inbelvirus/spam

[madpro]

Sedert enige tijd krijgen sommige mensen die ik een email stuur een virus of spam?? mee die automatisch wil gaan inbellen op een adultsite.
Tevens plaatst een virus of spam (misschien dezelfde als boven) automatisch 3 nieuwe links naar adultsites in mijn favorieten.
Mijn virusscanner detecteert geen virussen.
Wie kent dit probleem?

 

[Caspar107]

Gebruik je een virusscanner? Laat anders je PC eens online op virussen scannen op www.housecall.nl

Scan je computer eens op spyware met Spybot
http://security.kolla.de/index.php?lang=en&page=download

Download daarna eens HIjackThis en laat deze je computer eens scannen, plaats de log hier (knippen/plakken als txt file)
http://www.tomcoyote.org/hjt/

 

[madpro]

Ik gebruik AVG Virusscanner. Bij housecall kun je on-line scannen maar hij doet niets.
Dit is de log van mijn pc:

Logfile of HijackThis v1.95.0
Scan saved at 22:02:09, on 1-7-2003
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\Media Manager\airsvcu.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\devldr32.exe
C:\TBRIDGE\Flatbed.exe
C:\WINNT\anvshell.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Program Files\LINKSYS\Configure Utility\Config.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\T. Madna\Local Settings\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://www001.upp.so-net.ne:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD%2E%42%49%5A/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://www001.upp.so-net.ne:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD%2E%42%49%5A
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://www001.upp.so-net.ne:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD%2E%42%49%5A/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://www001.upp.so-net.ne:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD%2E%42%49%5A/search.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar=http://www001.upp.so-net.ne:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD%2E%42%49%5A/search.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page=http://www001.upp.so-net.ne:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD%2E%42%49%5A/search.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://www001.upp.so-net.ne:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD%2E%42%49%5A/search.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://www001.upp.so-net.ne:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD%2E%42%49%5A/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINNT\System32\blank.htm
F1 - win.ini: load=C:\TBridge\Flatbed.exe
O1 - Hosts: 164.140.155.110 www.onliba.fortisbank.nl
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Program Files\DAP\DAPIEBar.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll
O3 - Toolbar: eNotes - {F264E777-7AB7-4BEB-8A42-5C37C8F4B6B4} - C:\WINNT\System32\enotebar.dll
O3 - Toolbar: @msdxmLC.dll,-1@1043,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [Fortis Secure Layer Config] cseinst.exe -o-h
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINNT\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Atomic.exe] C:\Program Files\Atomic Clock Sync\Atomic.exe
O4 - HKCU\..\Run: [Scanner] C:\\TBRIDGE\\Flatbed.exe
O4 - HKCU\..\Run: [ZEject] C:\Program Files\2002 CD Eject\CDEject.exe
O4 - Startup: Spam Buster.lnk = C:\Program Files\SpamBuster\spamBuster.exe
O4 - Startup: Introducing Media Manager.lnk = C:\Program Files\Common Files\Microsoft Shared\Media Manager\SPLASHA.EXE
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Configuration Utility.lnk = C:\Program Files\LINKSYS\Configure Utility\Config.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Take an eNote - res://C:\WINNT\System32\enotebar.dll/#206
O9 - Extra button: SEARCH (HKLM)
O9 - Extra button: ANTIVIRUS (HKLM)
O9 - Extra button: ENTERTAINMENT (HKLM)
O9 - Extra button: SECURITY (HKLM)
O9 - Extra button: SEARCH (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra 'Tools' menuitem: Edit eNotes (HKLM)
O9 - Extra 'Tools' menuitem: View eNotes (HKLM)
O9 - Extra 'Tools' menuitem: Take an eNote (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra 'Tools' menuitem: eNotes Help (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Unknown file in Winsock LSP: c:\winnt\system32\csesck32.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\csesck32.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\csesck32.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\csesck32.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\csesck32.dll
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Unknown file in Winsock LSP: c:\winnt\system32\csesck32.dll
O13 - DefaultPrefix: http://www001.upp.so-net.ne:3128@DF...09JOW4WJ2304LFD0SF9FSD0A2T4LD.BIZ/c/c.pl?url=
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37414.183599537
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F264E777-7AB7-4BEB-8A42-5C37C8F4B6B4} (eNotes) - http://www.my-enotes.com/install/enotebar.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab

 

[Bennie]

Laat Hijackthis de volgende items fixen. Sluit je browser:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://www001.upp.so-net.ne:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD%2E%42%49%5A/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://www001.upp.so-net.ne:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD%2E%42%49%5A
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://www001.upp.so-net.ne:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD%2E%42%49%5A/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://www001.upp.so-net.ne:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD%2E%42%49%5A/search.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar=http://www001.upp.so-net.ne:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD%2E%42%49%5A/search.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page=http://www001.upp.so-net.ne:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD%2E%42%49%5A/search.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://www001.upp.so-net.ne:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD%2E%42%49%5A/search.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://www001.upp.so-net.ne:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD%2E%42%49%5A/search.htm
O10 - Hijacked Internet access by New.Net
O10 - Unknown file in Winsock LSP: c:\winnt\system32\csesck32.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\csesck32.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\csesck32.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\csesck32.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\csesck32.dll
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Unknown file in Winsock LSP: c:\winnt\system32\csesck32.dll
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab

Start PC opnieuw op. Ik heb over die Enote mijn twijfels...

Groetjes,
Bennie

 

[virtually]

Ten eerste heb je al gescanned met een geupdate Spybot?

Ten tweede zie ik dat je Win2000 SP2 hebt, het lijkt me dat je achterloopt met het updaten van Win2000, raadzaam om even te kijken of alles up to date is;
http://v4.windowsupdate.microsoft.com/nl/default.asp

Maar dat is eigenlijk voor latere zorg, eerst maar eens alle spyware eraf gooien d.m.v. van Spybot en Hijackthis.

http://security.kolla.de/index.php?lang=en&page=download

Groetjes

 

[madpro]

Hi,
Ik heb gescand met Spybot (een aantal problemen heb ik laten oplossen) en hiervoor met Hijackthis.
De onlinescanner van Tiscali geeft geen virussen.

Hoe kom ik er nu achter dat ik 'schone' mail stuur?

 

[Bennie]

Totdat je geen klachten meer krijgt

Groetjes,
Bennie

 

[domi]

kijk eens naar deze mail ;
!!! VIRUSBERICHT !!!

Beste e-abonnee van de website www.sportpaleis.be
Tot onze spijt stuurden wij u met het bericht over David Bowie tegelijk een virus mee.
Het gaat om een totaal nieuwe variant van het Fortnight-virus, waardoor dit virus niet gedetecteerd werd door de meest courante anti-virussoftware. Eigenlijk gaat het om een internet-worm die Windows XP, 2000, NT, ME, 98 en 95-computers infecteert en uw 'handtekening' in uw e-mailprogramma "Microsoft Outlook" of "Microsoft Outlook Express" aanpast (gebruikers van andere pakketten zouden niet geïnfecteerd worden). Het start Internet Explorer en opent webpagina's met erotische inhoud (in sommige gevallen breidt het zelfs uw favorietenlijst uit met een drietal 'erotische favorieten'). Kort samengevat veroorzaakt het virus hinder, maar richt het geen schade aan.

Bij het vaststellen van het probleem hebben we zelf een fabrikant van een gerenommeerd anti-viruspakket gecontacteerd die ons bevestigde dat het niet gaat om een gekend virus. Na hun intern onderzoek werd de nieuwe variant toegevoegd aan de nieuwe viruslijst en werden hun bevindingen naar de andere fabrikanten doorgestuurd.



! ! ! Op onze website www.sportpaleis.be hebben we een pagina gecreëerd via dewelke u het virus van uw computer kunt verwijderen: klik naar:

<http://www.sportpaleis.be/?page=mailings&subpage=fortnight>

Let wel: de meeste antivirusfabrikanten zullen pas in de loop van woensdag hun signature-file updaten. U wacht best tot na de middag om het scan-programma te laten lopen.

Zowel het Antwerps Sportpaleis als de leverancier van onze mailingapplicatie zijn beschermd tegen virussen. We voeren degelijke anti-viruscontroles uit op zowel binnenkomende als buitengaande mails. Het virus werd helaas niet gevonden, noch door onze detectiesystemen noch door die van onze leverancier, net omdat het om een gloednieuwe variant van het Fortnight-virus gaat.

Wij verontschuldigen ons alvast voor deze "lastpost" die u - volledig buiten onze wil om - extra via onze e-mail over David Bowie ontving.

Met vriendelijke groet

Paul Vlaminck
redacteur/webbeheerder
pse@sportpaleis.be <mailtose@sportpaleis.be>

24 juni 2003

 

[madpro]

Bedankt,
Ga ik bekijken

 

[hendricus]

Mag ik het nog sterker vertellen?
Ik heb het zojuist een aantal keren getest en elke keer als ik jouw post aanklik krijg ik het venster te zien wat ik in de bijlage gezet heb.Een zg virus vermoeden. Dit JSA/fortnight zit echter niet in mijn content IE5, geen uitbreiding in de favorietenlijst , het start IE niet. Btw ik heb geen handtekeningen in m'n E-mailprogramma.
Ik heb wel AVG als virusscanner, dus daar zou 'm de kneep kunnen zitten

 

[hendricus]

Ik schop 'm even omhoog, omdat dit probleem zich nog altijd voordoet. De IE5 map heeft weliswaar een andere lettercombinatie gekregen, maar de possible virus melding blijft gelijk. Deze thread niet meer aaqnklikken is de simpele oplossing, maar weet iemand wat hier loos is? En Madpro, hoe staat 't nu bij jou?

 

[madpro]

Ik heb op verzoek de AntiVir Guard geinstalleerd en gedraaid. Straks ga ik kijken op Sportpaleis.be om eea te verwijderen.

 

[hendricus]

heb ik gebruikt voordat ik AVG installeerde. Verwijderd vanwege deze sorus
Ik wacht op een update van AVG om te zien of ik 't dan kwijt raak en blijf verder voorzichtig met jouw thread omgaan (

).
Succes met Antivir. Laat weten of je eea bij het sportpaleis hebt kunnen verwijderen!

 

[madpro]

Ik heb ook nog SpywareGuard en Spanbuster draaien.
Kan dat zo blijven of alleen AntiVir laten staan?

 

[hendricus]

Je bedoelt denk ik spambuster? Die conflicteren niet met Antivir. Meerdere virusscanners op één systeem, dat geeft gedonder.

 

[madpro]

Dus die SpywareGuard kan eraf?
En Spambuster laten staan?

 

[madpro]

Op Sportpaleis virusscan gaan draaien, maar geeft bij scannen een fout op de pagina, dus werkt nog niet goed.
Probeer later weer.

 

[hendricus]

Die Spywareguard kun je rustig laten staan. Aangezien je in een eerdere post meldt dat je hebt gescand met Spybot neem ik aan dat je die ook nog staan hebt?
(btw, ikzelf heb er drie draaiend: Spybot, Adaware en
Spywareblaster...nooit een conflict gehad).
In die post van Domi staat dat je het best kunt wachten tot woensdag-vandaag- na de middag want dan zullen ze van sportpaleis hun pagina met het verwijdertool wel klaar hebben.

 

[Bennie]

Geplaatst door madpro
Sedert enige tijd krijgen sommige mensen die ik een email stuur een virus of spam?? mee die automatisch wil gaan inbellen op een adultsite.
Tevens plaatst een virus of spam (misschien dezelfde als boven) automatisch 3 nieuwe links naar adultsites in mijn favorieten.
Mijn virusscanner detecteert geen virussen.
Wie kent dit probleem?

De oorzaak zit in een beveiligingslek in de Microsoft Virtual Machine. Info.

Groetjes,
Bennie

 

[Auk]

Geplaatst door hendricus
Ik heb het zojuist een aantal keren getest en elke keer als ik jouw post aanklik krijg ik het venster te zien wat ik in de bijlage gezet heb.Een zg virus vermoeden.

Waarschijnlijk ontdekt je virusscanner een string in het logfile dat Madpro heeft gepost. Het is dus niet echt JS/Fortnight dat gedetecteerd wordt.

Auk