hoe geïnfecteerd?

[hendricus]

Als ik mijn PC opstart verschijnt na enige tellen een ongevraagde website. Gisteren heette die teensupu (of zoiets, ik heb 'm gelijk geblocked met adshield), vanochtend was z'n naam silver-age (porn, getdemme) en vanmiddag heet ie cmeptb ( security outpost -die wil dat ik iets download) Deze zijn inmiddels ok geblocked. Het is er steeds maar één, en blijkbaar steeds een andere. Ook als ik zit te typen verschijnt die site!
Ik heb nergens kunnen vinden waar dit vandaan kan komen, al m'n spywarescanners er op losgelaten, spywareguard reageert niet, housecall vindt niks.
Hij gaat (logisch) in de history en bij de cookies staan en komt dus regelmatig tevoorschijn. Als ik 'm op die plaatsen verwijder blijft ie weg tot de volgende computersessie. Heel erg hinderlijk.
Onlangs heeft m'n dochter msn geinstalleerd via messenger 6.0 -zonder problemen, dacht ik.
Wie oh wie weet hier iets over?

 

[vaat]

post eens een hijackthis log.

Start het programma > onderaan staat de knop scan, druk daarop > knop verandert in "save log", druk daarop > sla de file ergens op > open de file in kladblok > kopieer alles (ctrl + a > ctrl + c) > plak het in je volgende bericht (ctrl + v)

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

 

[hendricus]

Hier is 'm. Ik zie d'r niks vreems aan:
Logfile of HijackThis v1.97.2
Scan saved at 15:48:30, on 2-10-2003
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\TrayIcon.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\System32\DivX.Exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\DllHost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\User01\Local Settings\Temp\Tijdelijke map 1 voor hijackthis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {7559B76E-0222-4d77-9499-CCE9EB4EDC2F} - C:\PROGRA~1\AdShield\AdShield\AdShield.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINDOWS\System32\TrayIcon.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [DivX Updater] C:\WINDOWS\System32\DivX.Exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Maintain Block List... - C:\PROGRA~1\AdShield\AdShield\maintain.htm
O8 - Extra context menu item: Add to &Block List... - C:\PROGRA~1\AdShield\AdShield\suppress.htm
O8 - Extra context menu item: Add to &Exclude List... - C:\PROGRA~1\AdShield\AdShield\restrict.htm
O8 - Extra context menu item: AdShield Option &Settings... - C:\PROGRA~1\AdShield\AdShield\settings.htm
O8 - Extra context menu item: Search &Google - C:\WINDOWS\WEB\google.htm
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: AdShield (HKCU)
O12 - Plugin for .bcf: C:\Program Files\Internet Explorer\Plugins\NPBelv32.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab

 

[seeburg100]

vaat dat mag hier niet meer!kijk hier sticky van headout!

http://www.helpmij.nl/forum/showthread.php?s=&threadid=134129

sorry vaat in een tweede posting mag het wel!!!

 

[hendricus]

Hey, Pieter, lees puntje 2 van je thread even door....

 

[seeburg100]

Geplaatst door hendricus
Hey, Pieter, lees puntje 2 van je thread even door....

ja sorry mijn fout hoor!!!

 

[vaat]

deze zijn niet nodig:

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINDOWS\System32\TrayIcon.exe

voor de rest zo schoon als ik verwachtte Je hebt alleen geen startpagina ingesteld ??!!

Dus je start je pc op en dan start automatisch IE op en verschijnt de website. Of ben je aan het surfen als dat gebeurd. Je kan rustig als je op een site bent geredirect worden naar een andere site. Gebeurt het dus op een bepaalde site ?

 

[vaat]

zoek ook eens in windows verkenner naar het bestand "hosts" !! Vind je er meerdere ? Wat staat daarin ??

