Vraag & Antwoord

Beveiliging & privacy

Niet te vinden virus?

20 antwoorden
  • Beste forummers, Gister kreeg ik te horen dat er waarschijnlijk een virus zat op 1 van de pc's bij ons hier in het netwerk. Dus ik ben gaan kijken en heb toen de trial versie van nod32 er op gezet omdat die pc al een aantal dagen niet meer een werkende virusscanner had. Na dit gedaan te hebben en een reboot kreeg ik meteen van AMON nod32 te horen dat er waarschijnlijk een trojan/irc file op de pc stond. Echter was dit er niet 1 maar heb ik volgens mij wel 100 van dit soort schermen weg moeten klikken! Het waren allemaal bestanden die in windows/system32/software stonden en het waren allemaal exe crack bestanden. Dus allerlei exe bestanden voor een hoop spellen en programma's. Daarna probeerde ik de virusscanner te laten lopen maar dat lukte niet, zodra het schermpje werd geopend van het scannen werd deze meteen weer gesloten. Ik kon ook de system32 map niet vinden en een online virusscan van trend micro gaf niets aan. Daarna nog geprobeerd om hijackthis te draaien maar deze werd ook meteen weer afgesloten... Hopelijk weten jullie een oplossing, ik weet het zo even niet meer.
  • Probeer eens een online virusscan: http://housecall.trendmicro.com/housecall/start_corp.asp http://www.bitdefender.com/scan/licence.php
  • HijackThis: Als het programma zonder enige melding meteen weer afsluit, kun je te maken hebben met een agressieve variant van CoolWebSearch. [url=http://www.safer-networking.org/files/delcwssk.zip]Download[/url] en run dan eerst de CoolWWWSearch.SmartKiller removal tool. Probeer eens een oudere versie van HijackThis: http://computercops.biz/zx/Merijn/hijackthis1982.zip Als HijackThis niet lukt: Download [url=http://www.silentrunners.org/Silent%20Runners.zip]Silent Runners[/url] Unzip het naar een eigen map. Start SilentRunners.vbs Wanneer je antivirusprogramma een melding geeft, sta je toe om dit script uit te voeren. Er wordt een logje geplaatst in de map van waar je Silentrunners gestart hebt. Post de inhoud van dit logje. Het doet me wel een beetje aan de volgende infectie denken: http://forum.computertotaal.nl/phpBB/viewtopic.php?t=144273 Ik heb vandaag geen tijd meer. Mogelijk dat anderen iets zien en anders wordt het later.
  • Bedankt voor de hulp tot nu toe. Een online virusscan had ik al geprobeerd maar als ik die van bitdefender probeer dan gebeurd er nix als ik op de knop I agree druk. CoolWWWSearch.SmartKiller had ik al geprobeerd maar deze kon niets vinden, die oudere versie van hijackthis werkt ook niet, zodra ik deze opstart wordt hij weer afgesloten. Dat Silent Runners werkt niet ik krijg "Kan script-engine VBScript voor script enz niet vinden" Ik zag volgens mij eerst in jou post iets staan over VBS smeenk, maar nu niet meer.
  • Probeer HijackThis ook eens te draaien in veilige modus. Dit was de opmerking die ik eerst geplaatst had, maar die leek me achteraf niet besteed aan een ervaren forummer zoals jij :wink: [quote:fd933dda30]Als het programma alleen een foutmelding geeft (a required .dll file, msvbvm60.dll was not found), en vervolgens afsluit, heb je de VB6 runtimes van Microsoft nodig. [url=http://www.microsoft.com/downloads/details.aspx?FamilyID=bf9a24f9-b5c5-48f4-8edd-cdf2d29a79d5&DisplayLang=en]Download[/url] en installeer deze dan.[/quote:fd933dda30]vr.gr.smeenk
  • En toen dacht ik aan de veilige modus daarin heb ik wel hijack this kunnen draaien: Logfile of HijackThis v1.99.1 Scan saved at 10:13:22, on 1-6-2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\Explorer.EXE D:\Documents and Settings\Astrid\Bureaublad\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programma's\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [IntelliType] "D:\Program Files\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [LVCOMS] D:\Program Files\Common Files\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechGalleryRepair] G:\Programma's\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [Windows Workstation Service (32-bits)] wkssvc32.exe O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [eMakeSV] D:\WINDOWS\System32\emakesv.exe O4 - HKLM\..\RunServices: [Windows Workstation Service (32-bits)] wkssvc32.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20030530/qtinstall.info.apple.com/bonnie/us/win/QuickTimeInstaller.exe O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {9AA73F41-EC64-489E-9A73-9CD52E528BC4} (ZoneAxRcMgr Class) - http://messenger.zone.msn.com/binary/ZAxRcMgr.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylomgames.com/activex/zylomgamesplayer.cab O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/cab/14/en/SysWebTelecomInt.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Program Files\Sygate\SPF\smc.exe Overigens kreeg ik in het begin van hijackthis een melding: An unexpected error has occured at procedure: ModRegistry_IniGetString(sFile=system.ini, sSection=boot, sValue=Shell) Error #53 - File not found
  • Download en installeer [url=http://www.ccleaner.com/]CCleaner[/url]. Gebruik het programma nog niet. Start de computer in [url=http://users.pandora.be/marcvn/spyware/1378056.htm]veilige modus[/url]. Sluit alle open vensters, run HijackThis nog een keer en plaats een vinkje bij de volgende items: [b:d2924b90d0]R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [Windows Workstation Service (32-bits)] wkssvc32.exe O4 - HKLM\..\Run: [eMakeSV] D:\WINDOWS\System32\emakesv.exe O4 - HKLM\..\RunServices: [Windows Workstation Service (32-bits)] wkssvc32.exe O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/cab/14/en/SysWebTelecomInt.cab[/b:d2924b90d0] Klik daarna op "Fix checked" en sluit HijackThis af. Zorg ervoor dat alle verborgen bestanden en mappen weergegeven worden.[url=http://users.telenet.be/marcvn/spyware/1117602.htm] Hoe verborgen bestanden en mappen weergeven.[/url]. Zoek de volgende bestanden met je verkenner en verwijder deze: [b:d2924b90d0]wkssvc32.exe D:\WINDOWS\System32\emakesv.exe[/b:d2924b90d0] [b:d2924b90d0]Het gebruik van Ccleaner:[/b:d2924b90d0] Ccleaner verwijderd ook cookies. Cookies zijn meestal gewoon nutteloos, soms zelfs kwaadaardig, maar er zijn er ook enkele die nodig zijn voor het inloggen op bepaalde websites. Ccleaner biedt je de mogelijkheid om in te stellen welke cookies je behouden wilt. Kijk hiervoor bij "Opties"en dan Cookies, selecteer de cookies die je behouden wilt en plaats die in de "Te behouden cookies" ruimte. Klik daarna op de knop "Opschonen". Herstart de computer in normale modus en plaats een nieuwe log van HijackThis. In een ander topic had ik de indruk dat deze malware ook wijzigingen aanbrengt in je hosts bestand en er voor zorgt dat virusscanners geen updates ophalen kunnen en onlinescans niet werken. Zoek daarom het bestand hosts(zonder extensie) eens op en open het met Notepad(Windows Kladblok) post de inhoud van het bestand hosts hier ook. vr.gr.smeenk :wink:
  • Okee ff wat dingen die me opvielen: - ik kon in de veilige modus niet typen, dus alsof het toetsenbord stuk was. ik heb via de schermtoetsenbord getypt. - de search van windows doet het niet, zodra ik deze open dan krijg ik het venstertje te zien met de hond er in maar het tekstballonetje is heel plat waardoor ik dus niets aanklikken. ook cltr+f in een browser venster werkt niet want de knop zoeken aangeklikt worden. ik heb wkssvc32.exe niet kunnen verwijderen want ik kon deze niet vinden met een extern zoekprogrammatje. hier de hijackthis log: Logfile of HijackThis v1.99.1 Scan saved at 20:14:55, on 1-6-2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\Explorer.EXE D:\Documents and Settings\Astrid\Bureaublad\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programma's\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [IntelliType] "D:\Program Files\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [LVCOMS] D:\Program Files\Common Files\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechGalleryRepair] G:\Programma's\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20030530/qtinstall.info.apple.com/bonnie/us/win/QuickTimeInstaller.exe O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {9AA73F41-EC64-489E-9A73-9CD52E528BC4} (ZoneAxRcMgr Class) - http://messenger.zone.msn.com/binary/ZAxRcMgr.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylomgames.com/activex/zylomgamesplayer.cab O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Program Files\Sygate\SPF\smc.exe en hier de inhoud van het hosts bestand: (nu ga je lachen) 127.0.0.1 coolwwwsearch.com 127.0.0.1 coolwebsearch.com 127.0.0.1 hi.studioaperto.net 127.0.0.1 www.webbrowser.tv 127.0.0.1 www.wazzupnet.com 127.0.0.1 gueb.com 127.0.0.1 kabex.com 127.0.0.1 www.hityou.com 127.0.0.1 miosearch.com 127.0.0.1 wazzupnet.com 127.0.0.1 213.131.225.2 127.0.0.1 www.blue-elefant.com 127.0.0.1 babeweb.de 127.0.0.1 start-seite.com 127.0.0.1 sexolymp.com 127.0.0.1 toriii.cc 127.0.0.1 www.xtipp.de 127.0.0.1 urawa.cool.ne.jp 127.0.0.1 777search.com 127.0.0.1 ace-webmaster.com 127.0.0.1 aifind.info 127.0.0.1 amateurliveshow.com 127.0.0.1 anarchylolita.com 127.0.0.1 anarchyporn.com 127.0.0.1 approvedlinks.com 127.0.0.1 cantfind.com 127.0.0.1 castingsamateur.com 127.0.0.1 cyberrape.com 127.0.0.1 dialerclub.com 127.0.0.1 exit.megago.com 127.0.0.1 fastmetasearch.com 127.0.0.1 findwhatevernow.com 127.0.0.1 globesearch.com 127.0.0.1 hotfreebies.com 127.0.0.1 krankin.com 127.0.0.1 live.sex-explorer.com 127.0.0.1 loveadot.com 127.0.0.1 megaseek.net 127.0.0.1 mixsearch.com 127.0.0.1 munky.com 127.0.0.1 newtopsites.com 127.0.0.1 noblindlinks.com 127.0.0.1 r.babenet.com 127.0.0.1 searchresult.net 127.0.0.1 sexarena.org 127.0.0.1 skeech.com 127.0.0.1 smarter.com 127.0.0.1 superwp.by.ru 127.0.0.1 sureseeker.com 127.0.0.1 wethere.com 127.0.0.1 wowsearch.org 127.0.0.1 www.xxx.com 127.0.0.1 www.websearch.com 127.0.0.1 partner23.firehunt.com 127.0.0.1 screensaver.it 127.0.0.1 xads.cliks.org 127.0.0.1 xwebsearch.biz 127.0.0.1 znext.com 127.0.0.1 rawtocash.net 127.0.0.1 7search.com 127.0.0.1 zestyfind.com 127.0.0.1 dev.ntcor.com 127.0.0.1 search.xrenoder.com 127.0.0.1 193.125.201.50 127.0.0.1 www.allcybersearch.com 127.0.0.1 www.tinybar.com 127.0.0.1 topsite.us 127.0.0.1 topsites.us 127.0.0.1 topsitez.us 127.0.0.1 out.true-counter.com 127.0.0.1 www.cnetadd.com 127.0.0.1 okmmm.com 127.0.0.1 www.139mm.com 127.0.0.1 008k.com 127.0.0.1 00hq.com 127.0.0.1 1-domains-registrations.com 127.0.0.1 100sexlinks.com 127.0.0.1 157.238.62.14 127.0.0.1 1sexparty.com 127.0.0.1 1stpagehere.com 127.0.0.1 2020search.com 127.0.0.1 209.66.114.130 127.0.0.1 24teen.com 127.0.0.1 36site.com 127.0.0.1 4corn.net 127.0.0.1 66.117.14.138 127.0.0.1 66.197.100.83 127.0.0.1 66.250.107.99 127.0.0.1 66.250.107.100 127.0.0.1 66.250.107.101 127.0.0.1 66.250.130.194 127.0.0.1 66.250.170.107 127.0.0.1 66.250.57.26 127.0.0.1 66.250.57.27 127.0.0.1 66.250.57.28 127.0.0.1 66.250.74.150 127.0.0.1 777top.com 127.0.0.1 8ad.com 127.0.0.1 aboutclicker.com 127.0.0.1 abrp.net 127.0.0.1 accessthefuture.net 127.0.0.1 acemedic.com 127.0.0.1 actionbreastcancer.org 127.0.0.1 activexupdate.com 127.0.0.1 adamsupportgroup.org 127.0.0.1 adasearch.com 127.0.0.1 adipics.com 127.0.0.1 adspics.com 127.0.0.1 adult-engine-search.com 127.0.0.1 adult-erotic-guide.net 127.0.0.1 adult-friends-finder.net 127.0.0.1 adulthyperlinks.com 127.0.0.1 adulttds.com 127.0.0.1 advert.exaccess.ru 127.0.0.1 agentstudio.com 127.0.0.1 africaspromise.org 127.0.0.1 akril.com 127.0.0.1 alcatel.ws 127.0.0.1 alfa-search.com 127.0.0.1 all-inet.com 127.0.0.1 allabtcars.com 127.0.0.1 allabtjeeps.com 127.0.0.1 allcybersearch.com 127.0.0.1 allhyperlinks.com 127.0.0.1 allinternetbusiness.com 127.0.0.1 almarvideos.com 127.0.0.1 amandamountains.com 127.0.0.1 amigeek.com 127.0.0.1 amisbusiness.com 127.0.0.1 analmovi.com 127.0.0.1 anin.org 127.0.0.1 annaromeo.com 127.0.0.1 antrocity.com 127.0.0.1 anything4health.com 127.0.0.1 apsua.com 127.0.0.1 aregay.com 127.0.0.1 arheo.com 127.0.0.1 arizonaweb.org 127.0.0.1 armitageinn.com 127.0.0.1 art-func.com 127.0.0.1 art-xxx.com 127.0.0.1 artachnid.com 127.0.0.1 asiankingkong.com 127.0.0.1 ass-gals.com 127.0.0.1 athenrye.com 127.0.0.1 avian-ads.com 127.0.0.1 ayakawamura.com 127.0.0.1 ayumitaniguchi.com 127.0.0.1 bannedhost.net 127.0.0.1 barbudafarms.com 127.0.0.1 barnandfence.com 127.0.0.1 batsearch.com 127.0.0.1 baygraphicsllc.com 127.0.0.1 bb-search.com 127.0.0.1 bbbsearch.com 127.0.0.1 bedhome.com 127.0.0.1 bediadance.com 127.0.0.1 bellabasketsfl.com 127.0.0.1 bernaolatwin.com 127.0.0.1 best-counter.com 127.0.0.1 best-hardpics.com 127.0.0.1 best-winning-casino.com 127.0.0.1 bestcrawler.com 127.0.0.1 bestfor.ru 127.0.0.1 bestporngate.com 127.0.0.1 bestxporno.com 127.0.0.1 blackjack-free.net 127.0.0.1 blender.xu.pl 127.0.0.1 bodaciousbabette.com 127.0.0.1 boobdoll.com 127.0.0.1 boobsandtits.com 127.0.0.1 boobsclub.com 127.0.0.1 boredlife.com 127.0.0.1 bowlofogumbo.com 127.0.0.1 bradcoem.org 127.0.0.1 brandiyoung.com 127.0.0.1 brookeburn.com 127.0.0.1 bucps.com 127.0.0.1 burgerkingbigscreen.com 127.0.0.1 buscards.net 127.0.0.1 bustyrussell.com 127.0.0.1 buttejazz.org 127.0.0.1 buyselldomain.net 127.0.0.1 calcioturris.com 127.0.0.1 canberracricketcoaching.com 127.0.0.1 candycantaloupes.com 127.0.0.1 careers.dulcineasystems.net 127.0.0.1 carsands.com 127.0.0.1 carsrentals.net 127.0.0.1 casino-gambling-1.net 127.0.0.1 casino-gambling-2.net 127.0.0.1 casino-onlines.net 127.0.0.1 casino.com.free.game.pogo.gratisdownloads.nl 127.0.0.1 casino2win.net 127.0.0.1 casinomidas.net 127.0.0.1 casinonline.net 127.0.0.1 catallogue.com 127.0.0.1 catsss.da.ru 127.0.0.1 caxa.ru 127.0.0.1 cclebali.org 127.0.0.1 ceewawires.org 127.0.0.1 certumgroup.com 127.0.0.1 chelancatering.com 127.0.0.1 childrenvilla.com 127.0.0.1 chips-4-free.com 127.0.0.1 chrisswasey.com 127.0.0.1 chriswallace.net 127.0.0.1 ckick4thumbs.com 127.0.0.1 clackamasliteraryreview.com 127.0.0.1 clearsearch.cc 127.0.0.1 clearsearch.net 127.0.0.1 clickaire.com 127.0.0.1 clickyestoenter.net 127.0.0.1 clrsch.com 127.0.0.1 cmtapestry.com 127.0.0.1 cool-homepage.co 127.0.0.1 cool-homepage.com 127.0.0.1 cool-search.net 127.0.0.1 cool-search.netfartpost.com 127.0.0.1 cool-web-search.com 127.0.0.1 coolfetishsite.com 127.0.0.1 coolfreehost.com 127.0.0.1 coolfreepage.com 127.0.0.1 coolfreepages.com 127.0.0.1 coolmoneysearch.com 127.0.0.1 coolpornsearch.com 127.0.0.1 coolsearcher.info 127.0.0.1 coolwebsearch. 127.0.0.1 coolwebsearsh.com 127.0.0.1 coolwwwsearch. 127.0.0.1 copmtraine.com 127.0.0.1 couldnotfind.com 127.0.0.1 count-all.com 127.0.0.1 cracks.me.uk 127.0.0.1 creamedcutties.com 127.0.0.1 creditsearchonline.com 127.0.0.1 crestring.com 127.0.0.1 crooder.com 127.0.0.1 curvedspaces.com 127.0.0.1 cvs.jps.ru 127.0.0.1 cvsymphony.com 127.0.0.1 cydom.com 127.0.0.1 daily-gals.com 127.0.0.1 dancingbabycd.com 127.0.0.1 datanotary.com 127.0.0.1 datareco.com 127.0.0.1 davemarshall.org 127.0.0.1 dcfitusa.com 127.0.0.1 defaultsearch.net 127.0.0.1 desarrollocreativo.com 127.0.0.1 develip.com 127.0.0.1 dewis.spb.ru 127.0.0.1 dewis.us 127.0.0.1 df809jow4wj2304lfd0sf9fsd0a2t4ldf809jow4wj2304lfd0sf9fsd0a2t4ld.biz 127.0.0.1 dietpills4free.com 127.0.0.1 dietpussy.com 127.0.0.1 digistreamsa.com 127.0.0.1 dionforvalleycouncil.org 127.0.0.1 doctorwaldron.com 127.0.0.1 document-not-found.pornpic.org 127.0.0.1 doggyaction.com 127.0.0.1 domain-your-registration.com 127.0.0.1 domains-for-you-online.com 127.0.0.1 domains2003.net 127.0.0.1 domkrat.com 127.0.0.1 dp-host.com 127.0.0.1 dragqueen.gay-clan.com 127.0.0.1 drug-sources-exposed.com 127.0.0.1 drvvv.com 127.0.0.1 dutch-sex.com 127.0.0.1 dvdbank.org 127.0.0.1 e-localad.com 127.0.0.1 e-plus.cc 127.0.0.1 e-websitesolutions.com 127.0.0.1 eases.net 127.0.0.1 easy-search.net 127.0.0.1 easycategories.com 127.0.0.1 ecosrioplatenses.org 127.0.0.1 ecstasyporn.net 127.0.0.1 eikokoike.com 127.0.0.1 epornsex.com 127.0.0.1 euuu.com 127.0.0.1 evidence-detector.biz 127.0.0.1 evilspidercomics.com 127.0.0.1 ewebsearch.net 127.0.0.1 findloss.com 127.0.0.1 excellentsckin.com 127.0.0.1 extremeseek.net 127.0.0.1 f*ckdenniss.com 127.0.0.1 f*cknicepics.com 127.0.0.1 faithstevens.com 127.0.0.1 fantasiewelten.com 127.0.0.1 farmsteadbandb.com 127.0.0.1 fartpost.com 127.0.0.1 fastwebfinder.com 127.0.0.1 faxporn.com 127.0.0.1 fickenisgeil.de 127.0.0.1 finance-loans.com 127.0.0.1 find-itnow.com 127.0.0.1 find-uk-health.co.uk 127.0.0.1 find4u.net 127.0.0.1 findit-now.com 127.0.0.1 findwhat.com 127.0.0.1 findthesite.com 127.0.0.1 findthewebsiteyouneed.com 127.0.0.1 fionasteel.com 127.0.0.1 firstbookmark.net 127.0.0.1 fitness-free.com 127.0.0.1 foodvacations.net 127.0.0.1 forex.jps.ru 127.0.0.1 forexcredit.com 127.0.0.1 forexcredit.ru 127.0.0.1 formingfusions.com 127.0.0.1 forsythfire.net 127.0.0.1 forthline.com 127.0.0.1 free-chipes.com 127.0.0.1 free-f*cking-video.com 127.0.0.1 free-hit.com 127.0.0.1 free-pics-and-movies.com 127.0.0.1 free-sex-movie-clips.net 127.0.0.1 free4porno.net 127.0.0.1 free64all.com 127.0.0.1 freebookmark.net 127.0.0.1 freebookmarks.net 127.0.0.1 freecategories.com 127.0.0.1 freecoolhost.com 127.0.0.1 freerbhost.com 127.0.0.1 freeshemalepics.net 127.0.0.1 freewebs.com 127.0.0.1 freeyaho.com 127.0.0.1 freshseek.com 127.0.0.1 freshteensite.com 127.0.0.1 gabrielscott.com 127.0.0.1 galpostgirls.com 127.0.0.1 gals-for-free.com 127.0.0.1 gambling-online4you.com 127.0.0.1 gameterror.net 127.0.0.1 gay50.com 127.0.0.1 generalsmeltingofcanada.com 127.0.0.1 geteens.com 127.0.0.1 getpicshere.com 127.0.0.1 gimmezamore.com 127.0.0.1 gimnasiaer.com 127.0.0.1 girls-porn-life.com 127.0.0.1 glbdf.org 127.0.0.1 global-finder.com 127.0.0.1 globe-finder.cc 127.0.0.1 globe-finder.com 127.0.0.1 gocybersearch.com 127.0.0.1 golftennis.net 127.0.0.1 good-mortgages-calculator.com 127.0.0.1 good-mortgages.net 127.0.0.1 goodsexs.com 127.0.0.1 googlebar.jps.ru 127.0.0.1 googlf.com 127.0.0.1 gradforum.org 127.0.0.1 gratis-porn-movie.com 127.0.0.1 gratis-pornopics.com 127.0.0.1 guzzycats.com 127.0.0.1 gzphoenix.com 127.0.0.1 hallnetaccolade.com 127.0.0.1 hand-book.com 127.0.0.1 happyanal.com 127.0.0.1 hard-gals.com 127.0.0.1 hardbodytgp.com 127.0.0.1 hardcoreover.com 127.0.0.1 hardloved.com 127.0.0.1 hardwareseek.net 127.0.0.1 harukaigawa.com 127.0.0.1 hccsolanonapa.org 127.0.0.1 health-protein.com 127.0.0.1 hentai4u.net 127.0.0.1 here4search.com 127.0.0.1 heyrichy.com 127.0.0.1 hi-search.com 127.0.0.1 hiddenguides.com 127.0.0.1 hitlistlyrics.com 127.0.0.1 holidayautostr.com 127.0.0.1 homemortage.ws 127.0.0.1 hostssp.com 127.0.0.1 hot-cartoon-sex.anime.american-teens.net 127.0.0.1 hotbookmark.com 127.0.0.1 hotels-list.net 127.0.0.1 hotelxxxcams.com 127.0.0.1 hotpopup.com 127.0.0.1 hotsearchbox.com 127.0.0.1 hotsex-series.com 127.0.0.1 hotstartpage.com 127.0.0.1 hqsex.biz 127.0.0.1 hugeporn4u.net 127.0.0.1 hunacsa.com 127.0.0.1 hupacasath.com 127.0.0.1 hzsx.com 127.0.0.1 icansearch.net 127.0.0.1 idgsearch.com 127.0.0.1 ie-search.com 127.0.0.1 incestporngate.com 127.0.0.1 infodigger.net 127.0.0.1 infoglobus.com 127.0.0.1 inherhole.com 127.0.0.1 insertthiscock.com 127.0.0.1 insurance-flood.net 127.0.0.1 insuranceall.net 127.0.0.1 internetsearch.ru 127.0.0.1 ionichost.com 127.0.0.1 ionomist.com 127.0.0.1 ipsex.net 127.0.0.1 itsanal.com 127.0.0.1 itseasy.us 127.0.0.1 iweb-commerce.com 127.0.0.1 iwebland.com 127.0.0.1 jeannineoldfield.com 127.0.0.1 jethomepage.com 127.0.0.1 jetseeker.com 127.0.0.1 jmhgallery.org 127.0.0.1 joannelatham.com 127.0.0.1 judin.ru 127.0.0.1 junkysex.com 127.0.0.1 karleyt.narod.ru 127.0.0.1 kathisomers.com 127.0.0.1 kazaa-lite.ws 127.0.0.1 keithgreenpro.com 127.0.0.1 kenmccaul.com 127.0.0.1 kilosex.com 127.0.0.1 kimhines.com 127.0.0.1 kinoru.com 127.0.0.1 ksdspups.org 127.0.0.1 landrape.com 127.0.0.1 lauraroebuck.com 127.0.0.1 leannalovelace.com 127.0.0.1 lesobank.ru 127.0.0.1 libertyonlinehosting.com 127.0.0.1 lingerie-mania.com 127.0.0.1 lisamatthew.com 127.0.0.1 liveholio.com 127.0.0.1 livenewspaper.com 127.0.0.1 louiseleeds.com 127.0.0.1 love-pix.com 127.0.0.1 lovelas.com 127.0.0.1 lovelysearch.com 127.0.0.1 low-taxes.com 127.0.0.1 luckysearch.net 127.0.0.1 lunitaweb.net 127.0.0.1 lustful-porno.com 127.0.0.1 mackinnonsbrook.org 127.0.0.1 madfinder.com 127.0.0.1 madisonmoons.com 127.0.0.1 madisonoilco.com 127.0.0.1 madonalive.com 127.0.0.1 majuozawa.com 127.0.0.1 makin-do.com 127.0.0.1 male4free.com 127.0.0.1 map-quest.org 127.0.0.1 marilynchamber.com 127.0.0.1 martfinder.com 127.0.0.1 massearch.com 127.0.0.1 matetrava.com 127.0.0.1 mature50.com 127.0.0.1 matureporngate.com 127.0.0.1 maxdzines.com 127.0.0.1 mcgeeforlabor.com 127.0.0.1 mdstunisie.org 127.0.0.1 medicare-insurance.net 127.0.0.1 medicare-supplemental.com 127.0.0.1 mega-dating-tips.com 127.0.0.1 megumikanzaki.com 127.0.0.1 meshalynn.com 127.0.0.1 meta-adult.com 127.0.0.1 meta-casino.com 127.0.0.1 meta-mobile.com 127.0.0.1 meta-porn.com 127.0.0.1 metafora.ru 127.0.0.1 metapoisk.ru 127.0.0.1 michiyonakajima.com 127.0.0.1 miconsultamedica.com 127.0.0.1 mikasakamoto.com 127.0.0.1 mikoni.com 127.0.0.1 militarygods.porn4porn.net 127.0.0.1 millennialpeople.org 127.0.0.1 mipham.org 127.0.0.1 missingcommand.com 127.0.0.1 mommykiss.com 127.0.0.1 moneyhunters.com 127.0.0.1 montgomeryhospitalanesthesia.com 127.0.0.1 morflot.com 127.0.0.1 mortgage-debt.net 127.0.0.1 mortismaximus.com 127.0.0.1 moscowwhores.com 127.0.0.1 moviecategories.com 127.0.0.1 mp3-pix.com 127.0.0.1 mrtg.jps.ru 127.0.0.1 msn-info.net 127.0.0.1 multipussy.com 127.0.0.1 mundopolar.com 127.0.0.1 mustv.com 127.0.0.1 mywebsearch.net 127.0.0.1 nativehardcore.com 127.0.0.1 naturalspy.com 127.0.0.1 nbasportsbook.net 127.0.0.1 needf*cknow.com 127.0.0.1 nellyslyrics.com 127.0.0.1 nepgyan.com 127.0.0.1 nesrecords.com 127.0.0.1 netshastra.net 127.0.0.1 nettime.ru 127.0.0.1 nettracker.jps.ru 127.0.0.1 netyellowpages.info 127.0.0.1 new-incest.com 127.0.0.1 newcategories.com 127.0.0.1 newcracks.com 127.0.0.1 newcracks.net 127.0.0.1 newlife-lajolla.com 127.0.0.1 newsexgate.com 127.0.0.1 newtonsracks.com 127.0.0.1 newxpics.com 127.0.0.1 nhlsportsbook.net 127.0.0.1 niagaracapital.com 127.0.0.1 niche-tv.com 127.0.0.1 nmrba.com 127.0.0.1 nocalories.net 127.0.0.1 nocensor.com 127.0.0.1 ormandcompany.com 127.0.0.1 nsbabes.com 127.0.0.1 nuclearwitness.org 127.0.0.1 nursemania.com 127.0.0.1 nvntour.com 127.0.0.1 nvphall.org 127.0.0.1 oborot.com 127.0.0.1 ocalalivestockmarket.com 127.0.0.1 ocsff.com 127.0.0.1 oeatlanta.com 127.0.0.1 oharrowsearch.com 127.0.0.1 ok-search.com 127.0.0.1 okulta.com 127.0.0.1 omegabrains.net 127.0.0.1 online-casino-1.net 127.0.0.1 online-casino-bonus.info 127.0.0.1 online-casinos-x.com 127.0.0.1 online-winning.net 127.0.0.1 onlineserverz.com 127.0.0.1 onlinetradings.net 127.0.0.1 onlycunt.com 127.0.0.1 onlyinsured.com 127.0.0.1 operanabuco.com 127.0.0.1 opsex.com 127.0.0.1 oregoncharters.org 127.0.0.1 otrlives.com 127.0.0.1 ozawamadoka.com 127.0.0.1 paigesummer.com 127.0.0.1 pamelacollections.com 127.0.0.1 panamcup.com 127.0.0.1 pantygirls4u.com 127.0.0.1 pantyhoserealm.com 127.0.0.1 pantyplace.com 127.0.0.1 pastubes.com 127.0.0.1 paulapage.com 127.0.0.1 paulhoover.com 127.0.0.1 payfortraffic.net 127.0.0.1 pedo.ws 127.0.0.1 people.1gb.ru 127.0.0.1 pervertbot.com 127.0.0.1 pharma-diet-pills.com 127.0.0.1 pharmacy2003.com 127.0.0.1 pharmalocator.com 127.0.0.1 phendimetrazine-tenuate-adipex.com 127.0.0.1 pics-videos.com 127.0.0.1 picsdir.com 127.0.0.1 picsforbucks.com 127.0.0.1 picsofseductiveladies.com 127.0.0.1 pills-birth-control.com 127.0.0.1 pillsmall.com 127.0.0.1 pilotronix.com 127.0.0.1 pixpox.com 127.0.0.1 planemusic.com 127.0.0.1 poiska.net 127.0.0.1 poker-casino-free.com 127.0.0.1 poker-games-free.net 127.0.0.1 polradiologia.com 127.0.0.1 pooi.net 127.0.0.1 porn-teacher.com 127.0.0.1 porncamz.com 127.0.0.1 pornfree.info 127.0.0.1 pornnightdreams.com 127.0.0.1 pornokopec.com 127.0.0.1 porntetris.com 127.0.0.1 porntwist.com 127.0.0.1 powerwebsearch.com 127.0.0.1 prblitz.com 127.0.0.1 pretypics.com 127.0.0.1 pribalt.com 127.0.0.1 privacy-support.biz 127.0.0.1 privateporn.net 127.0.0.1 prostactive.com 127.0.0.1 prostol.com 127.0.0.1 protect-yourself.biz 127.0.0.1 prsainlandempire.org 127.0.0.1 put-your-link-here.com 127.0.0.1 pyrocorp.com 127.0.0.1 quick-search.ws 127.0.0.1 quiksearchgenealogy.com 127.0.0.1 radfrall.org 127.0.0.1 ramgo.com 127.0.0.1 ranafrog.ne 127.0.0.1 rapegate.com 127.0.0.1 redbudbmx.com 127.0.0.1 refinance-help.com 127.0.0.1 removeearthkeepers.org 127.0.0.1 rightfinder.net 127.0.0.1 robbsproshop.com 127.0.0.1 robertferencz.com 127.0.0.1 rotocasters.com 127.0.0.1 royalsearch.net 127.0.0.1 runsearch.com 127.0.0.1 russiansponsor.com 127.0.0.1 russogay.com 127.0.0.1 s2.exocrew.com 127.0.0.1 sacitylife.com 127.0.0.1 samplegals.com 127.0.0.1 satisf*cktion.net 127.0.0.1 sbssurvivor.com 127.0.0.1 scarypix.com 127.0.0.1 sccdnet.com 127.0.0.1 schoolforest.com 127.0.0.1 search-1.net 127.0.0.1 search-2003.com 127.0.0.1 search-about.net 127.0.0.1 search-hawk.com 127.0.0.1 search-log.com 127.0.0.1 search-meta.com 127.0.0.1 search-safe.com 127.0.0.1 search.psn.cn 127.0.0.1 searchadultweb.com 127.0.0.1 searchbutler.com 127.0.0.1 searchbuttler.com 127.0.0.1 searchbutler.org 127.0.0.1 searchcomplete.com 127.0.0.1 searchdesire.com 127.0.0.1 searchdot.net 127.0.0.1 searchexpander.com 127.0.0.1 searchfastnet.com 127.0.0.1 searchforge.com 127.0.0.1 searching-the-net.com 127.0.0.1 searchmeta.md 127.0.0.1 searchmeta.net 127.0.0.1 searchmeta.ru 127.0.0.1 searchmeta.webhost.ru 127.0.0.1 searchnow.ws 127.0.0.1 searchonfly.com 127.0.0.1 searchv.com 127.0.0.1 searchxl.com 127.0.0.1 searchxp.com 127.0.0.1 sebot.com 127.0.0.1 securenp.org 127.0.0.1 security-warning.biz 127.0.0.1 seehardcore.com 127.0.0.1 seekwell.net 127.0.0.1 selfbookmark.com 127.0.0.1 selfbookmark.info 127.0.0.1 selfbookmark.net 127.0.0.1 sex.free4porno.net 127.0.0.1 sex-coach.com 127.0.0.1 sex-festival.com 127.0.0.1 sex-video-galleries.com 127.0.0.1 sexgalleries4all.com 127.0.0.1 sexmoviesnet.com 127.0.0.1 sexpatriot.net 127.0.0.1 sexy18.cc 127.0.0.1 sexycat.adult-host.org 127.0.0.1 sfbayfolkboats.com 127.0.0.1 sgirls.net 127.0.0.1 sharempeg.com 127.0.0.1 shopcards.net 127.0.0.1 shopknights.com 127.0.0.1 sic02.com 127.0.0.1 sintrader.com 127.0.0.1 site1.ru 127.0.0.1 sites-in-web.com 127.0.0.1 sitevictoria.com 127.0.0.1 sixroads.com 127.0.0.1 skakalka.ru 127.0.0.1 slawsearch.com 127.0.0.1 slotch.com 127.0.0.1 smartsumo.com 127.0.0.1 smutarchive.net 127.0.0.1 solongas.com 127.0.0.1 sonomaevents.com 127.0.0.1 spermatrix.com 127.0.0.1 sportbooks-free4you.com 127.0.0.1 spros.com 127.0.0.1 spyass.com 127.0.0.1 spyorgy.net 127.0.0.1 staceyowens.com 127.0.0.1 stacistaxx.com 127.0.0.1 stacystaxx.com 127.0.0.1 start-space.com 127.0.0.1 steamycock.com 127.0.0.1 sterva.com 127.0.0.1 stevecashdollar.com 127.0.0.1 stop-tracking.biz 127.0.0.1 stopvotefraud.com 127.0.0.1 stopxxxpics.com 127.0.0.1 strekoza.com 127.0.0.1 stuffstore.com 127.0.0.1 styleclickink.com 127.0.0.1 summercollins.com 127.0.0.1 summitcross.com 127.0.0.1 super-spider.com 127.0.0.1 super-websearch.com 127.0.0.1 supersexmachine.com 127.0.0.1 superwebsearch.com 127.0.0.1 supret.com 127.0.0.1 suzannebrecht.com 127.0.0.1 sweeteenz.com 127.0.0.1 tacil.org 127.0.0.1 tangounion.com 127.0.0.1 tastethemusic.com 127.0.0.1 tax-refund4you.com 127.0.0.1 tech-jobs.ws 127.0.0.1 technology-related.com 127.0.0.1 teen-biz.com 127.0.0.1 teen-pic-post.com 127.0.0.1 teenpornosex.com 127.0.0.1 teens4free.net 127.0.0.1 teensact.com 127.0.0.1 teensgate.com 127.0.0.1 teensguru.com 127.0.0.1 teenswamp.com 127.0.0.1 terra.es 127.0.0.1 testosterone-birth-control.com 127.0.0.1 the-exit.com 127.0.0.1 the-huns-yellow-pages.com 127.0.0.1 thefakejournal.com 127.0.0.1 thehuy.net 127.0.0.1 theproxy.org 127.0.0.1 therealsearch.com 127.0.0.1 thesten.com 127.0.0.1 thornleygroup.com 127.0.0.1 tings.org 127.0.0.1 tinybar.com 127.0.0.1 tit-x.com 127.0.0.1 titanvision.com 127.0.0.1 titsianna.com 127.0.0.1 toddhayes.com 127.0.0.1 toon-comics.com 127.0.0.1 tooncomics.com 127.0.0.1 topsearcher.com 127.0.0.1 trafficback.com 127.0.0.1 trafficswitcher.com 127.0.0.1 travel.picture-posters.com 127.0.0.1 true-counter.com 127.0.0.1 true-portal.com 127.0.0.1 trytechnical.com 127.0.0.1 ufindall.click-now.net 127.0.0.1 umaxsearch.com 127.0.0.1 une-autre-france.com 127.0.0.1 unigays.com 127.0.0.1 unipages.cc 127.0.0.1 up2you.ru 127.0.0.1 urlstat.com 127.0.0.1 urlstat.ru 127.0.0.1 uralitel.ru 127.0.0.1 ursie.net 127.0.0.1 utahsweet.com 127.0.0.1 utopicportal.com 127.0.0.1 uusocialjustice.org 127.0.0.1 v61.com 127.0.0.1 vaginpics.com 127.0.0.1 valmyers.com 127.0.0.1 vegas-free.com 127.0.0.1 vegbuy.com 127.0.0.1 veloventures.com 127.0.0.1 verzila.com 127.0.0.1 victoriaadam.com 127.0.0.1 videocategories.com 127.0.0.1 vitamins-for-each.com 127.0.0.1 votehowe.org 127.0.0.1 vxebony.com 127.0.0.1 wakeupdick.com 127.0.0.1 warnomore.org 127.0.0.1 watersport-specialties.com 127.0.0.1 web-homepage.net 127.0.0.1 web-search.tk 127.0.0.1 webcoolsearch.com 127.0.0.1 websearchdot.com 127.0.0.1 weekend-movies.com 127.0.0.1 wetpornostars.com 127.0.0.1 whatsyoursearch.com 127.0.0.1 white-pages.ws 127.0.0.1 whittierblvd.com 127.0.0.1 win-in-casino.com 127.0.0.1 wiresearch.com 127.0.0.1 wolfpacracing.com 127.0.0.1 wordlist.jps.ru 127.0.0.1 wpc2001.org 127.0.0.1 wspzone.sexpornonline.com 127.0.0.1 wwwbet.net 127.0.0.1 wwwbetting.net 127.0.0.1 wwwpokergames.com 127.0.0.1 wwwpokerplayers.com 127.0.0.1 wwwroulette.net 127.0.0.1 x-library.com 127.0.0.1 x-webdesign.com 127.0.0.1 xcomics4u.com 127.0.0.1 xic-bs.com 127.0.0.1 xldr.com 127.0.0.1 xp18.com 127.0.0.1 xrenosearch.com 127.0.0.1 xtragay.com 127.0.0.1 xu.xu.pl 127.0.0.1 xxxcategories.com 127.0.0.1 xxxemailxxx.com 127.0.0.1 y-e-l-l-o-w.com 127.0.0.1 yellow500.com 127.0.0.1 yezol.com 127.0.0.1 you-search.com 127.0.0.1 you-search.com.ru 127.0.0.1 youfindall.com 127.0.0.1 youfindall.net 127.0.0.1 your-prescriptions.net 127.0.0.1 yourbookmarks.info 127.0.0.1 yourbookmarks.ws 127.0.0.1 ypir.com 127.0.0.1 ysa-info.net 127.0.0.1 yukohamano.com 127.0.0.1 ywebsearch.info 127.0.0.1 zapros.com 127.0.0.1 zesearch.com 127.0.0.1 ziportal.com 127.0.0.1 zipportal.com 127.0.0.1 zoneoffreeporn.com 127.0.0.1 zoomegasite.com 127.0.0.1 zvimigdal.com 127.0.0.1 zyban-zocor-levitra.com 127.0.0.1 t.rack.cc 127.0.0.1 omega-search.com 127.0.0.1 cool-xxx.net 127.0.0.1 revolto3.da.ru 127.0.0.1 dating-search.net 127.0.0.1 linksummary.com 127.0.0.1 duolaimi.net 127.0.0.1 ez-searching.com 127.0.0.1 freehqmovies.com 127.0.0.1 xzoomy.com 127.0.0.1 freescratchandwin.com 127.0.0.1 fickenisgeil.de 127.0.0.1 globalwebsearch.com 127.0.0.1 www.gocybersearch.com 127.0.0.1 mayancasino.com 127.0.0.1 www.hastalavista.com 127.0.0.1 www.free-popup-killer.com 127.0.0.1 www.digitalfan.com 127.0.0.1 google123.web1000.com 127.0.0.1 search.ieplugin.com 127.0.0.1 i-lookup.com 127.0.0.1 spidersearch.com 127.0.0.1 istarthere.com 127.0.0.1 xxxtoolbar.com 127.0.0.1 www.seekporn.org 127.0.0.1 17-plus.com 127.0.0.1 lolita4all1.xrensmagpost.com 127.0.0.1 mafiapics.com 127.0.0.1 www.teenmonster.com 127.0.0.1 ie.marketdart.com 127.0.0.1 masterbar.com 127.0.0.1 search.netzany.co 127.0.0.1 only-virgins.com 127.0.0.1 passthison.com 127.0.0.1 blondetgp.com 127.0.0.1 prolivation.com 127.0.0.1 server-au.imrworldwide.com 127.0.0.1 roar.com 127.0.0.1 rocketsearch.com 127.0.0.1 searchaccurate.com 127.0.0.1 searchalot.com 127.0.0.1 searchandbrowse.com 127.0.0.1 gtawarehouse.com 127.0.0.1 startium.com 127.0.0.1 searchandclick.com 127.0.0.1 searchby.net 127.0.0.1 searchdot.com 127.0.0.1 search-exe.com 127.0.0.1 secret-crush.com 127.0.0.1 seekseek.com 127.0.0.1 sexarena.com 127.0.0.1 sexocean.play-lolita.com 127.0.0.1 startsurfing.com 127.0.0.1 66.197.138.235 127.0.0.1 srng.net 127.0.0.1 apps.webservicehost.com 127.0.0.1 search.shopnav.com 127.0.0.1 wish7.com 127.0.0.1 216.65.3.68 127.0.0.1 www.supersexpass.com 127.0.0.1 surferbar.com 127.0.0.1 xlola.underagehost.com 127.0.0.1 hotlolitas.underagehost.com 127.0.0.1 loading-lolita.com 127.0.0.1 www.xupiter.com 127.0.0.1 xjupiter.com 127.0.0.1 www.xjupiter.com 127.0.0.1 www.browserwise.com 127.0.0.1 sqwire.com 127.0.0.1 orbitexplorer.com 127.0.0.1 searchcentrix.com 127.0.0.1 categories.mygeek.com 127.0.0.1 web-entrance.co 127.0.0.1 whazit.com 127.0.0.1 windowenhancer.com 127.0.0.1 66.40.16.198 127.0.0.1 zoofil.com 127.0.0.1 terafinder.com 127.0.0.1 buz.ru 127.0.0.1 iwon.com 127.0.0.1 www.bonzi.com 127.0.0.1 featured-results.com 127.0.0.1 searchmadesafe.net 127.0.0.1 quicklaunch.com 127.0.0.1 www.cashsurfers.com 127.0.0.1 lop.com 127.0.0.1 tjdo.com 127.0.0.1 ebav.com 127.0.0.1 ebgo.com 127.0.0.1 ebaw.com 127.0.0.1 ebkb.com 127.0.0.1 ebmu.com 127.0.0.1 ecmp.com 127.0.0.1 edhq.com 127.0.0.1 edty.com 127.0.0.1 sbee.com 127.0.0.1 aavc.com 127.0.0.1 acjp.com 127.0.0.1 ecmh.com 127.0.0.1 emch.com 127.0.0.1 ecpm.com 127.0.0.1 wabu.com 127.0.0.1 wabq.com 127.0.0.1 ebch.com 127.0.0.1 ebdv.com 127.0.0.1 ebdw.com 127.0.0.1 ebjp.com 127.0.0.1 ebkn.com 127.0.0.1 ebky.com 127.0.0.1 eblv.com 127.0.0.1 wbkb.com 127.0.0.1 ebvr.com 127.0.0.1 ecwz.com 127.0.0.1 ecyb.com 127.0.0.1 eduy.com 127.0.0.1 eeev.com 127.0.0.1 farse.com 127.0.0.1 ibmx.com 127.0.0.1 icwb.com 127.0.0.1 icwo.com 127.0.0.1 icwp.com 127.0.0.1 iddh.com 127.0.0.1 idhh.com 127.0.0.1 ifiz.com 127.0.0.1 iguu.com 127.0.0.1 samz.com 127.0.0.1 saoe.com 127.0.0.1 sbjr.com 127.0.0.1 sbnl.com 127.0.0.1 sbnt.com 127.0.0.1 sbvr.com 127.0.0.1 scbm.com 127.0.0.1 sckr.com 127.0.0.1 scrk.com 127.0.0.1 sdry.com 127.0.0.1 seld.com 127.0.0.1 sfux.com 127.0.0.1 sheat.com 127.0.0.1 sipo.com 127.0.0.1 smds.com 127.0.0.1 srib.com 127.0.0.1 srox.com 127.0.0.1 srsf.com 127.0.0.1 ssaw.com 127.0.0.1 ssby.com 127.0.0.1 surj.com 127.0.0.1 tbvg.com 127.0.0.1 tdak.com 127.0.0.1 tdmy.com 127.0.0.1 tefs.com 127.0.0.1 tfil.com 127.0.0.1 H24413.tfil.com 127.0.0.1 tjar.com 127.0.0.1 tjaw.com 127.0.0.1 tjgo.com 127.0.0.1 tjem.com 127.0.0.1 torc.com 127.0.0.1 wfix.com 127.0.0.1 wflu.com 127.0.0.1 tdko.com 127.0.0.1 thko.com 127.0.0.1 germany.rub.to 127.0.0.1 search.rub.to 127.0.0.1 unitedstates.rub.to 127.0.0.1 www.commonname.com 127.0.0.1 www.ezcybersearch.com 127.0.0.1 www.jethomepage.com 127.0.0.1 www.gohip.com 127.0.0.1 hotbar.com 127.0.0.1 www.huntbar.com 127.0.0.1 search.imiserver.com 127.0.0.1 searchenhancement.com 127.0.0.1 newtonknows.com 127.0.0.1 search-explorer.net 127.0.0.1 searchsquire.com 127.0.0.1 secondpower.com 127.0.0.1 2ndpower.com 127.0.0.1 searchgateway.net 127.0.0.1 worldusa.com 127.0.0.1 www.topsearcher.com 127.0.0.1 smutserver.com 127.0.0.1 searchmeup.com 127.0.0.1 cameup.com 127.0.0.1 kliksearch.com 127.0.0.1 realphx.com 127.0.0.1 blazefind.com alvast bedankt :)
  • Dit log vertoont geen sporen meer van de infectie :wink: Je hebt dit log in veilige modus gemaakt, werkt HijackThis nu ook weer in normale modus? Zo ja, plaats dan ook eens een log in normale modus ter controle. Zijn er nog problemen met je PC? Je hosts bestand is prachtig, deze beschermt je tegen van allerlei slechte domeinen, ik heb geen entry kunnen vinden die je virusscanner het updaten kan beletten :wink: Staat deze regel er ook wel in:[quote:1468b0d07b]127.0.0.1 localhost[/quote:1468b0d07b]vr.gr.smeenk
  • Hijackthis werkt niet in de gewone windows, het programma start gewoon niet op. De pc heeft nog steeds precies hetzelfde als dat ik in mijn eerste post schreef. Dus iedere keer weer van die waarschuwingsschermen met dat er een virus op de pc staat.
  • Kenmerkend voor deze infectie is blijkbaar het niet kunnen vinden van de WINDOWS\System32 map, controleer eens of je deze map vinden kunt met je verkenner. Probeer het volgende eens: Open een kladblokbestand. Plaats onderstaande code in dit kladblokbestand. Sla het op als look.bat Bij Opslaan als type zorg je dat er staat alle bestanden. dubbelklik op look.bat en er zal een bestandje open: look.txt Post de inhoud. [code:1:0d4f8d32e5]regedit /e ok1.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run regedit /e ok2.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices regedit /e ok3.txt HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices regedit /e ok4.txt HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run regedit /e ok5.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce regedit /e ok6.txt HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce regedit /e ok7.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall copy ok1.txt+ok2.txt+ok3.txt+ok4.txt+ok5.txt+ok6.txt+ok7.txt = look.txt del ok1.txt del ok2.txt del ok3.txt del ok4.txt del ok5.txt del ok6.txt del ok7.txt notepad look.txt[/code:1:0d4f8d32e5]Misschien levert dit iets op :roll:
  • Hier de inhoud van dat bestandje: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="RUNDLL32.EXE D:\\WINDOWS\\System32\\NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /install" "POINTER"="point32.exe" "IntelliType"="\"D:\\Program Files\\Microsoft Hardware\\Keyboard\\type32.exe\"" "LVCOMS"="D:\\Program Files\\Common Files\\Logitech\\QCDriver3\\LVCOMS.EXE" "LogitechGalleryRepair"="G:\\Programma's\\Logitech\\ImageStudio\\ISStart.exe" "SunJavaUpdateSched"="D:\\Program Files\\Java\\j2re1.4.2_01\\bin\\jusched.exe" "QuickTime Task"="\"D:\\Program Files\\QuickTime\\qttask.exe\" -atboottime" "NeroCheck"="D:\\WINDOWS\\system32\\NeroCheck.exe" "DAEMON Tools-1033"="\"D:\\Program Files\\D-Tools\\daemon.exe\" -lang 1033" "SmcService"="D:\\PROGRA~1\\Sygate\\SPF\\smc.exe -startgui" "nod32kui"="\"D:\\Program Files\\Eset\\nod32kui.exe\" /WAITSERVICE" "Windows Workstation Service (32-bits)"="wkssvc32.exe" "DU Meter"="D:\\Program Files\\DU Meter\\DUMeter.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "Windows Workstation Service (32-bits)"="wkssvc32.exe" Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="D:\\WINDOWS\\System32\\ctfmon.exe" "WebCamRT.exe"="" "LDM"="\\Program\\BackWeb-8876480.exe" "Windows Workstation Service (32-bits)"="wkssvc32.exe" Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce] overigens stond de code 127.0.0.1 localhost niet in dat bestandje hosts zoals jij zei, ik weet niet of die er tussen moet worden gezet?
  • [quote:4159d9f094="R-bin"] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Workstation Service (32-bits)"="wkssvc32.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "Windows Workstation Service (32-bits)"="wkssvc32.exe" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Workstation Service (32-bits)"="wkssvc32.exe"[/quote:4159d9f094]Zoals je ziet staan ze gewoon nog in het register, ik weet niet of je ze met HijackThis ook nog kunt zien staan. Als je erg vertrouwd bent met het werken in het register zou je ze daar zelf ook weer kunnen proberen te verwijderen. Maar ik weet niet of ze later weer terug komen ik zag deze: [b:4159d9f094][HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LDM"="\\Program\\BackWeb-8876480.exe"[/b:4159d9f094] deze is ook gerelateerd aan spyware [quote:4159d9f094]overigens stond de code 127.0.0.1 localhost niet in dat bestandje hosts zoals jij zei, ik weet niet of die er tussen moet worden gezet?[/quote:4159d9f094]Deze behoort bovenaan te staan, en zorgt er voor dat die andere domeinen geblockt worden, als je met een netwerk werkt moet het misschien anders, mogelijk dat M@rc of steggel daarover even aanvullingen kunnen geven.
  • Download [url=http://www.downloads.subratam.org/KillBox.zip]Pocket KillBox[/url]. Unzip het programma naar je bureaublad. Klik op killbox.exe. Kies de optie: "Delete on reboot". [b:5a98e49cc8]Kopieer[/b:5a98e49cc8] het volgende vetgedrukte: [b:5a98e49cc8]C:\a.bat C:\b.bat C:\system.exe C:\system.sys C:\system.ini C:\WINDOWS\System32\wkssvc32.exe[/b:5a98e49cc8] Klik op [b:5a98e49cc8]'File'[/b:5a98e49cc8] in het killboxmenu en kies: [b:5a98e49cc8]Paste from clipboard[/b:5a98e49cc8] Daarna klik je op de rode knop met het wit kruisje erin. Killbox zal je vertellen dat die bestanden zullen verwijderd worden bij een volgende reboot.. Klik [b:5a98e49cc8]YES[/b:5a98e49cc8] Killbox zal vragen of je nu wilt rebooten, klik [b:5a98e49cc8]YES[/b:5a98e49cc8] Als je volgende boodschap krijgt: "PendingFileRenameOperations Registry Data has been Removed by External Process!" , dan zal je zelf de PC moeten herstarten. Hiermee is de eerste stap uitgevoerd. Je kan de System32 directory weer zien. Verwijder nu eerst de directory C:\Windows\System32\Software (inclusief alle bestanden die erin staan. Controleer of er nog een pif-bestand bestaat in de hoofd-directory van C:\ Verwijder deze ook. Start Internet Explorer en download [b:5a98e49cc8]The hoster[/b:5a98e49cc8] van het volgende adres: [url]http://www.funkytoad.com/download/hoster.zip[/url] Unzip het programma, run het, klik op "Restore Original Hosts", klik op "OK" en sluit het programma af. Start Hijackthis op en kies voor 'Do a system scan only' Selecteer alleen de items die hieronder zijn genoemd: [b:5a98e49cc8] O4 - HKLM\..\Run: [Windows Workstation Service (32-bits)] wkssvc32.exe O4 - HKLM\..\Run: [eMakeSV] D:\WINDOWS\System32\emakesv.exe O4 - HKLM\..\RunServices: [Windows Workstation Service (32-bits)] wkssvc32.exe [/b:5a98e49cc8] Sluit alle vensters behalve Hijackthis Klik op 'Fix checked' om de items te verwijderen Herstart hijackthis en klik op "Do a system scan and save a logfile" Post dit log. Sjaak
  • Is dit nu allemaal goed? Logfile of HijackThis v1.99.1 Scan saved at 22:53:05, on 5-6-2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\Explorer.EXE D:\Program Files\D-Tools\daemon.exe D:\Program Files\Common Files\Symantec Shared\ccApp.exe D:\Program Files\iTunes\iTunesHelper.exe D:\Program Files\ATI Technologies\ATI.ACE\cli.exe D:\Program Files\IE New Window Maximizer\iemaximizer.exe D:\Program Files\MSN Messenger\MsnMsgr.Exe D:\WINDOWS\system32\ctfmon.exe D:\Program Files\ATI Technologies\ATI.ACE\CLI.exe D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe D:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE D:\Program Files\Norton AntiVirus\navapsvc.exe D:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe D:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe D:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe D:\Program Files\iPod\bin\iPodService.exe D:\Program Files\Messenger\msmsgs.exe D:\Documents and Settings\Jochem\Mijn documenten\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [ATICCC] "D:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKCU\..\Run: [IE New Window Maximizer] D:\Program Files\IE New Window Maximizer\iemaximizer.exe O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = D:\Program Files\ATI Technologies\ATI.ACE\CLI.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O23 - Service: Adobe LM Service - Unknown owner - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\Program Files\iPod\bin\iPodService.exe O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - D:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: SAVScan - Symantec Corporation - D:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
  • Hallo jbeemen, in je log zijn geen problemen meer te vinden, maar dit wil niet zeggen dat er helemaal geen problemen meer zijn omdat dit virus dat ook jouw PC heeft getroffen zeer veel wijzigingen in het register heeft aangebracht. steggel en M@rc hebben inmiddels veel van deze wijzigingen in kaart gebracht en er reparatiemethodes voor ontwikkeld. Daarom is het denk ik belangrijk om aan te geven welke handelingen je allemaal hebt uitgevoerd, ik neem aan dat je de aanwijzingen van steggel in dit topic hebt uitgevoerd. Onderstaande aanwijzingen kan je dan ook nog even doen: Ga naar start – uitvoeren en tik in: [code:1:ad92ecfe1f] sc delete "GencTurK RootKit Driver" [/code:1:ad92ecfe1f] Klik op OK Darna geef je het volgende commando in: [code:1:ad92ecfe1f]sc delete "GencTurK RootKit"[/code:1:ad92ecfe1f] Klik op OK Open een klablokbestand. Kopieer onderstaande code in dit kladblokbestand. Ga naar Bestand - Opslaan als. Bij "Opslaan in" kies je: Bureaublad Bij "Bestandsnaam" zet je: fix.reg Bij "Opslaan als type" selecteer je: Alle bestanden (*.*). Klik op de knop Opslaan. [code:1:ad92ecfe1f]REGEDIT4 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GencTurK RootKit Driver] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GencTurK RootKit] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Safeboot\Minimal\GencTurK RootKit] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Safeboot\Network\GencTurK RootKit] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GencTurk RootKit] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GencTurk RootKit Driver] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Safeboot\Minimal\GencTurK RootKit] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Safeboot\Network\GencTurK RootKit] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\GencTurk RootKit] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\GencTurk RootKit Driver] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Safeboot\Minimal\GencTurK RootKit] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Safeboot\Network\GencTurK RootKit] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\GencTurk RootKit] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\GencTurk RootKit Driver] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Workstation Service (32-bits)"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "Windows Workstation Service (32-bits)"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Windows Workstation Service (32-bits)"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Start"=dword:00000002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc] "Start"=dword:00000003 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDTC] "Start"=dword:00000003 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Start"=dword:00000002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv] "Start"=dword:00000002 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole] "EnableDCOM"="Y" "EnableRemoteConnect"="Y" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "restrictanonymous"=dword:00000000 [HKEY_CURRENT_USER\Software\Kazaa\LocalContent] "Dir0"=- [/code:1:ad92ecfe1f] Dubbelklik op de fix.reg file en laat de wijzigingen aan het register toevoegen. Herstart de computer . vr.gr.smeenk :wink:
  • Samen met M@rc ben ik het afgelopen weekend bezig geweest om te analiseren welke impact deze trojan had op de PC. Dit ging met -tig mailtjes heen en weer. Uiteindelijk heeft M@rc enkele bestanden in elkaar gezet en in een zip-file geplaatst. Download het bestand [url=http://users.pandora.be/marcvn/tools/gencturkfix.zip]GencTurk.zip[/url] Pak het uit op je op het bureaublad. Er wordt een folder [b:2b5f19eddd]gencturkfix[/b:2b5f19eddd] aangemaakt. Dubbelklik op deze folder en klik op [b:2b5f19eddd]removeserv.bat[/b:2b5f19eddd] Dit verwijdert de opstartsleutels en de ongewenste services uit het register en het past een aantal instellingen aan die door de infectie veroorzaakt zijn. Er verschijnt even een dosscherm. Wanneer dit sluit herstart je de computer. Na de computer opnieuw gestart te hebben, dubbelklik je op [b:2b5f19eddd]delfiles.bat[/b:2b5f19eddd]. Hierdoor worden de bestanden van de trojan verwijderd. Nu heb je nog de mogelijkheid om de start-status van enkele services aab te passen. Dit kan door op het bijbehorende reg-bestand te klikken en de wijzigingen aan het register toe te laten voegen. [b:2b5f19eddd]update.reg[/b:2b5f19eddd]: Schakelt de Automatische updates service weer in. [b:2b5f19eddd]security_center.reg[/b:2b5f19eddd]: Schakelt het Security Center weer in. Alleen voor SP2 [b:2b5f19eddd]msdtc.reg[/b:2b5f19eddd]: zet de service Distributed Transaction Coördinator op handmatig. [b:2b5f19eddd]indexing_service.reg[/b:2b5f19eddd]: zet de Indexing Service op handmatig. [b:2b5f19eddd]wf_ics.reg[/b:2b5f19eddd]: zet de service Windows Firewall (WF) / Internet-verbinding delen (ICS) weer op ingeschakeld. [b:2b5f19eddd]netwerk_shares.reg[/b:2b5f19eddd]: herstelt netwerkshares voor als je via een netwerk de bestanden deelt. Om deze services werkelijk te activeren zul je de PC nogmaals moeten herstarten. Sjaak & M@rc
  • Hee mijn topic wordt gekaapt! :P (geen probleem hoor) Maar werkt die oplossing nou ook voor mij? Ik zal binnekort weer verder gaan met het probleem maar ik moest even snel een oplossing hebben dus heb er een andere hdd in gedaan.
  • [quote:19b41a2adf="R-bin"] Maar werkt die oplossing nou ook voor mij?[/quote:19b41a2adf] De fix die Steggel post, moet voor jou ook werken. die van Smeenk trouwens ook.. je moet wel de servicenaam bij de commando's tussen quotes ("") plaatsen dan: sc delete "gencturk rootkit" sc delete "gencturk rootkit driver"
  • [quote:a16ea7de26="M@rc"]je moet wel de servicenaam bij de commando's tussen quotes ("") plaatsen dan: sc delete "gencturk rootkit" sc delete "gencturk rootkit driver"[/quote:a16ea7de26]Ik heb het maar even in die post aangepast :wink:

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.