Helpmij tegen spyware offensief

Status
Niet open voor verdere reacties.
Ja, in die map stond ook dit bestand, in de logfiles worden dingen die je intypt geregistreerd, ik wist niet dat dit programma bij mij draaide (ben ook niet de enige gebruiker), maar het is nu uitgeschakeld.
 
Het programma heet spylog

deze bestanden staan in de map.

2 mappen: LogFiles en Uninstall
13 bestanden: ASYCFILT.DLL, COMCAT.DLL, msflxgrd.ocx, MSVBM60.DLL, OLEAUT32.DLL, OLEPRO32.DLL, RICHED32.DLL, RICHTX32.OCX, Sc.exe, Spylog.exe, Uninstall.bat, VB6STKIT.DLL, VBKeyboardHook.dll.
 
Dus iemand heeft buiten jouw weten die Watchdog op je computer geinstalleerd?

Kijk even of je in je uitgaande mail iets kunt vinden:
You can also use the option of the client e-mailing you the log if you are not expected to be near the server module for a long time. But use this with caution as it may result in a lot of emails, considering that one email is sent per day from each client.
Klik om te vergroten...

Wil je mij Spylog.exe en VBKeyboardHook.dll ook nog even mailen?

Groetjes,

Pieter
 
Tenk joe. :)

Laat HijackThis deze fixen:
O4 - HKLM\..\Run: [sc] C:\windows\slog\sc.exe

Start daarna opnieuw op en verwijder de drie bestanden die je me gestuurd hebt.
Ik zou het log dat het gemaakt heeft even op floppy of CD zetten, zodat je na kunt kijken wat er allemaal bijgeheouden werd.

NOD32 over VBKeyboardHook.dll:

Time Module Object Name Virus Action User Info
4-10-2003 18:08:29 IMON email message from: jippiejajee to: pieter with subject gevraagde files van jippiejajee dated Sat, 4 Oct 2003 17:49:52 +0200 Win32/Spy.KBMan.A trojan NETVISTA\Pieter


Groetjes,

Pieter
 
ik heb m al weggehaald me HijackThis, de logs had ik ook al bekeken, daarin stonden dingen zoals:

-- tekst uit een msngesprek
-- tekst uit een email die ik had getypt
-- tekst uit een bericht wat ik naar een forum had gestuurd
-- dat ik een map aangemaakt had, met de naam
-- websites die ik bezocht had dmv het intypen van de naam
 
Geplaatst door jippiejajee

-- tekst uit een msngesprek
-- tekst uit een email die ik had getypt
-- tekst uit een bericht wat ik naar een forum had gestuurd
-- dat ik een map aangemaakt had, met de naam
-- websites die ik bezocht had dmv het intypen van de naam
Klik om te vergroten...

:evil: :mad:
 
Hier weer eens een log vanuit apeldoorn, gescand met spybot.

betreft een schone instalatie, maar werden door spybot al diverse items verwijderd.



Logfile of HijackThis v1.97.2
Scan saved at 19:06:31, on 4-10-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Melanie Beekman\Local Settings\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37898.2889699074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


Groeten Oossie
 
Geplaatst door XP_PC

Pieter, zouden dit soort gegegevens ook naar een bedrijf worden gestuurd als je I-net verbinding hebt ofzo?
Klik om te vergroten...

Hoi XP_PC,

Het antwoord is ja, maar bij dit programma zag ik alleen de optie om dat per mail te doen en dat zou, denk ik, op een gegeven moment opvallen. Vandaar dat ik ook vroeg om zijn uitgaande mail eens na te kijken.

Groetjes,

Pieter
 
Geplaatst door oossie
Hier weer eens een log vanuit apeldoorn, gescand met spybot.

betreft een schone instalatie, maar werden door spybot al diverse items verwijderd.
Klik om te vergroten...

Oossie,

De items die Spybot verwijderde zullen de bekende M$ en eventueel door de computerfabrikant meegeleverde ingrediënten zijn geweest.
Het log is schoon.

