Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

www.azfanpage.nl wordt geredirect op mijn pc

trucklily
8 antwoorden
  • Hoi allemaal,

    Sinds een paar dagen kan ik niet meer op de site www.azfanpage.nl. Direct wordt ik doorgezet naar een pornosite :evil: Heb Hitman Pro al over mijn pc laten gaan maar het blijft. Heb het register doorzocht, niks gevonden. Wie o wie kan mij de goede kant opsturen????
  • Scannen met HijackThis en de log hier posten :)
  • Logfile of HijackThis v1.99.1
    Scan saved at 18:16:57, on 06/30/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sygate\SPF\smc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\wdfmgr.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\vsnpstd.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\vsnpstd.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\eDonkey2000\edonkey2000.exe
    C:\DOCUME~1\LILIAN~1\LOCALS~1\Temp\MSW4D.tmp
    C:\WINDOWS\regedit.exe
    C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
    E:\Software\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telegraaf.nl/astrolink/daghoroscoop/maagd.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: IE SP2 AddOn - {089FE5E2-E213-463E-A160-249EB14F637D} - C:\WINDOWS\System32\spjqn.dll (file missing)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: ActiveX Control - {FCE9F6F0-6638-4F64-82AF-CFCEB96C09A3} - C:\WINDOWS\System32\mskkv.dll (file missing)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Translate Page into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O15 - Trusted Zone: http://www.azfanpage.nl
    O16 - DPF: {82F2D6B2-6C58-4404-A930-9DB0FD90D4B1} (Driver_Detective_v43_Non_Member.DD_v43) - http://www.drivershq.com/cab/prod/Driver_Detective_v43_Non_Member.CAB
    O16 - DPF: {B0A2C7FC-8666-44D6-A990-2FCE3B933341} (ING Bank Autorisatiescherm) - https://secure.ingbank.nl/download/DigiSign.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{12399313-A578-41FB-ABB4-892E2E015126}: NameServer = 69.50.176.156,195.225.176.31
    O17 - HKLM\System\CCS\Services\Tcpip\..\{30EC5DE0-C87C-40BE-9D2A-8408E40F5DAD}: NameServer = 69.50.176.156,195.225.176.31
    O17 - HKLM\System\CCS\Services\Tcpip\..\{649E5640-A27A-47E3-BBB9-9747F039EF02}: NameServer = 69.50.176.156,195.225.176.31
    O17 - HKLM\System\CS1\Services\Tcpip\..\{12399313-A578-41FB-ABB4-892E2E015126}: NameServer = 69.50.176.156,195.225.176.31
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
  • Download en installeer CCleaner.
    Klik bovenaan op de knop "Opties". Kies links in het scherm voor "Gevorderden". Haal het vinkje weg bij "Verwijder alleen tijdelijke bestanden in de windows systeemmap die ouder zijn dan 48 uur". Sluit CCleaner.
    Gebruik het programma nog niet.

    Scan dit bestand eens met http://virusscan.jotti.org
    [b:195cfaf180]C:\WINDOWS\vsnpstd.exe[/b:195cfaf180]

    Start de computer in veilige modus. Hoe start ik de computer in veilige modus.

    Start Hijackthis en plaats een vinkje voor de volgende items:
    [b:195cfaf180]O2 - BHO: IE SP2 AddOn - {089FE5E2-E213-463E-A160-249EB14F637D} - C:\WINDOWS\System32\spjqn.dll (file missing)
    O2 - BHO: ActiveX Control - {FCE9F6F0-6638-4F64-82AF-CFCEB96C09A3} - C:\WINDOWS\System32\mskkv.dll (file missing)
    O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe[/b:195cfaf180](indien dit een geïnfecteerd bestand is)

    Sluit alle geopende vensters(behalve HijackThis) en klik op de knop "Fix checked"

    Verwijder het volgende bestand:
    [b:195cfaf180]C:\WINDOWS\vsnpstd.exe[/b:195cfaf180](indien dit een geïnfecteerd bestand is)

    [b:195cfaf180]Het gebruik van Ccleaner:[/b:195cfaf180]
    Crap cleaner verwijderd voornamelijk tijdelijke bestanden van je systeem, wanneer de hoeveelheid tijdelijke bestanden op je PC te groot wordt, kan dit problemen geven. Het is dus een goede zaak om af en toe je systeem eens op te schonen.

    Ccleaner verwijderd ook cookies. Cookies zijn meestal gewoon nutteloos,
    soms zelfs kwaadaardig, maar er zijn er ook enkele die nodig zijn voor het inloggen op bepaalde websites.
    Ccleaner biedt je de mogelijkheid om in te stellen welke cookies je behouden wilt.
    Kijk hiervoor bij "Opties"en dan Cookies, selecteer de cookies die je behouden wilt en plaats die in de "Te behouden cookies" ruimte.
    Klik daarna op de knop "Opschonen".

    Als de hoeveelheid tijdelijke bestanden, die Ccleaner verwijderd heeft, erg groot is zou je het beste je schijf ook even kunnen defragmenteren.

    Herstel daarna je webinstellingen: Ga naar Configuratiescherm –> Internetopties –> tabblad Programma's.
    Klik op de "Webinstellingen herstellen".


    vr.gr.smeenk :wink:
  • @smeenk: wat denk je van die nameservers? De tweede is een of andere vage russische host http://www.netcathost.com/ op een amerikaanse server (traceroute gedaan).

    O17 - HKLM\System\CCS\Services\Tcpip\..\{12399313-A578-41FB-ABB4-892E2E015126}: NameServer = 69.50.176.156,195.225.176.31
  • Goed werk gerben :wink: Dat is inderdaad zeer verdacht :roll:

    Ik vond dit: http://www.sarc.com/avcenter/venc/data/trojan.flush.d.html (waarschijnlijk de veroorzaker van dit ongemak :-?

    @trucklily: Deze regels ook fixen bij het uitvoeren van de stappen uit mijn eerste post.
    [b:743d551174]O17 - HKLM\System\CCS\Services\Tcpip\..\{12399313-A578-41FB-ABB4-892E2E015126}: NameServer = 69.50.176.156,195.225.176.31
    O17 - HKLM\System\CCS\Services\Tcpip\..\{30EC5DE0-C87C-40BE-9D2A-8408E40F5DAD}: NameServer = 69.50.176.156,195.225.176.31
    O17 - HKLM\System\CCS\Services\Tcpip\..\{649E5640-A27A-47E3-BBB9-9747F039EF02}: NameServer = 69.50.176.156,195.225.176.31
    O17 - HKLM\System\CS1\Services\Tcpip\..\{12399313-A578-41FB-ABB4-892E2E015126}: NameServer = 69.50.176.156,195.225.176.31 [/b:743d551174]

    vr.gr.smeenk :wink:
  • Ik had die nameservers al weggehaald, maar het probleem bleef.

    Heb toen wat in het register veranderd bij redirects van IE (vraag me niet welke :oops: )en de 69.50.*.* beperkt in IE. Nu kan ik weer naar mijn pagina

    Thanks guys!
  • [quote:3cb3cfb48c="trucklily"]Thanks guys![/quote:3cb3cfb48c]Graag gedaan :)

    Ook hier naar gekeken?(even wat geknipt uit de link van Symantec)[quote:3cb3cfb48c]# Windows XP

    1. Click Start, and then click Search.
    2. Click All files and folders.
    3. In the "All or part of the file name" box, type:

    rasphone.pbk

    4. Verify that "Look in" is set to "Local Hard Drives" or to (C:).
    5. Click "More advanced options."
    6. Check "Search system folders."
    7. Check "Search subfolders."
    8. Click Search.
    9. Click Find Now or Search Now.
    10. If you find rasphone.pbk file, right-click the file, and then click "Open With."
    11. Deselect the "Always use this program to open this program" check box.
    12. Scroll through the list of programs and double-click Notepad.
    13. When the file opens, delete the entries below:

    IpDnsAddress = 69.50.176.156
    IpDns2Address = 195.225.176.31
    IpNameAssign = 2

    14. Close Notepad and save your changes when prompted.[/quote:3cb3cfb48c]Was het bestand [b:3cb3cfb48c]C:\WINDOWS\vsnpstd.exe [/b:3cb3cfb48c] geïnfecteerd?

    Verder geen problemen meer?

    vr.gr.smeenk

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.