Helpmij tegen spyware offensief

[speenbrain]

Geplaatst door Pieter Arntz


WOW

I knew i recognised certain modules and things inside this, and it looked like a trojanclicker (used to generate fake IE hits)

TrojanClicker.Win32.Netkon is almost an exact match for this, am adding this one as TrojanClicker.Win32.Netkon.a

Thanks for the catch

DiamondCS

Oftewel: morgenvroeg even een trial van TDS3 downen, als je het nog niet helemaal vertrouwt, KAV zou hem door het conflict met NAV gemist kunnen hebben .

Groetjes,

Pieter

bedankt maar moet ik nu weer een nieuwe trail downloaden van TDS3
ik heb een trail van TDS3 nu op mpijn pc

gr: s

 

[Kleinkramer]

Ludo,

Op zijn minst één trojan:

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.stealer.html

Maar dit is een stokoude versie van HT.

Download de laatste, en draai nog eens een logje.

http://tomcoyote.org/hjt/

 

[Kleinkramer]

Geplaatst door Kleinkramer
Ludo,

Op zijn minst één trojan:

Wellicht twee:

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.msncorrupt.html

 

[Pieter Arntz]

Geplaatst door speenbrain


bedankt maar moet ik nu weer een nieuwe trail downloaden van TDS3
ik heb een trail van TDS3 nu op mpijn pc

gr: s

Nee alleen een nieuwe update installeren, zodra die morgen uit is, meestal zo rond 10.00
Ze worden altijd hier gemeld: http://www.wilderssecurity.com/index.php?board=26

Deze downloaden http://tds.diamondcs.com.au/radius.td3 en de oude vervangen.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door Kleinkramer


Wellicht twee:

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.msncorrupt.html

En installers voor lop en MS connect:

O16 - DPF: {8522F9B3-38C5-4AA4-AE40-7401F1BBC851} - http://www.getporn.nl/Search_Mp3s.exe
O16 - DPF: {8B22270A-71D9-4AB9-B11A-2EA1E5292F42} - http://a0e6.ffx23wl.nl/plugins/nl/cdm.cab

Groetjes,

Pieter

 

[khk464]

Pieter en Kleinkramer, die twee zijn gefixt maar ik kan de nieuwe HT hier niet downloaden want er komt een kadertje dat ik niet gemachtigd ben. Os is Me. Ik zal het thuis moeten downloaden.

Bedankt Ludo

 

[Kleinkramer]

Niet gemachtigd??

Hmmm...

Nou, fix dan in ieder geval deze ook maar. Dan hebben we het meeste wel gehad:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL=http://searchbar.linksummary.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=+w
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=+w
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL=+w
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://216.65.3.68/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://www.hotfreebies.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://www.hotfreebies.com/search.html

O1 - Hosts: 66.40.16.218 auto.search.msn.com

O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LDM] C:\Program Files\Desktop Messenger\8876480\Program\backWeb-8876480.exe

O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe

O4 - Startup: Microsoft Office Snelzoeken.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {11BF0E2B-4229-4ADC-9C11-1C6968731018} - http://213.239.160.121/B57165/borkum/Borkum.cab
O16 - DPF: {8522F9B3-38C5-4AA4-AE40-7401F1BBC851} - http://www.getporn.nl/Search_Mp3s.exe
O16 - DPF: {8B22270A-71D9-4AB9-B11A-2EA1E5292F42} - http://a0e6.ffx23wl.nl/plugins/nl/cdm.cab
O16 - DPF: {421A63BA-4632-43E0-A942-3B4AB645BE51} - http://i.rn11.com/iwasher/pptproact...etwasherpro.cab
O16 - DPF: {C7B05B62-C8D7-438C-840B-4994DAAA8EEE} - http://webpdp.gator.com/v3/download...094_hd3sstb.cab

En vervolgens uiteraard even opnieuw opstarten, en de bestanden Windll32.exe en SysOps zelf opzoeken en wissen

 

[speenbrain]

hallo Pieter Arntz

bedankt voor deze url http://www.wilderssecurity.com/index.php?board=26 heb hem gelijk in mijn favo gezet

en deze had ik al http://tds.diamondcs.com.au/radius.td3 gedaan

ik zal morgen de nieuwe update installeren en dan een nieuwe scan uitvoeren

alvast een dike (':thumb:') (':thumb:')

Groetjes,

speenbrain

 

[khk464]

Bedankt, heb alles in orde gekregen.:thumb:

Groetjes Ludo

 

[Kleinkramer]

Mooi!

 

[Dolfhin]

ik sta hier in het begin van deze topic ook al met mijn log maar er staan nu een aantal dingen bij waarvan ik niet echt weet wat ik er mee aan moet
Logfile of HijackThis v1.96.1
Scan saved at 0:39:26, on 19-8-03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\INTEGRATOR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
D:\OPERA\BETA\7.20 BETA3\OPERA.EXE
D:\TRILLIAN\TRILLIAN.EXE
D:\ULTIMATEZIP\UZIP.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchba.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchmn.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchba.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchcs.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchsa.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door Wanadoo
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.wanadoo.nl/
[gefixd met heeel veel dank aan Kleinkramer & Bennie]
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEINT.DLL
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton\Norton-Antivirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~2\SDHELPER.DLL
O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\PROGRAM FILES\NAVEXCEL\NAVHELPER\V2.0.4\NHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton\Norton-Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: Hare.lnk = D:\Hare\Hare.exe
O4 - User Startup: Hare.lnk = D:\Hare\Hare.exe
O8 - Extra context menu item: Download with Star Downloader - C:\PROGRAM FILES\STAR DOWNLOADER\sdie.htm
O8 - Extra context menu item: Download met LeechGet Wizard - file://D:\LeechGet\\Wizard.html
O8 - Extra context menu item: Download met LeechGet - file://D:\LeechGet\\AddUrl.html
O8 - Extra context menu item: Verwerk met LeechGet (Parse) - file://D:\LeechGet\\Parser.html
O9 - Extra button: Copernic (HKLM)
O9 - Extra 'Tools' menuitem: Launch Copernic 2001 (HKLM)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...apple.com/qt505/nl/win/QuickTimeInstaller.exe
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -

het gaat dus om die porno site's die der in staan

 

[Kleinkramer]

AL het volgende moet je laten fixen (eerst alle IE vensters sluiten):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.defaultsearch.com/search...ie/searchba.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.defaultsearch.com/search...ie/searchmn.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.defaultsearch.com/search...ie/searchba.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.defaultsearch.com/search...ie/searchcs.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.defaultsearch.com/search...ie/searchsa.htm

ALLE O1 - Hosts: 66.159.20.80 items!

O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\PROGRAM FILES\NAVEXCEL\NAVHELPER\V2.0.4\NHELPER.DLL

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -

Vervolgens start je even opnieuw op, en wis de map NAVEXCEL in Program Files.

Succes,

 

[Bennie]

Porno? Zie jij porno staan?

