: {94B964F0-45CC-11D4-9F1D-0060085C7782} (Version Class) - https://internetbanking.argenta.be/multisecure/smartstart/Win32/SmartStartSetup.cab
O16 - DPF: {8522F9B3-38C5-4AA4-AE40-7401F1BBC851} - http://www.getporn.nl/Search_Mp3s.exe
O16 - DPF: {8B22270A-71D9-4AB9-B11A-2EA1E5292F42} - http://a0e6.ffx23wl.nl/plugins/nl/cdm.cab
O16 - DPF: {421A63BA-4632-43E0-A942-3B4AB645BE51} - http://i.rn11.com/iwasher/pptproactauthmirror/internetwasherpro.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {C7B05B62-C8D7-438C-840B-4994DAAA8EEE} - http://webpdp.gator.com/v3/download/pdpplugin5094_hd3sstb.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab


groetjes Ludo
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan