anoniem Geplaatst: 10 februari 2005 Delen Geplaatst: 10 februari 2005 Ik vrees de about:blank infectie. Dat is alvast het adres van mijn hardnekkige startpagina. Ook last van een irritante toolbar en pornografische favorieten. Antivir vond tijdens draaien van Adaware 2 virussen (zijn verwijderd). [b:3b165b128f]Logfile of HijackThis v1.99.0[/b:3b165b128f] Scan saved at 16:17:02, on 9/02/05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS.000\SYSTEM\KERNEL32.DLL C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE C:\WINDOWS.000\SYSTEM\MPREXE.EXE C:\WINDOWS.000\SYSTEM\mmtask.tsk C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS.000\SYSTEM\DDHELP.EXE C:\WINDOWS.000\EXPLORER.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS.000\DESKTOP\SPYWARE REMOVALS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: Name - {627B1900-7AA4-11D9-ABFE-00E0ED06A261} - C:\WINDOWS.000\SYSTEM\MSTMJ.DLL O2 - BHO: (no name) - {2A77CCA1-7AAF-11D9-ABFE-00E0D8B7588B} - C:\WINDOWS.000\SYSTEM\MFKA.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS.000\SYSTEM\IESP2.DLL O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\RunServices: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\RunServices: [EnsoniqMixer] starter.exe O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html O8 - Extra context menu item: Koppelingspagina's - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS.000\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS.000\SYSTEM\MSJAVA.DLL O12 - Plugin for .spop: C:\PROGRA~1\Intern~1\Plugins\NPDocBox.dll O12 - Plugin for .php: C:\PROGRA~1\Intern~1\PLUGINS\nppdf32.dll O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {58172624-85DD-4482-9E64-02ADCA637E96} - http://www.kungfuchess.com/activex/web665.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab O16 - DPF: {F7E7FE39-7298-442F-97CE-B7A5E9AFE12D} (Info Class) - http://www0.spelpunt.nl/idtool.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.156,195.225.176.31 Alvast bedankt, Guft. Quote Link naar reactie
0 anoniem Geplaatst: 17 februari 2005 Auteur Delen Geplaatst: 17 februari 2005 Zoek je hosts bestand eens op. Als ik me niet vergis (ben geen win9x kenner :cry: ) staat deze in de map c:\windows Kijk eens wanneer dit bestand voor de laatste keer gewijzigd is. Had je het bestand SE.DLL kunnen verwijderen in de Temp-map? Quote Link naar reactie
0 anoniem Geplaatst: 17 februari 2005 Auteur Delen Geplaatst: 17 februari 2005 Het bestand 'hosts.sam' kan ik vinden maar ik weet nie met wat ik dit dien te openen. M'n temp-files zijn leeg (zoals je gevraagd had), dus veronderstel ik dat se.dll weg is. Guft. Quote Link naar reactie
0 anoniem Geplaatst: 17 februari 2005 Auteur Delen Geplaatst: 17 februari 2005 moet een kaal ascii of ansi bestand zijn bijna elke tekst verwerker en kladblok moet het kunnen openen Quote Link naar reactie
0 anoniem Geplaatst: 17 februari 2005 Auteur Delen Geplaatst: 17 februari 2005 Ook met de functie 'zoeken' niet de vinden. Enkel 'hosts.sam' en 'lmhosts.sam'. Geopend in kladblok verschijnen er dan enkele IP-adressen. Inhoud posten? edit: hosts.sam is laats gewijzigd op 22/03/'04 Quote Link naar reactie
