Vraag & Antwoord

Beveiliging & privacy

www.azfanpage.nl wordt geredirect op mijn pc

8 antwoorden
  • Hoi allemaal, Sinds een paar dagen kan ik niet meer op de site www.azfanpage.nl. Direct wordt ik doorgezet naar een pornosite :evil: Heb Hitman Pro al over mijn pc laten gaan maar het blijft. Heb het register doorzocht, niks gevonden. Wie o wie kan mij de goede kant opsturen????
  • Scannen met [url=http://www.spywareinfo.com/~merijn/files/HijackThis.exe]HijackThis[/url] en de log hier posten :)
  • Logfile of HijackThis v1.99.1 Scan saved at 18:16:57, on 06/30/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Sygate\SPF\smc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\Explorer.EXE C:\Program Files\MessengerPlus! 3\MsgPlus.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\vsnpstd.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\Explorer.EXE C:\Program Files\MessengerPlus! 3\MsgPlus.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\vsnpstd.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\eDonkey2000\edonkey2000.exe C:\DOCUME~1\LILIAN~1\LOCALS~1\Temp\MSW4D.tmp C:\WINDOWS\regedit.exe C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE E:\Software\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telegraaf.nl/astrolink/daghoroscoop/maagd.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: IE SP2 AddOn - {089FE5E2-E213-463E-A160-249EB14F637D} - C:\WINDOWS\System32\spjqn.dll (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: ActiveX Control - {FCE9F6F0-6638-4F64-82AF-CFCEB96C09A3} - C:\WINDOWS\System32\mskkv.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O15 - Trusted Zone: http://www.azfanpage.nl O16 - DPF: {82F2D6B2-6C58-4404-A930-9DB0FD90D4B1} (Driver_Detective_v43_Non_Member.DD_v43) - http://www.drivershq.com/cab/prod/Driver_Detective_v43_Non_Member.CAB O16 - DPF: {B0A2C7FC-8666-44D6-A990-2FCE3B933341} (ING Bank Autorisatiescherm) - https://secure.ingbank.nl/download/DigiSign.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{12399313-A578-41FB-ABB4-892E2E015126}: NameServer = 69.50.176.156,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{30EC5DE0-C87C-40BE-9D2A-8408E40F5DAD}: NameServer = 69.50.176.156,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{649E5640-A27A-47E3-BBB9-9747F039EF02}: NameServer = 69.50.176.156,195.225.176.31 O17 - HKLM\System\CS1\Services\Tcpip\..\{12399313-A578-41FB-ABB4-892E2E015126}: NameServer = 69.50.176.156,195.225.176.31 O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
  • Download en installeer [url=http://www.ccleaner.com/]CCleaner[/url]. Klik bovenaan op de knop "Opties". Kies links in het scherm voor "Gevorderden". Haal het vinkje weg bij "Verwijder alleen tijdelijke bestanden in de windows systeemmap die ouder zijn dan 48 uur". Sluit CCleaner. Gebruik het programma nog niet. Scan dit bestand eens met http://virusscan.jotti.org [b:195cfaf180]C:\WINDOWS\vsnpstd.exe[/b:195cfaf180] Start de computer in veilige modus. [url=http://users.telenet.be/marcvn/spyware/1378056.htm]Hoe start ik de computer in veilige modus[/url]. Start Hijackthis en plaats een vinkje voor de volgende items: [b:195cfaf180]O2 - BHO: IE SP2 AddOn - {089FE5E2-E213-463E-A160-249EB14F637D} - C:\WINDOWS\System32\spjqn.dll (file missing) O2 - BHO: ActiveX Control - {FCE9F6F0-6638-4F64-82AF-CFCEB96C09A3} - C:\WINDOWS\System32\mskkv.dll (file missing) O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe[/b:195cfaf180](indien dit een geïnfecteerd bestand is) Sluit alle geopende vensters(behalve HijackThis) en klik op de knop "Fix checked" Verwijder het volgende bestand: [b:195cfaf180]C:\WINDOWS\vsnpstd.exe[/b:195cfaf180](indien dit een geïnfecteerd bestand is) [b:195cfaf180]Het gebruik van Ccleaner:[/b:195cfaf180] Crap cleaner verwijderd voornamelijk tijdelijke bestanden van je systeem, wanneer de hoeveelheid tijdelijke bestanden op je PC te groot wordt, kan dit problemen geven. Het is dus een goede zaak om af en toe je systeem eens op te schonen. Ccleaner verwijderd ook cookies. Cookies zijn meestal gewoon nutteloos, soms zelfs kwaadaardig, maar er zijn er ook enkele die nodig zijn voor het inloggen op bepaalde websites. Ccleaner biedt je de mogelijkheid om in te stellen welke cookies je behouden wilt. Kijk hiervoor bij "Opties"en dan Cookies, selecteer de cookies die je behouden wilt en plaats die in de "Te behouden cookies" ruimte. Klik daarna op de knop "Opschonen". Als de hoeveelheid tijdelijke bestanden, die Ccleaner verwijderd heeft, erg groot is zou je het beste je schijf ook even kunnen defragmenteren. Herstel daarna je webinstellingen: Ga naar Configuratiescherm --> Internetopties --> tabblad Programma's. Klik op de "Webinstellingen herstellen". vr.gr.smeenk :wink:
  • @smeenk: wat denk je van die nameservers? De tweede is een of andere vage russische host http://www.netcathost.com/ op een amerikaanse server (traceroute gedaan). O17 - HKLM\System\CCS\Services\Tcpip\..\{12399313-A578-41FB-ABB4-892E2E015126}: NameServer = 69.50.176.156,195.225.176.31
  • Goed werk gerben :wink: Dat is inderdaad zeer verdacht :roll: Ik vond dit: http://www.sarc.com/avcenter/venc/data/trojan.flush.d.html (waarschijnlijk de veroorzaker van dit ongemak :-? @trucklily: Deze regels ook fixen bij het uitvoeren van de stappen uit mijn eerste post. [b:743d551174]O17 - HKLM\System\CCS\Services\Tcpip\..\{12399313-A578-41FB-ABB4-892E2E015126}: NameServer = 69.50.176.156,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{30EC5DE0-C87C-40BE-9D2A-8408E40F5DAD}: NameServer = 69.50.176.156,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{649E5640-A27A-47E3-BBB9-9747F039EF02}: NameServer = 69.50.176.156,195.225.176.31 O17 - HKLM\System\CS1\Services\Tcpip\..\{12399313-A578-41FB-ABB4-892E2E015126}: NameServer = 69.50.176.156,195.225.176.31 [/b:743d551174] vr.gr.smeenk :wink:
  • Ik had die nameservers al weggehaald, maar het probleem bleef. Heb toen wat in het register veranderd bij redirects van IE (vraag me niet welke :oops: )en de 69.50.*.* beperkt in IE. Nu kan ik weer naar mijn pagina Thanks guys!
  • [quote:3cb3cfb48c="trucklily"]Thanks guys![/quote:3cb3cfb48c]Graag gedaan :) Ook hier naar gekeken?(even wat geknipt uit de link van Symantec)[quote:3cb3cfb48c]# Windows XP 1. Click Start, and then click Search. 2. Click All files and folders. 3. In the "All or part of the file name" box, type: rasphone.pbk 4. Verify that "Look in" is set to "Local Hard Drives" or to (C:). 5. Click "More advanced options." 6. Check "Search system folders." 7. Check "Search subfolders." 8. Click Search. 9. Click Find Now or Search Now. 10. If you find rasphone.pbk file, right-click the file, and then click "Open With." 11. Deselect the "Always use this program to open this program" check box. 12. Scroll through the list of programs and double-click Notepad. 13. When the file opens, delete the entries below: IpDnsAddress = 69.50.176.156 IpDns2Address = 195.225.176.31 IpNameAssign = 2 14. Close Notepad and save your changes when prompted.[/quote:3cb3cfb48c]Was het bestand [b:3cb3cfb48c]C:\WINDOWS\vsnpstd.exe [/b:3cb3cfb48c] geïnfecteerd? Verder geen problemen meer? vr.gr.smeenk

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.