Groetjes,

Pieter
 
Hallo allemaal,

Ik hoop dat jullie hier even naar willen kijken.
Ik heb al gescand met adaware6. en alles mag uit tijdens het opstarten behalve Mcafee.

Als je mij ook kan vertellen welke mappen verwijdert kunnen worden dan graag want de comp is ontzetten traag.

P.S. wie kan me vertellen wat ntask32.exe is want als ik mijn comp opstart krijg ik de melding kan ntask32 niet vinden kijk of het correct is getypt en zoek nogmaals of zo

ik zie ook zoiets in mijn logfile f2 + 04 kan day er iets mee te maken hebben.

Bij voorbaat dank voor jullie moeite.

Logfile of HijackThis v1.97.2
Scan saved at 7:31:04 PM, on 10/4/2003
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
C:\Program Files\McAfee\McAfee VirusScan\Webscanx.exe
C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\FAMILIE Nizamoeddin\My Documents\My Received Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door Wanadoo Cable v2.0c NL
F0 - system.ini: Shell=explorer.exe nstask32.exe
F2 - REG:system.ini: Shell=explorer.exe nstask32.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [NDplDeamon] nstask32.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Date Manager.lnk = C:\Program Files\Date Manager\DateManager.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: Help (HKCU)
O9 - Extra button: Website (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.nl
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37807.5131828704
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C616CC0-CB6D-4C3C-A9A9-0699CAB484F0}: NameServer = 195.96.96.97 195.96.96.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{9C616CC0-CB6D-4C3C-A9A9-0699CAB484F0}: NameServer = 195.96.96.97 195.96.96.33
 
Geplaatst door Pieter Arntz
Stigter,

Zoek op je computer het bestand: QDCSFS.exe

Zoek anders even het IP adres uit waarmee het bestand contact wil maken.

Groetjes,

Pieter
Klik om te vergroten...

Gedaan zoals je zei pieter, hij stond in C:\Program Files\Norton SystemWorks\Norton CleanSweep
Maar hoe vind ik het ip adres? Als ik niet weet wat er contact met internet zoekt? Volgens spybot etc ben ik schoon..
Mijn logs waren schoon toch? Of niet? Ik kon er niets verdachts uit halen.
Voor het onderwerp "wil contact maken met internet"zal ik een nieuw topic openen zodra het zich weer voordoet.. (meestal 1 keer per sessie (= computer aan)
 
Arie,

Je log was inderdaad schoon, maar in je Startuplist staat deze regel:
QD FastAndSafe =

Dus zonder een pad naar het bestand. Het start dus op met een blanco regel. Zou dan misschien ook blanco toegang tot het net kunnen vragen.

Lijkt mij een gevalletje Saldos. ;)

Het IP adres of een URL zou je in je firewall logs moeten kunnen vinden.

Pieter
 
Geplaatst door Pieter Arntz
maar in je Startuplist staat deze regel:
QD FastAndSafe =

Pieter
Klik om te vergroten...
Wauw, Pieter ik ben echt onder de indruk.. Hoevaak ik me eigen log al heb gezien zal ik je niet vertellen, maar is me nog NOOIT opgevallen!!

Bedankt, en mocht ik het weer hebben hoop ik dat Saldos zich ook nog even laat zien:D
Ik ga even logs van Nis nalopen..
 
Pieter,

Wederom bedankt, hopenlijk blijft hij nu ook schoon.
was zoveel ellende aanwezig dat ik dit systeem maar eens geformateerd heb.

Groeten Oossie
 
Pieter, zal ik de volgende keer zeker doen.
Kun je deze link ook niet voorraan in dit topic zetten? Zou ook wel handig zijn om spywareguard en spywareblaster voorraan in het topic te linken.

Scheelt een hoop scrollwerk en zoeken in dit topic.

Groeten Oossie
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan