Is prog. Revelations gevaarlijk?

Status
Niet open voor verdere reacties.
Fredd

Fredd

Gebruiker
Lid geworden
3 apr 2001
Berichten
240
Via SpySweeper heb ik pasgeleden iets verwijderd dat Revelation heette. Nu kun je met behulp van dit programma de Passwords die meestal worden aangeduid met ****** zichtbaar maken als leesbare tekens.
Is het mogelijk dat iemand dit programma op onze PC heeft gezet om daarmee onze passwords uit te lezen, bijvoorbeeld door een hacker ??
 
Als je het zelf niet geinstalleerd hebt, lijkt het er wel op dat iemand anders dat met opzet gedaan heeft.
Het is bij mijn weten geen programma dat zich ongevraagd op je PC nestelt.
Bovendien is de site van de maker off-line:
http://www.snadboy.com/Revelation.shtml
Een hacker lijkt me trouwens niet. Of eentje die erg amateuristisch te werk gaat en die zou nooit zoveel controle over je computer krijgen.

Groetjes,

Pieter
 
Dat lijkt me onwaarschijnlijk. Een hacker zou eerder gebruik maken van een keylogger. Bovendien zou er een trojan op je PC moeten zitten.

Groetjes,
Bennie
 
Geplaatst door Fredd
Via SpySweeper heb ik pasgeleden iets verwijderd dat Revelation heette. Nu kun je met behulp van dit programma de Passwords die meestal worden aangeduid met ****** zichtbaar maken als leesbare tekens.
Is het mogelijk dat iemand dit programma op onze PC heeft gezet om daarmee onze passwords uit te lezen, bijvoorbeeld door een hacker ??
Klik om te vergroten...


Ja die bestaat wel Fredd.

Er zijn inderdaad programma's die de sterretjes van een wachtwoord veranderen in letters. Een programma is bijvoorbeeld snitch. Die is hier te downloaden:

http://www.helpmij.nl/forum/attachment.php?s=&attachmentid=12253
 
Bedankt Pieter, Ik ga nog even vragen aan vrouwlief waar ze heen gesurfd is de afgelopen tijd. Het zat op haar PC!
ByTheWay: Ik heb dus wel even jouw website op mijn favorietenlijst gezet! FANTASTISCH!
 
Saldos en Bennie ook bedankt voor hun bijdrage. Ik heb inmiddels SpySweeper en Spybot op haar PC geinstalleerd en haar vriendelijk doch dringend verzocht deze regelmatig aan te spreken!
 
Fredd,

Zou je haar dit eens willen laten doen.
Download HijackThis. Uitleg en link vind je hier: http://www.tomcoyote.org/hjt/
Unzip en run het. Klik op Scan > Save log en sla het log op als een .txt bestand.
Kopieer en plak de inhoud in je volgende post.
Fix nog niets. Er zitten ook dingen die je echt nodig hebt.

Groetjes,

Pieter
 
Natuurlijk had ik al eerder jouw bericht over Hijackthis gelezen en deze gedownload.
Hier zijn de gegevens:
Logfile of HijackThis v1.94.0
Scan saved at 22:12:29, on 19-6-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.startmenu.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.startmenu.nl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer=192.168.1.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\System32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=%SystemRoot%\system32\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [COMDRV32] svdhost.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Offlsys] C:\WINDOWS\System32\Offlsys.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Offlsys] C:\WINDOWS\System32\Offlsys.exe
O4 - HKCU\..\Run: [SpySweeper] C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /0
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37708.3587962963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
 
Twee verdachte dingetjes:

O4 - HKLM\..\Run: [COMDRV32] svdhost.exe

O4 - HKCU\..\Run: [Offlsys] C:\WINDOWS\System32\Offlsys.exe

Kun je die bestanden eens opzoeken, erop rechtsklikken en naar de eigenschappen kijken.

Als je er geen wijs uitkomt: ik zet even mijn e-mailadres in je PB. Stuur ze daar maar naartoe.

Groetjes,

Pieter
 
Deze log ziet er schoon uit. MAAR:

O4 - HKLM\..\Run: [COMDRV32] svdhost.exe
O4 - HKCU\..\Run: [Offlsys] C:\WINDOWS\System32\Offlsys.exe
O4 - HKCU\..\Run: [Offlsys] C:\WINDOWS\System32\Offlsys.exe
O4 - HKCU\..\Run: [SpySweeper] C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /0

Met name die "offlsys.exe" en die "svdhost.exe" vertrouw ik voor geen cent. Ik kan er niets over vinden, dus mijn eerste gedachten gaan uit naar een trojan (???). Ik zou eens (on-line) scannen en kijken of er iets kwaadaardigs over gezegd wordt:
http://housecall.antivirus.com/housecall/start_corp.asp

Groetjes,
Bennie
 
In SVDhost.exe is een zogenaamd PF bestand (volledige naam is SVDHOST.EXE-2DD628B1.pf)
lokatie: c\windows\prefetch
openen met: onbekende toepassing
Grootte: 15,6 Kb
Grootte op schijf: 16,0 Kb

Bovenstaande lijkt mij ook zeer verdacht

over OFFLSYS heb ik iets meer gegevens.

Het is o.a. een configuratie-instelling te openen met kladblok.
Zit in C\windows\system32
grootte: 240 bytes

offlsys.exe is een toepassing in C\windows\system32
Grootte: 385Kb
Grootte op schijf: 388Kb
Bestandsversie: 009.0092
Interne naam: mon
Oorspronkelijke bestandsnaam: mon.bin
Productnaam: SysMgmt
Productversie: 009.0092
Engels

En dan is er nog een temp. bestand van Offlsys in C\windows\system32

SpySweeper heb ik gisteren geinstalleerd en heeft een zelfde functie als Ad-Aware + nog iets meer. Te vinden via Tucows. http://tucows.quicknet.nl/preview/305123.html

Gezien de tijd wordt het echt bedtijd voor deze zeer vermoeide concierge (JA, ook ik heb bijna vakantie!!).
Ik lees jullie reacties morgen graag verder.
In ieder geval zeer bedankt! Ook namens vrouwlief!
 
Klopt, spy sweeper is een anti spyware, dus die moet je niet verwijderen.

Maar hij hoeft denk ik niet met windows op te starten en op de achtergrond draaien. Dus je mag hem in msconfig-opstarten uitvinken.
 
Spy Sweeper zou ik maar wél verwijderen.:D

Review.

Groetjes,
Bennie
 
Spysweeper: http://www.dslreports.com/forum/remark,6944336~root=security,1~mode=flat

En het hoeft zeker niet op te starten, want het biedt geen actieve bescherming. En het is zeker niet beter dan AdAware of Spybot, integendeel.

SVDhost.exe moet ook nog ergens anders voorkomen dan in prefetch. Het zou best een verborgen bestand kunnen zijn.
In verkenner: Extra > Mapopties > tabblad weergave > verborgen bestanden en mappen weergeven.

Een overduidelijke poging om een bestand op een Windows bestand te laten lijken is op zijn minst erg verdacht.

Groetjes,

Pieter
 
Geplaatst door Bennie
die "svdhost.exe" vertrouw ik voor geen cent. Ik kan er niets over vinden, dus mijn eerste gedachten gaan uit naar een trojan (???). Ik zou eens (on-line) scannen en kijken of er iets kwaadaardigs over gezegd wordt:
http://housecall.antivirus.com/housecall/start_corp.aspGroetjes,
Bennie
Klik om te vergroten...

svdhost.exe is de "serial virtual driver". Je kunt dit als COM poort gebruiken.

Het is dus geen trojan.
 
Geplaatst door saldos


svdhost.exe is de "serial virtual driver". Je kunt dit als COM poort gebruiken.

Het is dus geen trojan.
Klik om te vergroten...

Daar ben ik allerminst zeker van. Over het bestand is NIETS maar dan ook NIETS te vinden. Ergo: het is geen officieel bestand. Waarom het in de "RUN" staat is mij volstrekt onduidelijk. Ik ben dan ook benieuwd naar documentatie ...

Groetjes,
Bennie
 
Geplaatst door Bennie


Daar ben ik allerminst zeker van. Over het bestand is NIETS maar dan ook NIETS te vinden. Ergo: het is geen officieel bestand. Waarom het in de "RUN" staat is mij volstrekt onduidelijk. Ik ben dan ook benieuwd naar documentatie ...

Groetjes,
Bennie
Klik om te vergroten...

Het is gewoon logisch denken. Je ziet toch dat er COMDRV32 ervoor staat? Het is dus duidelijk een COM driver.
Waarom het in de run sleutel staat is mij ook onduidelijk.
Het hoeft dan ook waarschijnlijk niet aangevinkt te worden in msconfig.
 
Logisch denken? Dat het bestand toevallig in COMDRV staat zegt mij helemaal NIETS. Je kan in elke willekeurige map wel bestanden dumpen. Net zo goed als je zegt: het staat in de Windows\systeemmap, dus het zal wel een Windowsbestand zijn.:confused:

Nogmaals: het gaat mij om het bestand svdhost.exe. Dat lijkt erg op svchost.exe en het kan bijna niet anders dat het bedoeld is om de boel te misleiden. En als over dat bestand (svdhost.exe) helemaal NIETS te vinden is op het internet....:8-0:

Groetjes,
Bennie
 
Net gedownload:) Maar in XP kan je daar niets mee (het stamt ook uit 1998) en er staat ook geen svdhost.exe bij. Hoe zit dat?

Groetjes,
Bennie
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan