Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Niet te vinden virus?

Anoniem
None
20 antwoorden
  • Beste forummers,

    Gister kreeg ik te horen dat er waarschijnlijk een virus zat op 1 van de pc's bij ons hier in het netwerk. Dus ik ben gaan kijken en heb toen de trial versie van nod32 er op gezet omdat die pc al een aantal dagen niet meer een werkende virusscanner had. Na dit gedaan te hebben en een reboot kreeg ik meteen van AMON nod32 te horen dat er waarschijnlijk een trojan/irc file op de pc stond. Echter was dit er niet 1 maar heb ik volgens mij wel 100 van dit soort schermen weg moeten klikken! Het waren allemaal bestanden die in windows/system32/software stonden en het waren allemaal exe crack bestanden. Dus allerlei exe bestanden voor een hoop spellen en programma's.
    Daarna probeerde ik de virusscanner te laten lopen maar dat lukte niet, zodra het schermpje werd geopend van het scannen werd deze meteen weer gesloten.
    Ik kon ook de system32 map niet vinden en een online virusscan van trend micro gaf niets aan.
    Daarna nog geprobeerd om hijackthis te draaien maar deze werd ook meteen weer afgesloten…

    Hopelijk weten jullie een oplossing, ik weet het zo even niet meer.
  • Probeer eens een online virusscan:
    http://housecall.trendmicro.com/housecall/start_corp.asp
    http://www.bitdefender.com/scan/licence.php
  • HijackThis:
    Als het programma zonder enige melding meteen weer afsluit, kun je te maken hebben met een agressieve variant van CoolWebSearch. Download en run dan eerst de CoolWWWSearch.SmartKiller removal tool.

    Probeer eens een oudere versie van HijackThis: http://computercops.biz/zx/Merijn/hijackthis1982.zip

    Als HijackThis niet lukt:
    Download Silent Runners
    Unzip het naar een eigen map.
    Start SilentRunners.vbs
    Wanneer je antivirusprogramma een melding geeft, sta je toe om dit script uit te voeren.
    Er wordt een logje geplaatst in de map van waar je Silentrunners gestart hebt. Post de inhoud van dit logje.

    Het doet me wel een beetje aan de volgende infectie denken:
    http://forum.computertotaal.nl/phpBB/viewtopic.php?t=144273

    Ik heb vandaag geen tijd meer. Mogelijk dat anderen iets zien en anders wordt het later.
  • Bedankt voor de hulp tot nu toe.

    Een online virusscan had ik al geprobeerd maar als ik die van bitdefender probeer dan gebeurd er nix als ik op de knop I agree druk.
    CoolWWWSearch.SmartKiller had ik al geprobeerd maar deze kon niets vinden, die oudere versie van hijackthis werkt ook niet, zodra ik deze opstart wordt hij weer afgesloten.
    Dat Silent Runners werkt niet ik krijg "Kan script-engine VBScript voor script enz niet vinden"

    Ik zag volgens mij eerst in jou post iets staan over VBS smeenk, maar nu niet meer.
  • Probeer HijackThis ook eens te draaien in veilige modus.

    Dit was de opmerking die ik eerst geplaatst had, maar die leek me achteraf niet besteed aan een ervaren forummer zoals jij :wink:

    [quote:fd933dda30]Als het programma alleen een foutmelding geeft (a required .dll file, msvbvm60.dll was not found), en vervolgens afsluit, heb je de VB6 runtimes van Microsoft nodig. Download en installeer deze dan.[/quote:fd933dda30]vr.gr.smeenk
  • En toen dacht ik aan de veilige modus daarin heb ik wel hijack this kunnen draaien:

    Logfile of HijackThis v1.99.1
    Scan saved at 10:13:22, on 1-6-2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\Explorer.EXE
    D:\Documents and Settings\Astrid\Bureaublad\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programma's\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [POINTER] point32.exe
    O4 - HKLM\..\Run: [IntelliType] "D:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
    O4 - HKLM\..\Run: [LVCOMS] D:\Program Files\Common Files\Logitech\QCDriver3\LVCOMS.EXE
    O4 - HKLM\..\Run: [LogitechGalleryRepair] G:\Programma's\Logitech\ImageStudio\ISStart.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
    O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [Windows Workstation Service (32-bits)] wkssvc32.exe
    O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset
    od32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [eMakeSV] D:\WINDOWS\System32\emakesv.exe
    O4 - HKLM\..\RunServices: [Windows Workstation Service (32-bits)] wkssvc32.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE
    O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\j2re1.4.2_01\bin
    pjpi142_01.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\j2re1.4.2_01\bin
    pjpi142_01.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE
    O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball
    aptisoftgameloader.cab
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20030530/qtinstall.info.apple.com/bonnie/us/win/QuickTimeInstaller.exe
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {9AA73F41-EC64-489E-9A73-9CD52E528BC4} (ZoneAxRcMgr Class) - http://messenger.zone.msn.com/binary/ZAxRcMgr.cab
    O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylomgames.com/activex/zylomgamesplayer.cab
    O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
    O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
    O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/cab/14/en/SysWebTelecomInt.cab
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset
    od32krn.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32
    vsvc32.exe
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Program Files\Sygate\SPF\smc.exe

    Overigens kreeg ik in het begin van hijackthis een melding:
    An unexpected error has occured at procedure:
    ModRegistry_IniGetString(sFile=system.ini, sSection=boot, sValue=Shell)
    Error #53 - File not found





  • Download en installeer CCleaner.
    Gebruik het programma nog niet.

    Start de computer in veilige modus.

    Sluit alle open vensters, run HijackThis nog een keer en plaats een vinkje bij de volgende items:

    [b:d2924b90d0]R3 - Default URLSearchHook is missing
    O4 - HKLM\..\Run: [Windows Workstation Service (32-bits)] wkssvc32.exe
    O4 - HKLM\..\Run: [eMakeSV] D:\WINDOWS\System32\emakesv.exe
    O4 - HKLM\..\RunServices: [Windows Workstation Service (32-bits)] wkssvc32.exe
    O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball
    aptisoftgameloader.cab
    O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/cab/14/en/SysWebTelecomInt.cab[/b:d2924b90d0]

    Klik daarna op "Fix checked" en sluit HijackThis af.

    Zorg ervoor dat alle verborgen bestanden en mappen weergegeven worden. Hoe verborgen bestanden en mappen weergeven..

    Zoek de volgende bestanden met je verkenner en verwijder deze:
    [b:d2924b90d0]wkssvc32.exe
    D:\WINDOWS\System32\emakesv.exe[/b:d2924b90d0]

    [b:d2924b90d0]Het gebruik van Ccleaner:[/b:d2924b90d0]
    Ccleaner verwijderd ook cookies. Cookies zijn meestal gewoon nutteloos, soms zelfs kwaadaardig, maar er zijn er ook enkele die nodig zijn voor het inloggen op bepaalde websites.

    Ccleaner biedt je de mogelijkheid om in te stellen welke cookies je behouden wilt. Kijk hiervoor bij "Opties"en dan Cookies, selecteer de cookies die je behouden wilt en plaats die in de "Te behouden cookies" ruimte.
    Klik daarna op de knop "Opschonen".

    Herstart de computer in normale modus en plaats een nieuwe log van HijackThis.

    In een ander topic had ik de indruk dat deze malware ook wijzigingen aanbrengt in je hosts bestand en er voor zorgt dat virusscanners geen updates ophalen kunnen en onlinescans niet werken. Zoek daarom het bestand hosts(zonder extensie) eens op en open het met Notepad(Windows Kladblok) post de inhoud van het bestand hosts hier ook.

    vr.gr.smeenk :wink:
  • Okee ff wat dingen die me opvielen:
    - ik kon in de veilige modus niet typen, dus alsof het toetsenbord stuk was. ik heb via de schermtoetsenbord getypt.
    - de search van windows doet het niet, zodra ik deze open dan krijg ik het venstertje te zien met de hond er in maar het tekstballonetje is heel plat waardoor ik dus niets aanklikken. ook cltr+f in een browser venster werkt niet want de knop zoeken aangeklikt worden.

    ik heb wkssvc32.exe niet kunnen verwijderen want ik kon deze niet vinden met een extern zoekprogrammatje.

    hier de hijackthis log:
    Logfile of HijackThis v1.99.1
    Scan saved at 20:14:55, on 1-6-2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\Explorer.EXE
    D:\Documents and Settings\Astrid\Bureaublad\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programma's\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [POINTER] point32.exe
    O4 - HKLM\..\Run: [IntelliType] "D:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
    O4 - HKLM\..\Run: [LVCOMS] D:\Program Files\Common Files\Logitech\QCDriver3\LVCOMS.EXE
    O4 - HKLM\..\Run: [LogitechGalleryRepair] G:\Programma's\Logitech\ImageStudio\ISStart.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
    O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset
    od32kui.exe" /WAITSERVICE
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE
    O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\j2re1.4.2_01\bin
    pjpi142_01.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\j2re1.4.2_01\bin
    pjpi142_01.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20030530/qtinstall.info.apple.com/bonnie/us/win/QuickTimeInstaller.exe
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {9AA73F41-EC64-489E-9A73-9CD52E528BC4} (ZoneAxRcMgr Class) - http://messenger.zone.msn.com/binary/ZAxRcMgr.cab
    O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylomgames.com/activex/zylomgamesplayer.cab
    O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
    O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset
    od32krn.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32
    vsvc32.exe
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Program Files\Sygate\SPF\smc.exe