0 anoniem Geplaatst: 17 februari 2005 Auteur Delen Geplaatst: 17 februari 2005 bij mij is hosts.sam het laatst gewijzigd bij de installatie van het win98 systeem (mei 1999) ook het lmhosts.sam is toen het laatst gewijzigd hosts.sam is 1kb groot lmhosts.sam is 4kb groot Quote Link naar reactie
0 anoniem Geplaatst: 17 februari 2005 Auteur Delen Geplaatst: 17 februari 2005 Download [url=http://www.silentrunners.org/Silent%20Runners.zip]SilentRunners[/url]. Unzip het naar een eigen map. Klik op silentrunners.vbs om het te starten. Er wordt een bestand aangemaakt dat Startup Programs noemt. Post de inhoud. Quote Link naar reactie
0 anoniem Geplaatst: 17 februari 2005 Auteur Delen Geplaatst: 17 februari 2005 "Silent Runners.vbs", revision 31 Operating System: Windows 98 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "AVGCtrl" = "C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min" ["H+BEDV Datentechnik GmbH"] "EnsoniqMixer" = "starter.exe" [file not found] "QuickTime Task" = ""C:\WINDOWS.000\SYSTEM\QTTASK.EXE" -atboottime" ["Apple Computer, Inc."] HKLM\Software\Microsoft\Active Setup\Installed Components\ "PerUser_RNA_Inis\(Default)" = "Windows Setup - Externe toegang" \StubPath = "rundll.exe C:\WINDOWS.000\SYSTEM\setupx.dll,InstallHinfSection PerUser_Dialer_RNA_remove 64 C:\WINDOWS.000\INF\rna.inf" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{eb9ebda0-b3e7-11cf-81c9-0000c0aa665f}" = "FTP Explorer Shell Extension" -> {CLSID}\InProcServer32\(Default) = "ftpxext.dll" ["FTPx Corp."] Enabled Scheduled Tasks: ------------------------ "Toepassing Optimalisatie Start" -> launches: "walign" [MS] "Symantec NetDetect" -> launches: "C:\PROGRAM FILES\SYMANTEC\LIVEUPDATE\NDETECT.EXE" ["Symantec Corporation"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "C:\WINDOWS.000\SYSTEM\rnr20.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range: C:\WINDOWS.000\SYSTEM\msafd.dll [MS], 1 - 3 C:\WINDOWS.000\SYSTEM\rsvpsp.dll [MS], 4 - 5 ---------- This report excludes default entries except where indicated. To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. ---------- Quote Link naar reactie
0 anoniem Geplaatst: 18 februari 2005 Auteur Delen Geplaatst: 18 februari 2005 Ziet er goed uit Guft. Hoe is de situatie nu? Komt de hijacker nog steeds terug? Quote Link naar reactie
0 anoniem Geplaatst: 18 februari 2005 Auteur Delen Geplaatst: 18 februari 2005 Situatie nog steeds hetzelfde. Hijacker dreigt terug te komen. Is er nog hoop? Guft. :cry: Quote Link naar reactie
0 anoniem Geplaatst: 18 februari 2005 Auteur Delen Geplaatst: 18 februari 2005 Zou je dit nog eens een keer willen proberen? [quote:3e54f0e4bf="M@rc"] Download [url=http://skads.org/special/rkfiles.zip]rkfiles.zip[/url]. Pak de bestanden uit naar de map c:\rkfiles. Start de computer in veilige modus. Ga via de verkenner naar de map c:\rkfiles en dubbelklik op rkfiles.bat. Je computer wordt nu gescand. Als het dosvenster sluit, start je de computer terug in normale modus. Zoek het bestand C:\log.txt Post de inhoud van dit bestand.[/quote:3e54f0e4bf] Werkt het niet, dan gebruiken we andere tool. Quote Link naar reactie
0 anoniem Geplaatst: 18 februari 2005 Auteur Delen Geplaatst: 18 februari 2005 gewoon een format, windows 9x is 9 van de 10 keer een format, dit lijkt op een gebed zonder end. :roll: Quote Link naar reactie
0 anoniem Geplaatst: 18 februari 2005 Auteur Delen Geplaatst: 18 februari 2005 Heeft niet gewerkt, pc sloeg weer vast. Ik zou echt niet graag format c: doen en zolang m@rc het nog ziet zitten doe ik dit ook niet. Quote Link naar reactie
0 anoniem Geplaatst: 18 februari 2005 Auteur Delen Geplaatst: 18 februari 2005 Download [url=http://mythicsoft.fileburst.com/agentran.exe]Agent Ransack[/url]. Installeer het programma. Start het programma en op het "Advanced" tabblad vink je aan: "Expert User" en "Containing Text". In het veld naast "Containing Text" kopieer en plak je het volgende: [code:1:b8069717e4]UPX![/code:1:b8069717e4] Klik op de knop "Start Search". Het programma gaat nu je computer doorzoeken. (dit kan even duren) Wanneer het klaar is, klik je op de knop "Save results". Klik dan Op "Save to clipboard". Zorg dat enkel de files opgelijst worden. Afhankelijk van het resultaat post je de inhoud hier, laat ons zeggen als het er niet meer dan 70 - 80 zijn, anders mail je me het bestand door. Quote Link naar reactie
0 anoniem Geplaatst: 18 februari 2005 Auteur Delen Geplaatst: 18 februari 2005 c:\WINDOWS.000\TWAIN_32\A4CIS600\A4Ui1_S.CHM (830 KB, 30/07/98 9:08:44) c:\Mijn documenten\wim\bierfeesten.zip (52384 KB, 9/11/04 21:19:38) c:\WINDOWS.000\SYSTEM\c52bEs.dll (220 KB, 29/11/03 11:07:16) c:\WINDOWS.000\Desktop\FxAgentB.exe (158 KB, 15/02/05 19:58:20) c:\Mijn documenten\wim\jukebox!!\nederlandstalig\Katastroof\het loze vossertje.mp3 (2345 KB, 13/04/00 16:46:42) c:\Mijn documenten\wim\spyware_installs\HijackThis.exe (199 KB, 15/12/04 10:40:42) c:\WINDOWS.000\Desktop\spyware removals\HijackThis.exe (213 KB, 16/02/05 11:06:16) c:\Mijn documenten\mplayerc.exe (1306 KB, 28/03/04 18:47:40) c:\WINDOWS.000\SYSTEM\OLEPRO32.DLL (224 KB, 16/03/01 0:45:18) c:\Mijn documenten\wim\jukebox!!\nederlandstalig\pastorale.mp3 (4024 KB, 14/04/00 10:42:24) c:\WINDOWS.000\SYSTEM\pav.sig (6221 KB, 31/01/04 9:16:44) c:\WINDOWS.000\SYSTEM\ActiveScan\pav.sig (6221 KB, 31/01/04 9:16:44) c:\WINDOWS.000\Desktop\startdreck\psapi.dll (10 KB, 10/12/99 12:00:00) c:\rkfiles\rkfiles.bat (4 KB, 17/01/05 19:15:10) c:\Mijn documenten\Simpsons.wmv (35274 KB, 19/01/05 9:44:54) c:\WINDOWS.000\Desktop\startdreck\StartDreck.exe (51 KB, 5/08/04 18:43:54) c:\Mijn documenten\Mijn documenten\sus\dls\stinger_29jan04_tcm21-17246.exe (84 KB, 31/01/04 9:10:56) c:\WINDOWS.000\tsc.exe (160 KB, 17/01/05 18:41:46) c:\WINDOWS.000\USER.DAT (1189 KB, 18/02/05 23:23:22) c:\WINDOWS.000\Desktop\startdreck\vb40032.dll (341 KB, 12/01/96) c:\WINDOWS.000\Desktop\startdreck\vb4de32.dll (12 KB, 12/01/96) c:\WINDOWS.000\Temporary Internet Files\Content.IE5\81YFWLIV\viewtopic[1].htm (58 KB, 18/02/05 23:11:00) c:\WINDOWS.000\vsapi32.dll (1013 KB, 17/01/05 18:41:44) c:\win.txt (1 KB, 18/02/05 17:44:32) c:\Mijn documenten\Mijn documenten\Koen\SNES\zsnes\ZSNESW.EXE (433 KB, 15/07/02 19:51:58) Quote Link naar reactie