 

[hendricus]

Op beide berichten van Vaat: Geen hosts te vinden. Geen startpagina omdat ik eerst wat snelkoppelingen wil bedienen ( updates ed). Google en Helpmij staan bij de snelstarters.
Deze tweede middagsessie heeft zich het verschijnsel niet voorgedaan. Ik wacht nog even af en dan hoor je nog van me. Die sites s[prongen ervoor vóórdat ik het net opging, dus echt ongevraagd. ze horen niet bij een andere site, maar het is wel allemaal "rommel". Die twee 04 zal ik fixen, scheelt misschien snelheid.
Ikzelf dacht dat die 04 divx updater niet nodig was.
Thnx voor je antwoorden.

 

[hendricus]

...nog even dit: O4 - HKLM\..\Run: [CountrySelection] pctptt.exe laat zich niet fixen. Twee keer geprobeerd, alle vensters dicht (behalve hijackthis) en een herstart gedaan.?? Hij kan geen kwaad, dus...

 

[vaat]

Geplaatst door hendricus
...nog even dit: O4 - HKLM\..\Run: [CountrySelection] pctptt.exe laat zich niet fixen. Twee keer geprobeerd, alle vensters dicht (behalve hijackthis) en een herstart gedaan.?? Hij kan geen kwaad, dus...

Nee, kan geen kwaad. Maar is ook niet nodig. Je kan hem fixen in msconfig. Of anders in veilige modus.

Divx updater lijkt me ook niet nodig nee.

Ik hoor het wel ....

 

[Pieter Arntz]

hendricus,

Dat is hem

O4 - HKLM\..\Run: [DivX Updater] C:\WINDOWS\System32\DivX.Exe

Fixen en verwijderen.

Pieter

 

[Pieter Arntz]

Berichtje van Kleinkramer:

According to the Dialogue Science Online Virusscanner:
E:\Dump\DivX.Exe packed by UPX
>E:\Dump\DivX.Exe infected  with BackDoor.Mastak
According to Kasperski Online:
Current object: DivX.Exe
  DivX.Exe Packed: UPX
DivX.Exe Ok
DivX.ExeWarning: Backdoor.Divux
Cheers,  Tony

Groetjes,

Pieter

 

[vaat]

Geplaatst door Pieter Arntz
hendricus,

Dat is hem

O4 - HKLM\..\Run: [DivX Updater] C:\WINDOWS\System32\DivX.Exe

Fixen en verwijderen.

Pieter

ja, stom

meer info:

http://forums.spywareinfo.com/index.php?showtopic=12373&hl=divx+updater

 

[hendricus]

Ach, ik had het zelf ook moeten zien...gefixed én verwijderd.
@ Vaat: die pctptt laat zich ook niet uit msconfig zetten. Kan ik 'm eventueel uit het register werpen of is dat niet nodig?
Thnx allen

 

[hendricus]

Nog even dit... ik heb die DivX Updater ook uit de lijst van ZA verwijderd-daar kwam ie steeds vragen om toegang . Is het handig om de makers van pacs portal te informeren of gaat dat al via spywareinfo?

 

[vaat]

Geplaatst door hendricus
Nog even dit... ik heb die DivX Updater ook uit de lijst van ZA verwijderd-daar kwam ie steeds vragen om toegang . Is het handig om de makers van pacs portal te informeren of gaat dat al via spywareinfo?

Als je hem op pacs-portal wil hebben, kan je hem hier melden:

http://forums.spywareinfo.com/index.php?act=Post&CODE=00&f=18. Maar dat heeft Ton misschien al gedaan. Extra post kan echter geen kwaad.


pctptt.exe,

Country selection for a PCtel HSP56 based modem. Often found in OEM (Dell,Compaq, HP, etc) systems for their modems included on the motherboard or as a separate card. Once you've set the modem up to the chosen country it's not required

Gewoon niet nodig, je kan hem inderdaad even in de run key verwijderen, maar dat laat ik aan jou over. Kwaad kan hij niet.

 

[hendricus]

Ik heb 'm maar even gemeld.
Vraag is gelukkig opgelost!
Thnx

 

[hendricus]

Voor de volledigheid:
O4 - HKLM\..\Run: [DivX Updater] C:\WINDOWS\System32\DivX.Exe is gefixed

windows\system32\divx.exe én windows\system32\divxupdater.exe zijn gedelete. Die laatste staat niet ergens genoemd, maar stond wel in mijn folder.