Vink de volgende items aan en laat HT die fixen. Zet je browser uit.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.defaultsearch.com/search...ie/searchba.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.defaultsearch.com/search...ie/searchmn.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.defaultsearch.com/search...ie/searchba.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.defaultsearch.com/search...ie/searchcs.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.defaultsearch.com/search...ie/searchsa.htm
O1 - Hosts: 66.159.20.80 www1.ndhosting.com
O1 - Hosts: 66.159.20.80 www3.ndhosting.com
O1 - Hosts: 66.159.20.80 www2.ndhosting.com
O1 - Hosts: 66.159.20.80 www.ndhosting.com
O1 - Hosts: 66.159.20.80 www.kinghost.com
O1 - Hosts: 66.159.20.80 kinghost.com
O1 - Hosts: 66.159.20.80 www1.kinghost.com
O1 - Hosts: 66.159.20.80 www2.kinghost.com
O1 - Hosts: 66.159.20.80 www3.kinghost.com
O1 - Hosts: 66.159.20.80 www4.kinghost.com
O1 - Hosts: 66.159.20.80 www5.kinghost.com
O1 - Hosts: 66.159.20.80 www6.kinghost.com
O1 - Hosts: 66.159.20.80 www7.kinghost.com
O1 - Hosts: 66.159.20.80 www8.kinghost.com
O1 - Hosts: 66.159.20.80 www9.kinghost.com
O1 - Hosts: 66.159.20.80 www10.kinghost.com
O1 - Hosts: 66.159.20.80 www.smutserver.com
O1 - Hosts: 66.159.20.80 smutserver.com
O1 - Hosts: 66.159.20.80 www1.smutserver.com
O1 - Hosts: 66.159.20.80 www2.smutserver.com
O1 - Hosts: 66.159.20.80 www16.smutserver.com
O1 - Hosts: 66.159.20.80 www3.smutserver.com
O1 - Hosts: 66.159.20.80 www4.smutserver.com
O1 - Hosts: 66.159.20.80 www5.smutserver.com
O1 - Hosts: 66.159.20.80 www6.smutserver.com
O1 - Hosts: 66.159.20.80 www7.smutserver.com
O1 - Hosts: 66.159.20.80 www8.smutserver.com
O1 - Hosts: 66.159.20.80 www9.smutserver.com
O1 - Hosts: 66.159.20.80 www10.smutserver.com
O1 - Hosts: 66.159.20.80 www11.smutserver.com
O1 - Hosts: 66.159.20.80 www12.smutserver.com
O1 - Hosts: 66.159.20.80 www13.smutserver.com
O1 - Hosts: 66.159.20.80 www14.smutserver.com
O1 - Hosts: 66.159.20.80 www15.smutserver.com
O1 - Hosts: 66.159.20.80 www17.smutserver.com
O1 - Hosts: 66.159.20.80 www18.smutserver.com
O1 - Hosts: 66.159.20.80 www19.smutserver.com
O1 - Hosts: 66.159.20.80 www20.smutserver.com
O1 - Hosts: 66.159.20.80 www21.smutserver.com
O1 - Hosts: 66.159.20.80 www22.smutserver.com
O1 - Hosts: 66.159.20.80 www23.smutserver.com
O1 - Hosts: 66.159.20.80 www24.smutserver.com
O1 - Hosts: 66.159.20.80 www25.smutserver.com
O1 - Hosts: 66.159.20.80 www26.smutserver.com
O1 - Hosts: 66.159.20.80 www27.smutserver.com
O1 - Hosts: 66.159.20.80 www28.smutserver.com
O1 - Hosts: 66.159.20.80 www29.smutserver.com
O1 - Hosts: 66.159.20.80 www30.smutserver.com
O1 - Hosts: 66.159.20.80 www31.smutserver.com
O1 - Hosts: 66.159.20.80 www32.smutserver.com
O1 - Hosts: 66.159.20.80 agreathost.net
O1 - Hosts: 66.159.20.80 www.agreathost.net
O1 - Hosts: 66.159.20.80 hotfreehost.com
O1 - Hosts: 66.159.20.80 www.hotfreehost.com
O1 - Hosts: 66.159.20.80 greatfreehost.com
O1 - Hosts: 66.159.20.80 www.greatfreehost.com
O1 - Hosts: 66.159.20.80 freesmutpages.com
O1 - Hosts: 66.159.20.80 www.freesmutpages.com
O1 - Hosts: 66.159.20.80 apornhost.com
O1 - Hosts: 66.159.20.80 www.apornhost.com
O1 - Hosts: 66.159.20.80 nasty-pages.com
O1 - Hosts: 66.159.20.80 www.nasty-pages.com
O1 - Hosts: 66.159.20.80 sexyfreehost.com
O1 - Hosts: 66.159.20.80 www.sexyfreehost.com
O1 - Hosts: 66.159.20.80 x4web.com
O1 - Hosts: 66.159.20.80 www.x4web.com
O1 - Hosts: 66.159.20.80 sexplanets.com
O1 - Hosts: 66.159.20.80 www.sexplanets.com
O1 - Hosts: 66.159.20.80 maxismut.com
O1 - Hosts: 66.159.20.80 www.maxismut.com
O1 - Hosts: 66.159.20.80 tgpfriendly.com
O1 - Hosts: 66.159.20.80 www.tgpfriendly.com
O1 - Hosts: 66.159.20.80 tgp-server.com
O1 - Hosts: 66.159.20.80 www.tgp-server.com
O1 - Hosts: 66.159.20.80 magnaplza.com
O1 - Hosts: 66.159.20.80 www.magnaplza.com
O1 - Hosts: 66.159.20.80 free-xxx-server.com
O1 - Hosts: 66.159.20.80 www.free-xxx-server.com
O1 - Hosts: 66.159.20.80 libereco.net
O1 - Hosts: 66.159.20.80 www.libereco.net
O1 - Hosts: 66.159.20.80 0190-dialer.com
O1 - Hosts: 66.159.20.80 www.0190-dialer.com
O1 - Hosts: 66.159.20.80 xxxod.net
O1 - Hosts: 66.159.20.80 www.xxxod.net
O1 - Hosts: 66.159.20.80 altsights.com
O1 - Hosts: 66.159.20.80 www.altsights.com
O1 - Hosts: 66.159.20.80 adulthosting.com
O1 - Hosts: 66.159.20.80 www.adulthosting.com
O1 - Hosts: 66.159.20.80 superhova.com
O1 - Hosts: 66.159.20.80 www.superhova.com
O1 - Hosts: 66.159.20.80 bestpornhost.com
O1 - Hosts: 66.159.20.80 www.bestpornhost.com
O1 - Hosts: 66.159.20.80 hostingfree.com
O1 - Hosts: 66.159.20.80 www.hostingfree.com
O1 - Hosts: 66.159.20.80 xfreehosting.com
O1 - Hosts: 66.159.20.80 www.xfreehosting.com
O1 - Hosts: 66.159.20.80 blinghosting.com
O1 - Hosts: 66.159.20.80 www.blinghosting.com
O1 - Hosts: 66.159.20.80 x-x-x-hosting.com
O1 - Hosts: 66.159.20.80 www.x-x-x-hosting.com
O1 - Hosts: 66.159.20.80 pornparks.com


Start PC opnieuw op.

Groetjes,
Bennie

 

[Dolfhin]

Geplaatst door Kleinkramer
ALLE O1 - Hosts: 66.159.20.80 items!

Zijn dat dailers of geblokeerde site's? Als dat dailers zijn heb ik een heel groot probleem

Alvast hartelijk bedankt :thumb: :thumb:

 

[Kleinkramer]

Geplaatst door Bennie
Porno? Zie jij porno staan?

Ga voor de gein toch eens naar http://66.159.20.80

 

[Dolfhin]

Geplaatst door Kleinkramer


Ga voor de gein toch eens naar[het ip adres van een prono site met een rare manier van klanten binding]

Owh dat zijn alleen progjes die doorverwijzen naar een andere site *zucht van opluchting* Anyway bij mij hebben ze dan winig suc6 die site's die daar staan bezoek ik toch nooit

Beetje rare manier om klanten te lokken

edit// we hebben nu ongeveer een halve pagina met prono site's mss een goed idee om die ff weg te halen voordat de mods het zien?

 

[Kleinkramer]

Geplaatst door Dolfhin


Zijn dat dailers of geblokeerde site's? Als dat dailers zijn heb ik een heel groot probleem

Nee, het is een Hosts file Hijack. Niets vreselijks, maar het moet wel opgeruimd.

 

[Kleinkramer]

Maar ruim Navexcel dus ook even op: http://www.doxdesk.com/parasite/NavExcel.html

 

[vaat]

Geplaatst door Kleinkramer
AL het volgende moet je laten fixen (eerst alle IE vensters sluiten):

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -

Succes, [/B]

waarom moet die java runtime weg ??

 

[vaat]

laat maar: staat er twee keer in .....

maar wat doet deze dan:

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

dit is een link naar een quicktime installer, moet dat echt blijven ??