0 anoniem Geplaatst: 19 februari 2005 Auteur Delen Geplaatst: 19 februari 2005 Post ook even een hijackthislog. Heb je nog last gehad van de infectie? Quote Link naar reactie
0 anoniem Geplaatst: 19 februari 2005 Auteur Delen Geplaatst: 19 februari 2005 [b:a04f5cec77]Logfile of HijackThis v1.99.1[/b:a04f5cec77] Scan saved at 13:11:10, on 19/02/05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS.000\SYSTEM\KERNEL32.DLL C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE C:\WINDOWS.000\SYSTEM\MPREXE.EXE C:\WINDOWS.000\SYSTEM\mmtask.tsk C:\WINDOWS.000\EXPLORER.EXE C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS.000\SYSTEM\DDHELP.EXE C:\WINDOWS.000\SYSTEM\SPOOL32.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS.000\DESKTOP\SPYWARE REMOVALS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///c:/govaerts.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS.000\SYSTEM\QTTASK.EXE" -atboottime O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html O8 - Extra context menu item: Koppelingspagina's - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS.000\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS.000\SYSTEM\MSJAVA.DLL O12 - Plugin for .spop: C:\PROGRA~1\Intern~1\Plugins\NPDocBox.dll O12 - Plugin for .php: C:\PROGRA~1\Intern~1\PLUGINS\nppdf32.dll O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab Situatie voor de rest nog steeds dezelfde, ik weet dat de hijacker zal wederkeren. De vervelende pagina is nu reeds al enkele malen opgedoken. Quote Link naar reactie
0 anoniem Geplaatst: 19 februari 2005 Auteur Delen Geplaatst: 19 februari 2005 Ik zie niks raar in de log Guft. Meld je terug wanneer het zover is. Op dat moment voer je nog een keer de procedure uit met Agent Ransack. Ik heb net dezelfde infectie op een ander forum, en daar is het beestje ook teruggekomen. Ik heb de bestanden daar opgevraagd voor verder onderzoek. Je bent dus niet alleen. Kijk ook eens in de map c:\windows\system. Rangschik de bestanden eens op datum dat ze gewijzigd zijn. Ken je een overzichtje posten van de bestanden die gewijzigd zijn sinds je de infectie hebt? Quote Link naar reactie
0 anoniem Geplaatst: 19 februari 2005 Auteur Delen Geplaatst: 19 februari 2005 Guft, Zoek eens tussen de bestanden naar search-pin(x).dll x is hier een willekeurig nummer. Zorg dat alle verborgen bestanden weergegeven worden. Kan je dit bestand even opzoeken en de inhoud posten? C:\WINDOWS.000\PRINTVR.TXT Quote Link naar reactie
0 anoniem Geplaatst: 19 februari 2005 Auteur Delen Geplaatst: 19 februari 2005 Beide niet gevonden. Guft. Quote Link naar reactie
0 anoniem Geplaatst: 20 februari 2005 Auteur Delen Geplaatst: 20 februari 2005 In taakbeheer duikt ook plots 2x [b:301bd1209b]spoolsrv3[/b:301bd1209b]2 op en pc slaagt dan snel vast. Quote Link naar reactie
Vraag
anoniem
Link naar reactie
Beste reacties voor deze vraag
87
Populaire dagen
20 feb
18
17 feb
17
15 feb
12
21 feb
9
Beste reacties voor deze vraag
anoniem 87 berichten
Populaire dagen
20 feb 2005
18 berichten
17 feb 2005
17 berichten
15 feb 2005
12 berichten
21 feb 2005
9 berichten
86 antwoorden op deze vraag
Aanbevolen berichten
Om een reactie te plaatsen, moet je eerst inloggen