    en hier de inhoud van het hosts bestand: (nu ga je lachen)
    127.0.0.1 coolwwwsearch.com
    127.0.0.1 coolwebsearch.com
    127.0.0.1 hi.studioaperto.net
    127.0.0.1 www.webbrowser.tv
    127.0.0.1 www.wazzupnet.com
    127.0.0.1 gueb.com
    127.0.0.1 kabex.com
    127.0.0.1 www.hityou.com
    127.0.0.1 miosearch.com
    127.0.0.1 wazzupnet.com
    127.0.0.1 213.131.225.2
    127.0.0.1 www.blue-elefant.com
    127.0.0.1 babeweb.de
    127.0.0.1 start-seite.com
    127.0.0.1 sexolymp.com
    127.0.0.1 toriii.cc
    127.0.0.1 www.xtipp.de
    127.0.0.1 urawa.cool.ne.jp
    127.0.0.1 777search.com
    127.0.0.1 ace-webmaster.com
    127.0.0.1 aifind.info
    127.0.0.1 amateurliveshow.com
    127.0.0.1 anarchylolita.com
    127.0.0.1 anarchyporn.com
    127.0.0.1 approvedlinks.com
    127.0.0.1 cantfind.com
    127.0.0.1 castingsamateur.com
    127.0.0.1 cyberrape.com
    127.0.0.1 dialerclub.com
    127.0.0.1 exit.megago.com
    127.0.0.1 fastmetasearch.com
    127.0.0.1 findwhatevernow.com
    127.0.0.1 globesearch.com
    127.0.0.1 hotfreebies.com
    127.0.0.1 krankin.com
    127.0.0.1 live.sex-explorer.com
    127.0.0.1 loveadot.com
    127.0.0.1 megaseek.net
    127.0.0.1 mixsearch.com
    127.0.0.1 munky.com
    127.0.0.1 newtopsites.com
    127.0.0.1 noblindlinks.com
    127.0.0.1 r.babenet.com
    127.0.0.1 searchresult.net
    127.0.0.1 sexarena.org
    127.0.0.1 skeech.com
    127.0.0.1 smarter.com
    127.0.0.1 superwp.by.ru
    127.0.0.1 sureseeker.com
    127.0.0.1 wethere.com
    127.0.0.1 wowsearch.org
    127.0.0.1 www.xxx.com
    127.0.0.1 www.websearch.com
    127.0.0.1 partner23.firehunt.com
    127.0.0.1 screensaver.it
    127.0.0.1 xads.cliks.org
    127.0.0.1 xwebsearch.biz
    127.0.0.1 znext.com
    127.0.0.1 rawtocash.net
    127.0.0.1 7search.com
    127.0.0.1 zestyfind.com
    127.0.0.1 dev.ntcor.com
    127.0.0.1 search.xrenoder.com
    127.0.0.1 193.125.201.50
    127.0.0.1 www.allcybersearch.com
    127.0.0.1 www.tinybar.com
    127.0.0.1 topsite.us
    127.0.0.1 topsites.us
    127.0.0.1 topsitez.us
    127.0.0.1 out.true-counter.com
    127.0.0.1 www.cnetadd.com
    127.0.0.1 okmmm.com
    127.0.0.1 www.139mm.com
    127.0.0.1 008k.com
    127.0.0.1 00hq.com
    127.0.0.1 1-domains-registrations.com
    127.0.0.1 100sexlinks.com
    127.0.0.1 157.238.62.14
    127.0.0.1 1sexparty.com
    127.0.0.1 1stpagehere.com
    127.0.0.1 2020search.com
    127.0.0.1 209.66.114.130
    127.0.0.1 24teen.com
    127.0.0.1 36site.com
    127.0.0.1 4corn.net
    127.0.0.1 66.117.14.138
    127.0.0.1 66.197.100.83
    127.0.0.1 66.250.107.99
    127.0.0.1 66.250.107.100
    127.0.0.1 66.250.107.101
    127.0.0.1 66.250.130.194
    127.0.0.1 66.250.170.107
    127.0.0.1 66.250.57.26
    127.0.0.1 66.250.57.27
    127.0.0.1 66.250.57.28
    127.0.0.1 66.250.74.150
    127.0.0.1 777top.com
    127.0.0.1 8ad.com
    127.0.0.1 aboutclicker.com
    127.0.0.1 abrp.net
    127.0.0.1 accessthefuture.net
    127.0.0.1 acemedic.com
    127.0.0.1 actionbreastcancer.org
    127.0.0.1 activexupdate.com
    127.0.0.1 adamsupportgroup.org
    127.0.0.1 adasearch.com
    127.0.0.1 adipics.com
    127.0.0.1 adspics.com
    127.0.0.1 adult-engine-search.com
    127.0.0.1 adult-erotic-guide.net
    127.0.0.1 adult-friends-finder.net
    127.0.0.1 adulthyperlinks.com
    127.0.0.1 adulttds.com
    127.0.0.1 advert.exaccess.ru
    127.0.0.1 agentstudio.com
    127.0.0.1 africaspromise.org
    127.0.0.1 akril.com
    127.0.0.1 alcatel.ws
    127.0.0.1 alfa-search.com
    127.0.0.1 all-inet.com
    127.0.0.1 allabtcars.com
    127.0.0.1 allabtjeeps.com
    127.0.0.1 allcybersearch.com
    127.0.0.1 allhyperlinks.com
    127.0.0.1 allinternetbusiness.com
    127.0.0.1 almarvideos.com
    127.0.0.1 amandamountains.com
    127.0.0.1 amigeek.com
    127.0.0.1 amisbusiness.com
    127.0.0.1 analmovi.com
    127.0.0.1 anin.org
    127.0.0.1 annaromeo.com
    127.0.0.1 antrocity.com
    127.0.0.1 anything4health.com
    127.0.0.1 apsua.com
    127.0.0.1 aregay.com
    127.0.0.1 arheo.com
    127.0.0.1 arizonaweb.org
    127.0.0.1 armitageinn.com
    127.0.0.1 art-func.com
    127.0.0.1 art-xxx.com
    127.0.0.1 artachnid.com
    127.0.0.1 asiankingkong.com
    127.0.0.1 ass-gals.com
    127.0.0.1 athenrye.com
    127.0.0.1 avian-ads.com
    127.0.0.1 ayakawamura.com
    127.0.0.1 ayumitaniguchi.com
    127.0.0.1 bannedhost.net
    127.0.0.1 barbudafarms.com
    127.0.0.1 barnandfence.com
    127.0.0.1 batsearch.com
    127.0.0.1 baygraphicsllc.com
    127.0.0.1 bb-search.com
    127.0.0.1 bbbsearch.com
    127.0.0.1 bedhome.com
    127.0.0.1 bediadance.com
    127.0.0.1 bellabasketsfl.com
    127.0.0.1 bernaolatwin.com
    127.0.0.1 best-counter.com
    127.0.0.1 best-hardpics.com
    127.0.0.1 best-winning-casino.com
    127.0.0.1 bestcrawler.com
    127.0.0.1 bestfor.ru
    127.0.0.1 bestporngate.com
    127.0.0.1 bestxporno.com
    127.0.0.1 blackjack-free.net
    127.0.0.1 blender.xu.pl
    127.0.0.1 bodaciousbabette.com
    127.0.0.1 boobdoll.com
    127.0.0.1 boobsandtits.com
    127.0.0.1 boobsclub.com
    127.0.0.1 boredlife.com
    127.0.0.1 bowlofogumbo.com
    127.0.0.1 bradcoem.org
    127.0.0.1 brandiyoung.com
    127.0.0.1 brookeburn.com
    127.0.0.1 bucps.com
    127.0.0.1 burgerkingbigscreen.com
    127.0.0.1 buscards.net
    127.0.0.1 bustyrussell.com
    127.0.0.1 buttejazz.org
    127.0.0.1 buyselldomain.net
    127.0.0.1 calcioturris.com
    127.0.0.1 canberracricketcoaching.com
    127.0.0.1 candycantaloupes.com
    127.0.0.1 careers.dulcineasystems.net
    127.0.0.1 carsands.com
    127.0.0.1 carsrentals.net
    127.0.0.1 casino-gambling-1.net
    127.0.0.1 casino-gambling-2.net
    127.0.0.1 casino-onlines.net
    127.0.0.1 casino.com.free.game.pogo.gratisdownloads.nl
    127.0.0.1 casino2win.net
    127.0.0.1 casinomidas.net
    127.0.0.1 casinonline.net
    127.0.0.1 catallogue.com
    127.0.0.1 catsss.da.ru
    127.0.0.1 caxa.ru
    127.0.0.1 cclebali.org
    127.0.0.1 ceewawires.org
    127.0.0.1 certumgroup.com
    127.0.0.1 chelancatering.com
    127.0.0.1 childrenvilla.com
    127.0.0.1 chips-4-free.com
    127.0.0.1 chrisswasey.com
    127.0.0.1 chriswallace.net
    127.0.0.1 ckick4thumbs.com
    127.0.0.1 clackamasliteraryreview.com
    127.0.0.1 clearsearch.cc
    127.0.0.1 clearsearch.net
    127.0.0.1 clickaire.com
    127.0.0.1 clickyestoenter.net
    127.0.0.1 clrsch.com
    127.0.0.1 cmtapestry.com
    127.0.0.1 cool-homepage.co
    127.0.0.1 cool-homepage.com
    127.0.0.1 cool-search.net
    127.0.0.1 cool-search.netfartpost.com
    127.0.0.1 cool-web-search.com
    127.0.0.1 coolfetishsite.com
    127.0.0.1 coolfreehost.com
    127.0.0.1 coolfreepage.com
    127.0.0.1 coolfreepages.com
    127.0.0.1 coolmoneysearch.com
    127.0.0.1 coolpornsearch.com
    127.0.0.1 coolsearcher.info
    127.0.0.1 coolwebsearch.
    127.0.0.1 coolwebsearsh.com
    127.0.0.1 coolwwwsearch.
    127.0.0.1 copmtraine.com
    127.0.0.1 couldnotfind.com
    127.0.0.1 count-all.com
    127.0.0.1 cracks.me.uk
    127.0.0.1 creamedcutties.com
    127.0.0.1 creditsearchonline.com
    127.0.0.1 crestring.com
    127.0.0.1 crooder.com
    127.0.0.1 curvedspaces.com
    127.0.0.1 cvs.jps.ru
    127.0.0.1 cvsymphony.com
    127.0.0.1 cydom.com
    127.0.0.1 daily-gals.com
    127.0.0.1 dancingbabycd.com
    127.0.0.1 datanotary.com
    127.0.0.1 datareco.com
    127.0.0.1 davemarshall.org
    127.0.0.1 dcfitusa.com
    127.0.0.1 defaultsearch.net
    127.0.0.1 desarrollocreativo.com
    127.0.0.1 develip.com
    127.0.0.1 dewis.spb.ru
    127.0.0.1 dewis.us
    127.0.0.1 df809jow4wj2304lfd0sf9fsd0a2t4ldf809jow4wj2304lfd0sf9fsd0a2t4ld.biz
    127.0.0.1 dietpills4free.com
    127.0.0.1 dietpussy.com
    127.0.0.1 digistreamsa.com
    127.0.0.1 dionforvalleycouncil.org
    127.0.0.1 doctorwaldron.com
    127.0.0.1 document-not-found.pornpic.org
    127.0.0.1 doggyaction.com
    127.0.0.1 domain-your-registration.com
    127.0.0.1 domains-for-you-online.com
    127.0.0.1 domains2003.net
    127.0.0.1 domkrat.com
    127.0.0.1 dp-host.com
    127.0.0.1 dragqueen.gay-clan.com
    127.0.0.1 drug-sources-exposed.com
    127.0.0.1 drvvv.com
    127.0.0.1 dutch-sex.com
    127.0.0.1 dvdbank.org
    127.0.0.1 e-localad.com
    127.0.0.1 e-plus.cc
    127.0.0.1 e-websitesolutions.com
    127.0.0.1 eases.net
    127.0.0.1 easy-search.net
    127.0.0.1 easycategories.com
    127.0.0.1 ecosrioplatenses.org
    127.0.0.1 ecstasyporn.net
    127.0.0.1 eikokoike.com
    127.0.0.1 epornsex.com
    127.0.0.1 euuu.com
    127.0.0.1 evidence-detector.biz
    127.0.0.1 evilspidercomics.com
    127.0.0.1 ewebsearch.net
    127.0.0.1 findloss.com
    127.0.0.1 excellentsckin.com
    127.0.0.1 extremeseek.net
    127.0.0.1 f*ckdenniss.com
    127.0.0.1 f*cknicepics.com
    127.0.0.1 faithstevens.com
    127.0.0.1 fantasiewelten.com
    127.0.0.1 farmsteadbandb.com
    127.0.0.1 fartpost.com
    127.0.0.1 fastwebfinder.com
    127.0.0.1 faxporn.com
    127.0.0.1 fickenisgeil.de
    127.0.0.1 finance-loans.com
    127.0.0.1 find-itnow.com
    127.0.0.1 find-uk-health.co.uk
    127.0.0.1 find4u.net
    127.0.0.1 findit-now.com
    127.0.0.1 findwhat.com
    127.0.0.1 findthesite.com
    127.0.0.1 findthewebsiteyouneed.com
    127.0.0.1 fionasteel.com
    127.0.0.1 firstbookmark.net
    127.0.0.1 fitness-free.com
    127.0.0.1 foodvacations.net
    127.0.0.1 forex.jps.ru
    127.0.0.1 forexcredit.com
    127.0.0.1 forexcredit.ru
    127.0.0.1 formingfusions.com
    127.0.0.1 forsythfire.net
    127.0.0.1 forthline.com
    127.0.0.1 free-chipes.com
    127.0.0.1 free-f*cking-video.com
    127.0.0.1 free-hit.com
    127.0.0.1 free-pics-and-movies.com
    127.0.0.1 free-sex-movie-clips.net
    127.0.0.1 free4porno.net
    127.0.0.1 free64all.com
    127.0.0.1 freebookmark.net
    127.0.0.1 freebookmarks.net
    127.0.0.1 freecategories.com
    127.0.0.1 freecoolhost.com
    127.0.0.1 freerbhost.com
    127.0.0.1 freeshemalepics.net
    127.0.0.1 freewebs.com
    127.0.0.1 freeyaho.com
    127.0.0.1 freshseek.com
    127.0.0.1 freshteensite.com
    127.0.0.1 gabrielscott.com
    127.0.0.1 galpostgirls.com
    127.0.0.1 gals-for-free.com
    127.0.0.1 gambling-online4you.com
    127.0.0.1 gameterror.net
    127.0.0.1 gay50.com
    127.0.0.1 generalsmeltingofcanada.com
    127.0.0.1 geteens.com
    127.0.0.1 getpicshere.com
    127.0.0.1 gimmezamore.com
    127.0.0.1 gimnasiaer.com
    127.0.0.1 girls-porn-life.com
    127.0.0.1 glbdf.org
    127.0.0.1 global-finder.com
    127.0.0.1 globe-finder.cc
    127.0.0.1 globe-finder.com
    127.0.0.1 gocybersearch.com
    127.0.0.1 golftennis.net
    127.0.0.1 good-mortgages-calculator.com
    127.0.0.1 good-mortgages.net
    127.0.0.1 goodsexs.com
    127.0.0.1 googlebar.jps.ru
    127.0.0.1 googlf.com
    127.0.0.1 gradforum.org
    127.0.0.1 gratis-porn-movie.com
    127.0.0.1 gratis-pornopics.com
    127.0.0.1 guzzycats.com
    127.0.0.1 gzphoenix.com
    127.0.0.1 hallnetaccolade.com
    127.0.0.1 hand-book.com
    127.0.0.1 happyanal.com
    127.0.0.1 hard-gals.com
    127.0.0.1 hardbodytgp.com
    127.0.0.1 hardcoreover.com
    127.0.0.1 hardloved.com
    127.0.0.1 hardwareseek.net
    127.0.0.1 harukaigawa.com
    127.0.0.1 hccsolanonapa.org
    127.0.0.1 health-protein.com
    127.0.0.1 hentai4u.net
    127.0.0.1 here4search.com
    127.0.0.1 heyrichy.com
    127.0.0.1 hi-search.com
    127.0.0.1 hiddenguides.com
    127.0.0.1 hitlistlyrics.com
    127.0.0.1 holidayautostr.com
    127.0.0.1 homemortage.ws
    127.0.0.1 hostssp.com
    127.0.0.1 hot-cartoon-sex.anime.american-teens.net
    127.0.0.1 hotbookmark.com
    127.0.0.1 hotels-list.net
    127.0.0.1 hotelxxxcams.com
    127.0.0.1 hotpopup.com
    127.0.0.1 hotsearchbox.com
    127.0.0.1 hotsex-series.com
    127.0.0.1 hotstartpage.com
    127.0.0.1 hqsex.biz
    127.0.0.1 hugeporn4u.net
    127.0.0.1 hunacsa.com
    127.0.0.1 hupacasath.com
    127.0.0.1 hzsx.com
    127.0.0.1 icansearch.net
    127.0.0.1 idgsearch.com
    127.0.0.1 ie-search.com
    127.0.0.1 incestporngate.com
    127.0.0.1 infodigger.net
    127.0.0.1 infoglobus.com
    127.0.0.1 inherhole.com
    127.0.0.1 insertthiscock.com
    127.0.0.1 insurance-flood.net
    127.0.0.1 insuranceall.net
    127.0.0.1 internetsearch.ru
    127.0.0.1 ionichost.com
    127.0.0.1 ionomist.com
    127.0.0.1 ipsex.net
    127.0.0.1 itsanal.com
    127.0.0.1 itseasy.us
    127.0.0.1 iweb-commerce.com
    127.0.0.1 iwebland.com
    127.0.0.1 jeannineoldfield.com
    127.0.0.1 jethomepage.com
    127.0.0.1 jetseeker.com
    127.0.0.1 jmhgallery.org
    127.0.0.1 joannelatham.com
    127.0.0.1 judin.ru
    127.0.0.1 junkysex.com
    127.0.0.1 karleyt.narod.ru
    127.0.0.1 kathisomers.com
    127.0.0.1 kazaa-lite.ws
    127.0.0.1 keithgreenpro.com
    127.0.0.1 kenmccaul.com
    127.0.0.1 kilosex.com
    127.0.0.1 kimhines.com
    127.0.0.1 kinoru.com
    127.0.0.1 ksdspups.org
    127.0.0.1 landrape.com
    127.0.0.1 lauraroebuck.com
    127.0.0.1 leannalovelace.com
    127.0.0.1 lesobank.ru
    127.0.0.1 libertyonlinehosting.com
    127.0.0.1 lingerie-mania.com
    127.0.0.1 lisamatthew.com
    127.0.0.1 liveholio.com
    127.0.0.1 livenewspaper.com
    127.0.0.1 louiseleeds.com
    127.0.0.1 love-pix.com
    127.0.0.1 lovelas.com
    127.0.0.1 lovelysearch.com
    127.0.0.1 low-taxes.com
    127.0.0.1 luckysearch.net
    127.0.0.1 lunitaweb.net
    127.0.0.1 lustful-porno.com
    127.0.0.1 mackinnonsbrook.org
    127.0.0.1 madfinder.com
    127.0.0.1 madisonmoons.com
    127.0.0.1 madisonoilco.com
    127.0.0.1 madonalive.com
    127.0.0.1 majuozawa.com
    127.0.0.1 makin-do.com
    127.0.0.1 male4free.com
    127.0.0.1 map-quest.org
    127.0.0.1 marilynchamber.com
    127.0.0.1 martfinder.com
    127.0.0.1 massearch.com
    127.0.0.1 matetrava.com
    127.0.0.1 mature50.com
    127.0.0.1 matureporngate.com
    127.0.0.1 maxdzines.com
    127.0.0.1 mcgeeforlabor.com
    127.0.0.1 mdstunisie.org
    127.0.0.1 medicare-insurance.net
    127.0.0.1 medicare-supplemental.com
    127.0.0.1 mega-dating-tips.com
    127.0.0.1 megumikanzaki.com
    127.0.0.1 meshalynn.com
    127.0.0.1 meta-adult.com
    127.0.0.1 meta-casino.com
    127.0.0.1 meta-mobile.com
    127.0.0.1 meta-porn.com
    127.0.0.1 metafora.ru
    127.0.0.1 metapoisk.ru
    127.0.0.1 michiyonakajima.com
    127.0.0.1 miconsultamedica.com
    127.0.0.1 mikasakamoto.com
    127.0.0.1 mikoni.com
    127.0.0.1 militarygods.porn4porn.net
    127.0.0.1 millennialpeople.org
    127.0.0.1 mipham.org
    127.0.0.1 missingcommand.com
    127.0.0.1 mommykiss.com
    127.0.0.1 moneyhunters.com
    127.0.0.1 montgomeryhospitalanesthesia.com
    127.0.0.1 morflot.com
    127.0.0.1 mortgage-debt.net
    127.0.0.1 mortismaximus.com
    127.0.0.1 moscowwhores.com
    127.0.0.1 moviecategories.com
    127.0.0.1 mp3-pix.com
    127.0.0.1 mrtg.jps.ru
    127.0.0.1 msn-info.net
    127.0.0.1 multipussy.com
    127.0.0.1 mundopolar.com
    127.0.0.1 mustv.com
    127.0.0.1 mywebsearch.net
    127.0.0.1 nativehardcore.com
    127.0.0.1 naturalspy.com
    127.0.0.1 nbasportsbook.net
    127.0.0.1 needf*cknow.com
    127.0.0.1 nellyslyrics.com
    127.0.0.1 nepgyan.com
    127.0.0.1 nesrecords.com
    127.0.0.1 netshastra.net
    127.0.0.1 nettime.ru
    127.0.0.1 nettracker.jps.ru
    127.0.0.1 netyellowpages.info
    127.0.0.1 new-incest.com
    127.0.0.1 newcategories.com
    127.0.0.1 newcracks.com
    127.0.0.1 newcracks.net
    127.0.0.1 newlife-lajolla.com
    127.0.0.1 newsexgate.com
    127.0.0.1 newtonsracks.com
    127.0.0.1 newxpics.com
    127.0.0.1 nhlsportsbook.net
    127.0.0.1 niagaracapital.com
    127.0.0.1 niche-tv.com
    127.0.0.1 nmrba.com
    127.0.0.1 nocalories.net
    127.0.0.1 nocensor.com
    127.0.0.1 ormandcompany.com
    127.0.0.1 nsbabes.com
    127.0.0.1 nuclearwitness.org
    127.0.0.1 nursemania.com
    127.0.0.1 nvntour.com
    127.0.0.1 nvphall.org
    127.0.0.1 oborot.com
    127.0.0.1 ocalalivestockmarket.com
    127.0.0.1 ocsff.com
    127.0.0.1 oeatlanta.com
    127.0.0.1 oharrowsearch.com
    127.0.0.1 ok-search.com
    127.0.0.1 okulta.com
    127.0.0.1 omegabrains.net
    127.0.0.1 online-casino-1.net
    127.0.0.1 online-casino-bonus.info
    127.0.0.1 online-casinos-x.com
    127.0.0.1 online-winning.net
    127.0.0.1 onlineserverz.com
    127.0.0.1 onlinetradings.net
    127.0.0.1 onlycunt.com
    127.0.0.1 onlyinsured.com
    127.0.0.1 operanabuco.com
    127.0.0.1 opsex.com
    127.0.0.1 oregoncharters.org
    127.0.0.1 otrlives.com
    127.0.0.1 ozawamadoka.com
    127.0.0.1 paigesummer.com
    127.0.0.1 pamelacollections.com
    127.0.0.1 panamcup.com
    127.0.0.1 pantygirls4u.com
    127.0.0.1 pantyhoserealm.com
    127.0.0.1 pantyplace.com
    127.0.0.1 pastubes.com
    127.0.0.1 paulapage.com
    127.0.0.1 paulhoover.com
    127.0.0.1 payfortraffic.net
    127.0.0.1 pedo.ws
    127.0.0.1 people.1gb.ru
    127.0.0.1 pervertbot.com
    127.0.0.1 pharma-diet-pills.com
    127.0.0.1 pharmacy2003.com
    127.0.0.1 pharmalocator.com
    127.0.0.1 phendimetrazine-tenuate-adipex.com
    127.0.0.1 pics-videos.com
    127.0.0.1 picsdir.com
    127.0.0.1 picsforbucks.com
    127.0.0.1 picsofseductiveladies.com
    127.0.0.1 pills-birth-control.com
    127.0.0.1 pillsmall.com
    127.0.0.1 pilotronix.com
    127.0.0.1 pixpox.com
    127.0.0.1 planemusic.com
    127.0.0.1 poiska.net
    127.0.0.1 poker-casino-free.com
    127.0.0.1 poker-games-free.net
    127.0.0.1 polradiologia.com
    127.0.0.1 pooi.net
    127.0.0.1 porn-teacher.com
    127.0.0.1 porncamz.com
    127.0.0.1 pornfree.info
    127.0.0.1 pornnightdreams.com
    127.0.0.1 pornokopec.com
    127.0.0.1 porntetris.com
    127.0.0.1 porntwist.com
    127.0.0.1 powerwebsearch.com
    127.0.0.1 prblitz.com
    127.0.0.1 pretypics.com
    127.0.0.1 pribalt.com
    127.0.0.1 privacy-support.biz
    127.0.0.1 privateporn.net
    127.0.0.1 prostactive.com
    127.0.0.1 prostol.com
    127.0.0.1 protect-yourself.biz
    127.0.0.1 prsainlandempire.org
    127.0.0.1 put-your-link-here.com
    127.0.0.1 pyrocorp.com
    127.0.0.1 quick-search.ws
    127.0.0.1 quiksearchgenealogy.com
    127.0.0.1 radfrall.org
    127.0.0.1 ramgo.com
    127.0.0.1 ranafrog.ne
    127.0.0.1 rapegate.com
    127.0.0.1 redbudbmx.com
    127.0.0.1 refinance-help.com
    127.0.0.1 removeearthkeepers.org
    127.0.0.1 rightfinder.net
    127.0.0.1 robbsproshop.com
    127.0.0.1 robertferencz.com
    127.0.0.1 rotocasters.com
    127.0.0.1 royalsearch.net
    127.0.0.1 runsearch.com
    127.0.0.1 russiansponsor.com
    127.0.0.1 russogay.com
    127.0.0.1 s2.exocrew.com
    127.0.0.1 sacitylife.com
    127.0.0.1 samplegals.com
    127.0.0.1 satisf*cktion.net
    127.0.0.1 sbssurvivor.com
    127.0.0.1 scarypix.com
    127.0.0.1 sccdnet.com
    127.0.0.1 schoolforest.com
    127.0.0.1 search-1.net
    127.0.0.1 search-2003.com
    127.0.0.1 search-about.net
    127.0.0.1 search-hawk.com
    127.0.0.1 search-log.com
    127.0.0.1 search-meta.com
    127.0.0.1 search-safe.com
    127.0.0.1 search.psn.cn
    127.0.0.1 searchadultweb.com
    127.0.0.1 searchbutler.com
    127.0.0.1 searchbuttler.com
    127.0.0.1 searchbutler.org
    127.0.0.1 searchcomplete.com
    127.0.0.1 searchdesire.com
    127.0.0.1 searchdot.net
    127.0.0.1 searchexpander.com
    127.0.0.1 searchfastnet.com
    127.0.0.1 searchforge.com
    127.0.0.1 searching-the-net.com
    127.0.0.1 searchmeta.md
    127.0.0.1 searchmeta.net
    127.0.0.1 searchmeta.ru
    127.0.0.1 searchmeta.webhost.ru
    127.0.0.1 searchnow.ws
    127.0.0.1 searchonfly.com
    127.0.0.1 searchv.com
    127.0.0.1 searchxl.com
    127.0.0.1 searchxp.com
    127.0.0.1 sebot.com
    127.0.0.1 securenp.org
    127.0.0.1 security-warning.biz
    127.0.0.1 seehardcore.com
    127.0.0.1 seekwell.net
    127.0.0.1 selfbookmark.com
    127.0.0.1 selfbookmark.info
    127.0.0.1 selfbookmark.net
    127.0.0.1 sex.free4porno.net
    127.0.0.1 sex-coach.com
    127.0.0.1 sex-festival.com
    127.0.0.1 sex-video-galleries.com
    127.0.0.1 sexgalleries4all.com
    127.0.0.1 sexmoviesnet.com
    127.0.0.1 sexpatriot.net
    127.0.0.1 sexy18.cc
    127.0.0.1 sexycat.adult-host.org
    127.0.0.1 sfbayfolkboats.com
    127.0.0.1 sgirls.net
    127.0.0.1 sharempeg.com
    127.0.0.1 shopcards.net
    127.0.0.1 shopknights.com
    127.0.0.1 sic02.com
    127.0.0.1 sintrader.com
    127.0.0.1 site1.ru
    127.0.0.1 sites-in-web.com
    127.0.0.1 sitevictoria.com
    127.0.0.1 sixroads.com
    127.0.0.1 skakalka.ru
    127.0.0.1 slawsearch.com
    127.0.0.1 slotch.com
    127.0.0.1 smartsumo.com
    127.0.0.1 smutarchive.net
    127.0.0.1 solongas.com
    127.0.0.1 sonomaevents.com
    127.0.0.1 spermatrix.com
    127.0.0.1 sportbooks-free4you.com
    127.0.0.1 spros.com
    127.0.0.1 spyass.com
    127.0.0.1 spyorgy.net
    127.0.0.1 staceyowens.com
    127.0.0.1 stacistaxx.com
    127.0.0.1 stacystaxx.com
    127.0.0.1 start-space.com
    127.0.0.1 steamycock.com
    127.0.0.1 sterva.com
    127.0.0.1 stevecashdollar.com
    127.0.0.1 stop-tracking.biz
    127.0.0.1 stopvotefraud.com
    127.0.0.1 stopxxxpics.com
    127.0.0.1 strekoza.com
    127.0.0.1 stuffstore.com
    127.0.0.1 styleclickink.com
    127.0.0.1 summercollins.com
    127.0.0.1 summitcross.com
    127.0.0.1 super-spider.com
    127.0.0.1 super-websearch.com
    127.0.0.1 supersexmachine.com
    127.0.0.1 superwebsearch.com
    127.0.0.1 supret.com
    127.0.0.1 suzannebrecht.com
    127.0.0.1 sweeteenz.com
    127.0.0.1 tacil.org
    127.0.0.1 tangounion.com
    127.0.0.1 tastethemusic.com
    127.0.0.1 tax-refund4you.com
    127.0.0.1 tech-jobs.ws
    127.0.0.1 technology-related.com
    127.0.0.1 teen-biz.com
    127.0.0.1 teen-pic-post.com
    127.0.0.1 teenpornosex.com
    127.0.0.1 teens4free.net
    127.0.0.1 teensact.com
    127.0.0.1 teensgate.com
    127.0.0.1 teensguru.com
    127.0.0.1 teenswamp.com
    127.0.0.1 terra.es
    127.0.0.1 testosterone-birth-control.com
    127.0.0.1 the-exit.com
    127.0.0.1 the-huns-yellow-pages.com
    127.0.0.1 thefakejournal.com
    127.0.0.1 thehuy.net
    127.0.0.1 theproxy.org
    127.0.0.1 therealsearch.com
    127.0.0.1 thesten.com
    127.0.0.1 thornleygroup.com
    127.0.0.1 tings.org
    127.0.0.1 tinybar.com
    127.0.0.1 tit-x.com
    127.0.0.1 titanvision.com
    127.0.0.1 titsianna.com
    127.0.0.1 toddhayes.com
    127.0.0.1 toon-comics.com
    127.0.0.1 tooncomics.com
    127.0.0.1 topsearcher.com
    127.0.0.1 trafficback.com
    127.0.0.1 trafficswitcher.com
    127.0.0.1 travel.picture-posters.com
    127.0.0.1 true-counter.com
    127.0.0.1 true-portal.com
    127.0.0.1 trytechnical.com
    127.0.0.1 ufindall.click-now.net
    127.0.0.1 umaxsearch.com
    127.0.0.1 une-autre-france.com
    127.0.0.1 unigays.com
    127.0.0.1 unipages.cc
    127.0.0.1 up2you.ru
    127.0.0.1 urlstat.com
    127.0.0.1 urlstat.ru
    127.0.0.1 uralitel.ru
    127.0.0.1 ursie.net
    127.0.0.1 utahsweet.com
    127.0.0.1 utopicportal.com
    127.0.0.1 uusocialjustice.org
    127.0.0.1 v61.com
    127.0.0.1 vaginpics.com
    127.0.0.1 valmyers.com
    127.0.0.1 vegas-free.com
    127.0.0.1 vegbuy.com
    127.0.0.1 veloventures.com
    127.0.0.1 verzila.com
    127.0.0.1 victoriaadam.com
    127.0.0.1 videocategories.com
    127.0.0.1 vitamins-for-each.com
    127.0.0.1 votehowe.org
    127.0.0.1 vxebony.com
    127.0.0.1 wakeupdick.com
    127.0.0.1 warnomore.org
    127.0.0.1 watersport-specialties.com
    127.0.0.1 web-homepage.net
    127.0.0.1 web-search.tk
    127.0.0.1 webcoolsearch.com
    127.0.0.1 websearchdot.com
    127.0.0.1 weekend-movies.com
    127.0.0.1 wetpornostars.com
    127.0.0.1 whatsyoursearch.com
    127.0.0.1 white-pages.ws
    127.0.0.1 whittierblvd.com
    127.0.0.1 win-in-casino.com
    127.0.0.1 wiresearch.com
    127.0.0.1 wolfpacracing.com
    127.0.0.1 wordlist.jps.ru
    127.0.0.1 wpc2001.org
    127.0.0.1 wspzone.sexpornonline.com
    127.0.0.1 wwwbet.net
    127.0.0.1 wwwbetting.net
    127.0.0.1 wwwpokergames.com
    127.0.0.1 wwwpokerplayers.com
    127.0.0.1 wwwroulette.net
    127.0.0.1 x-library.com
    127.0.0.1 x-webdesign.com
    127.0.0.1 xcomics4u.com
    127.0.0.1 xic-bs.com
    127.0.0.1 xldr.com
    127.0.0.1 xp18.com
    127.0.0.1 xrenosearch.com
    127.0.0.1 xtragay.com
    127.0.0.1 xu.xu.pl
    127.0.0.1 xxxcategories.com
    127.0.0.1 xxxemailxxx.com
    127.0.0.1 y-e-l-l-o-w.com
    127.0.0.1 yellow500.com
    127.0.0.1 yezol.com
    127.0.0.1 you-search.com
    127.0.0.1 you-search.com.ru
    127.0.0.1 youfindall.com
    127.0.0.1 youfindall.net
    127.0.0.1 your-prescriptions.net
    127.0.0.1 yourbookmarks.info
    127.0.0.1 yourbookmarks.ws
    127.0.0.1 ypir.com
    127.0.0.1 ysa-info.net
    127.0.0.1 yukohamano.com
    127.0.0.1 ywebsearch.info
    127.0.0.1 zapros.com
    127.0.0.1 zesearch.com
    127.0.0.1 ziportal.com
    127.0.0.1 zipportal.com
    127.0.0.1 zoneoffreeporn.com
    127.0.0.1 zoomegasite.com
    127.0.0.1 zvimigdal.com
    127.0.0.1 zyban-zocor-levitra.com
    127.0.0.1 t.rack.cc
    127.0.0.1 omega-search.com
    127.0.0.1 cool-xxx.net
    127.0.0.1 revolto3.da.ru
    127.0.0.1 dating-search.net
    127.0.0.1 linksummary.com
    127.0.0.1 duolaimi.net
    127.0.0.1 ez-searching.com
    127.0.0.1 freehqmovies.com
    127.0.0.1 xzoomy.com
    127.0.0.1 freescratchandwin.com
    127.0.0.1 fickenisgeil.de
    127.0.0.1 globalwebsearch.com
    127.0.0.1 www.gocybersearch.com
    127.0.0.1 mayancasino.com
    127.0.0.1 www.hastalavista.com
    127.0.0.1 www.free-popup-killer.com
    127.0.0.1 www.digitalfan.com
    127.0.0.1 google123.web1000.com
    127.0.0.1 search.ieplugin.com
    127.0.0.1 i-lookup.com
    127.0.0.1 spidersearch.com
    127.0.0.1 istarthere.com
    127.0.0.1 xxxtoolbar.com
    127.0.0.1 www.seekporn.org
    127.0.0.1 17-plus.com
    127.0.0.1 lolita4all1.xrensmagpost.com
    127.0.0.1 mafiapics.com
    127.0.0.1 www.teenmonster.com
    127.0.0.1 ie.marketdart.com
    127.0.0.1 masterbar.com
    127.0.0.1 search.netzany.co
    127.0.0.1 only-virgins.com
    127.0.0.1 passthison.com
    127.0.0.1 blondetgp.com
    127.0.0.1 prolivation.com
    127.0.0.1 server-au.imrworldwide.com
    127.0.0.1 roar.com
    127.0.0.1 rocketsearch.com
    127.0.0.1 searchaccurate.com
    127.0.0.1 searchalot.com
    127.0.0.1 searchandbrowse.com
    127.0.0.1 gtawarehouse.com
    127.0.0.1 startium.com
    127.0.0.1 searchandclick.com
    127.0.0.1 searchby.net
    127.0.0.1 searchdot.com
    127.0.0.1 search-exe.com
    127.0.0.1 secret-crush.com
    127.0.0.1 seekseek.com
    127.0.0.1 sexarena.com
    127.0.0.1 sexocean.play-lolita.com
    127.0.0.1 startsurfing.com
    127.0.0.1 66.197.138.235
    127.0.0.1 srng.net
    127.0.0.1 apps.webservicehost.com
    127.0.0.1 search.shopnav.com
    127.0.0.1 wish7.com
    127.0.0.1 216.65.3.68
    127.0.0.1 www.supersexpass.com
    127.0.0.1 surferbar.com
    127.0.0.1 xlola.underagehost.com
    127.0.0.1 hotlolitas.underagehost.com
    127.0.0.1 loading-lolita.com
    127.0.0.1 www.xupiter.com
    127.0.0.1 xjupiter.com
    127.0.0.1 www.xjupiter.com
    127.0.0.1 www.browserwise.com
    127.0.0.1 sqwire.com
    127.0.0.1 orbitexplorer.com
    127.0.0.1 searchcentrix.com
    127.0.0.1 categories.mygeek.com
    127.0.0.1 web-entrance.co
    127.0.0.1 whazit.com
    127.0.0.1 windowenhancer.com
    127.0.0.1 66.40.16.198
    127.0.0.1 zoofil.com
    127.0.0.1 terafinder.com
    127.0.0.1 buz.ru
    127.0.0.1 iwon.com
    127.0.0.1 www.bonzi.com
    127.0.0.1 featured-results.com
    127.0.0.1 searchmadesafe.net
    127.0.0.1 quicklaunch.com
    127.0.0.1 www.cashsurfers.com
    127.0.0.1 lop.com
    127.0.0.1 tjdo.com
    127.0.0.1 ebav.com
    127.0.0.1 ebgo.com
    127.0.0.1 ebaw.com
    127.0.0.1 ebkb.com
    127.0.0.1 ebmu.com
    127.0.0.1 ecmp.com
    127.0.0.1 edhq.com
    127.0.0.1 edty.com
    127.0.0.1 sbee.com
    127.0.0.1 aavc.com
    127.0.0.1 acjp.com
    127.0.0.1 ecmh.com
    127.0.0.1 emch.com
    127.0.0.1 ecpm.com
    127.0.0.1 wabu.com
    127.0.0.1 wabq.com
    127.0.0.1 ebch.com
    127.0.0.1 ebdv.com
    127.0.0.1 ebdw.com
    127.0.0.1 ebjp.com
    127.0.0.1 ebkn.com
    127.0.0.1 ebky.com
    127.0.0.1 eblv.com
    127.0.0.1 wbkb.com
    127.0.0.1 ebvr.com
    127.0.0.1 ecwz.com
    127.0.0.1 ecyb.com
    127.0.0.1 eduy.com
    127.0.0.1 eeev.com
    127.0.0.1 farse.com
    127.0.0.1 ibmx.com
    127.0.0.1 icwb.com
    127.0.0.1 icwo.com
    127.0.0.1 icwp.com
    127.0.0.1 iddh.com
    127.0.0.1 idhh.com
    127.0.0.1 ifiz.com
    127.0.0.1 iguu.com
    127.0.0.1 samz.com
    127.0.0.1 saoe.com
    127.0.0.1 sbjr.com
    127.0.0.1 sbnl.com
    127.0.0.1 sbnt.com
    127.0.0.1 sbvr.com
    127.0.0.1 scbm.com
    127.0.0.1 sckr.com
    127.0.0.1 scrk.com
    127.0.0.1 sdry.com
    127.0.0.1 seld.com
    127.0.0.1 sfux.com
    127.0.0.1 sheat.com
    127.0.0.1 sipo.com
    127.0.0.1 smds.com
    127.0.0.1 srib.com
    127.0.0.1 srox.com
    127.0.0.1 srsf.com
    127.0.0.1 ssaw.com
    127.0.0.1 ssby.com
    127.0.0.1 surj.com
    127.0.0.1 tbvg.com
    127.0.0.1 tdak.com
    127.0.0.1 tdmy.com
    127.0.0.1 tefs.com
    127.0.0.1 tfil.com
    127.0.0.1 H24413.tfil.com
    127.0.0.1 tjar.com
    127.0.0.1 tjaw.com
    127.0.0.1 tjgo.com
    127.0.0.1 tjem.com
    127.0.0.1 torc.com
    127.0.0.1 wfix.com
    127.0.0.1 wflu.com
    127.0.0.1 tdko.com
    127.0.0.1 thko.com
    127.0.0.1 germany.rub.to
    127.0.0.1 search.rub.to
    127.0.0.1 unitedstates.rub.to
    127.0.0.1 www.commonname.com
    127.0.0.1 www.ezcybersearch.com
    127.0.0.1 www.jethomepage.com
    127.0.0.1 www.gohip.com
    127.0.0.1 hotbar.com
    127.0.0.1 www.huntbar.com
    127.0.0.1 search.imiserver.com
    127.0.0.1 searchenhancement.com
    127.0.0.1 newtonknows.com
    127.0.0.1 search-explorer.net
    127.0.0.1 searchsquire.com
    127.0.0.1 secondpower.com
    127.0.0.1 2ndpower.com
    127.0.0.1 searchgateway.net
    127.0.0.1 worldusa.com
    127.0.0.1 www.topsearcher.com
    127.0.0.1 smutserver.com
    127.0.0.1 searchmeup.com
    127.0.0.1 cameup.com
    127.0.0.1 kliksearch.com
    127.0.0.1 realphx.com
    127.0.0.1 blazefind.com

    alvast bedankt :)




  • Dit log vertoont geen sporen meer van de infectie :wink:

    Je hebt dit log in veilige modus gemaakt, werkt HijackThis nu ook weer in normale modus? Zo ja, plaats dan ook eens een log in normale modus ter controle.

    Zijn er nog problemen met je PC?

    Je hosts bestand is prachtig, deze beschermt je tegen van allerlei slechte domeinen, ik heb geen entry kunnen vinden die je virusscanner het updaten kan beletten :wink:

    Staat deze regel er ook wel in:[quote:1468b0d07b]127.0.0.1 localhost[/quote:1468b0d07b]vr.gr.smeenk
  • Hijackthis werkt niet in de gewone windows, het programma start gewoon niet op.
    De pc heeft nog steeds precies hetzelfde als dat ik in mijn eerste post schreef. Dus iedere keer weer van die waarschuwingsschermen met dat er een virus op de pc staat.
  • Kenmerkend voor deze infectie is blijkbaar het niet kunnen vinden van de WINDOWS\System32 map, controleer eens of je deze map vinden kunt met je verkenner.

    Probeer het volgende eens:
    Open een kladblokbestand.
    Plaats onderstaande code in dit kladblokbestand.
    Sla het op als look.bat
    Bij Opslaan als type zorg je dat er staat alle bestanden.
    dubbelklik op look.bat en er zal een bestandje open: look.txt
    Post de inhoud.
    [code:1:0d4f8d32e5]regedit /e ok1.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    regedit /e ok2.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    regedit /e ok3.txt HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    regedit /e ok4.txt HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    regedit /e ok5.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce
    regedit /e ok6.txt HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce
    regedit /e ok7.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
    copy ok1.txt+ok2.txt+ok3.txt+ok4.txt+ok5.txt+ok6.txt+ok7.txt = look.txt
    del ok1.txt
    del ok2.txt
    del ok3.txt
    del ok4.txt
    del ok5.txt
    del ok6.txt
    del ok7.txt
    notepad look.txt[/code:1:0d4f8d32e5]Misschien levert dit iets op :roll:
  • Hier de inhoud van dat bestandje:

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="RUNDLL32.EXE D:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
    "nwiz"="nwiz.exe /install"
    "POINTER"="point32.exe"
    "IntelliType"=""D:\\Program Files\\Microsoft Hardware\\Keyboard\\type32.exe""
    "LVCOMS"="D:\\Program Files\\Common Files\\Logitech\\QCDriver3\\LVCOMS.EXE"
    "LogitechGalleryRepair"="G:\\Programma's\\Logitech\\ImageStudio\\ISStart.exe"
    "SunJavaUpdateSched"="D:\\Program Files\\Java\\j2re1.4.2_01\\bin\\jusched.exe"
    "QuickTime Task"=""D:\\Program Files\\QuickTime\\qttask.exe" -atboottime"
    "NeroCheck"="D:\\WINDOWS\\system32\\NeroCheck.exe"
    "DAEMON Tools-1033"=""D:\\Program Files\\D-Tools\\daemon.exe" -lang 1033"
    "SmcService"="D:\\PROGRA~1\\Sygate\\SPF\\smc.exe -startgui"
    "nod32kui"=""D:\\Program Files\\Eset\
    od32kui.exe" /WAITSERVICE"
    "Windows Workstation Service (32-bits)"="wkssvc32.exe"
    "DU Meter"="D:\\Program Files\\DU Meter\\DUMeter.exe"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
    "Installed"="1"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
    "Installed"="1"
    "NoChange"="1"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
    "Installed"="1"

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
    "Windows Workstation Service (32-bits)"="wkssvc32.exe"

    Windows Registry Editor Version 5.00

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="D:\\WINDOWS\\System32\\ctfmon.exe"
    "WebCamRT.exe"=""
    "LDM"="\\Program\\BackWeb-8876480.exe"
    "Windows Workstation Service (32-bits)"="wkssvc32.exe"

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]

    overigens stond de code 127.0.0.1 localhost niet in dat bestandje hosts zoals jij zei, ik weet niet of die er tussen moet worden gezet?
  • [quote:4159d9f094="R-bin"]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Windows Workstation Service (32-bits)"="wkssvc32.exe"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
    "Windows Workstation Service (32-bits)"="wkssvc32.exe"

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Windows Workstation Service (32-bits)"="wkssvc32.exe"[/quote:4159d9f094]Zoals je ziet staan ze gewoon nog in het register, ik weet niet of je ze met HijackThis ook nog kunt zien staan. Als je erg vertrouwd bent met het werken in het register zou je ze daar zelf ook weer kunnen proberen te verwijderen. Maar ik weet niet of ze later weer terug komen

    ik zag deze:
    [b:4159d9f094][HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "LDM"="\\Program\\BackWeb-8876480.exe"[/b:4159d9f094]
    deze is ook gerelateerd aan spyware

    [quote:4159d9f094]overigens stond de code 127.0.0.1 localhost niet in dat bestandje hosts zoals jij zei, ik weet niet of die er tussen moet worden gezet?[/quote:4159d9f094]Deze behoort bovenaan te staan, en zorgt er voor dat die andere domeinen geblockt worden, als je met een netwerk werkt moet het misschien anders, mogelijk dat M@rc of steggel daarover even aanvullingen kunnen geven.
  • Download Pocket KillBox.
    Unzip het programma naar je bureaublad.
    Klik op killbox.exe.

    Kies de optie: "Delete on reboot".

    [b:5a98e49cc8]Kopieer[/b:5a98e49cc8] het volgende vetgedrukte:

    [b:5a98e49cc8]C:\a.bat
    C:\b.bat
    C:\system.exe
    C:\system.sys
    C:\system.ini
    C:\WINDOWS\System32\wkssvc32.exe[/b:5a98e49cc8]

    Klik op [b:5a98e49cc8]'File'[/b:5a98e49cc8] in het killboxmenu en kies: [b:5a98e49cc8]Paste from clipboard[/b:5a98e49cc8]

    Daarna klik je op de rode knop met het wit kruisje erin.
    Killbox zal je vertellen dat die bestanden zullen verwijderd worden bij een volgende reboot.. Klik [b:5a98e49cc8]YES[/b:5a98e49cc8]
    Killbox zal vragen of je nu wilt rebooten, klik [b:5a98e49cc8]YES[/b:5a98e49cc8]
    Als je volgende boodschap krijgt: "PendingFileRenameOperations Registry Data has been Removed by External Process!" , dan zal je zelf de PC moeten herstarten.

    Hiermee is de eerste stap uitgevoerd. Je kan de System32 directory weer zien.
    Verwijder nu eerst de directory C:\Windows\System32\Software (inclusief alle bestanden die erin staan.

    Controleer of er nog een pif-bestand bestaat in de hoofd-directory van C:\
    Verwijder deze ook.

    Start Internet Explorer en download [b:5a98e49cc8]The hoster[/b:5a98e49cc8] van het volgende adres:
    http://www.funkytoad.com/download/hoster.zip

    Unzip het programma, run het, klik op "Restore Original Hosts", klik op "OK" en sluit het programma af.

    Start Hijackthis op en kies voor 'Do a system scan only'
    Selecteer alleen de items die hieronder zijn genoemd:
    [b:5a98e49cc8]
    O4 - HKLM\..\Run: [Windows Workstation Service (32-bits)] wkssvc32.exe
    O4 - HKLM\..\Run: [eMakeSV] D:\WINDOWS\System32\emakesv.exe
    O4 - HKLM\..\RunServices: [Windows Workstation Service (32-bits)] wkssvc32.exe [/b:5a98e49cc8]
    Sluit alle vensters behalve Hijackthis
    Klik op 'Fix checked' om de items te verwijderen

    Herstart hijackthis en klik op "Do a system scan and save a logfile"
    Post dit log.

    Sjaak
  • Is dit nu allemaal goed?

    Logfile of HijackThis v1.99.1
    Scan saved at 22:53:05, on 5-6-2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\Ati2evxx.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\WINDOWS\system32\Ati2evxx.exe
    D:\WINDOWS\Explorer.EXE
    D:\Program Files\D-Tools\daemon.exe
    D:\Program Files\Common Files\Symantec Shared\ccApp.exe
    D:\Program Files\iTunes\iTunesHelper.exe
    D:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    D:\Program Files\IE New Window Maximizer\iemaximizer.exe
    D:\Program Files\MSN Messenger\MsnMsgr.Exe
    D:\WINDOWS\system32\ctfmon.exe
    D:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
    D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    D:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    D:\Program Files\Norton AntiVirus
    avapsvc.exe
    D:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
    D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    D:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    D:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    D:\Program Files\iPod\bin\iPodService.exe
    D:\Program Files\Messenger\msmsgs.exe
    D:\Documents and Settings\Jochem\Mijn documenten\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [ATICCC] "D:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
    O4 - HKCU\..\Run: [IE New Window Maximizer] D:\Program Files\IE New Window Maximizer\iemaximizer.exe
    O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: ATI CATALYST System Tray.lnk = D:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing
    O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
    O23 - Service: Adobe LM Service - Unknown owner - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus
    avapsvc.exe
    O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - D:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
    O23 - Service: SAVScan - Symantec Corporation - D:\Program Files\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

  • Hallo jbeemen,
    in je log zijn geen problemen meer te vinden, maar dit wil niet zeggen dat er helemaal geen problemen meer zijn omdat dit virus dat ook jouw PC heeft getroffen zeer veel wijzigingen in het register heeft aangebracht.

    steggel en M@rc hebben inmiddels veel van deze wijzigingen in kaart gebracht en er reparatiemethodes voor ontwikkeld.

    Daarom is het denk ik belangrijk om aan te geven welke handelingen je allemaal hebt uitgevoerd, ik neem aan dat je de aanwijzingen van steggel in dit topic hebt uitgevoerd.

    Onderstaande aanwijzingen kan je dan ook nog even doen:

    Ga naar start – uitvoeren en tik in:
    [code:1:ad92ecfe1f]
    sc delete "GencTurK RootKit Driver" [/code:1:ad92ecfe1f]
    Klik op OK

    Darna geef je het volgende commando in:
    [code:1:ad92ecfe1f]sc delete "GencTurK RootKit"[/code:1:ad92ecfe1f]
    Klik op OK

    Open een klablokbestand.
    Kopieer onderstaande code in dit kladblokbestand.
    Ga naar Bestand - Opslaan als.
    Bij "Opslaan in" kies je: Bureaublad
    Bij "Bestandsnaam" zet je: fix.reg
    Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
    Klik op de knop Opslaan.
    [code:1:ad92ecfe1f]REGEDIT4

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GencTurK RootKit Driver]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GencTurK RootKit]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Safeboot\Minimal\GencTurK RootKit]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Safeboot\Network\GencTurK RootKit]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GencTurk RootKit]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GencTurk RootKit Driver]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Safeboot\Minimal\GencTurK RootKit]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Safeboot\Network\GencTurK RootKit]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\GencTurk RootKit]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\GencTurk RootKit Driver]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Safeboot\Minimal\GencTurK RootKit]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Safeboot\Network\GencTurK RootKit]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\GencTurk RootKit]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\GencTurk RootKit Driver]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Windows Workstation Service (32-bits)"=-

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
    "Windows Workstation Service (32-bits)"=-

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "Windows Workstation Service (32-bits)"=-

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
    "Start"=dword:00000002

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc]
    "Start"=dword:00000003

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDTC]
    "Start"=dword:00000003

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
    "Start"=dword:00000002

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
    "Start"=dword:00000002

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
    "EnableDCOM"="Y"
    "EnableRemoteConnect"="Y"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
    "restrictanonymous"=dword:00000000

    [HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
    "Dir0"=-

    [/code:1:ad92ecfe1f]
    Dubbelklik op de fix.reg file en laat de wijzigingen aan het register toevoegen.

    Herstart de computer .

    vr.gr.smeenk :wink:
  • Samen met M@rc ben ik het afgelopen weekend bezig geweest om te analiseren welke impact deze trojan had op de PC. Dit ging met -tig mailtjes heen en weer.

    Uiteindelijk heeft M@rc enkele bestanden in elkaar gezet en in een zip-file geplaatst.

    Download het bestand GencTurk.zip
    Pak het uit op je op het bureaublad. Er wordt een folder [b:2b5f19eddd]gencturkfix[/b:2b5f19eddd] aangemaakt.
    Dubbelklik op deze folder en klik op [b:2b5f19eddd]removeserv.bat[/b:2b5f19eddd]
    Dit verwijdert de opstartsleutels en de ongewenste services uit het register en het past een aantal instellingen aan die door de infectie veroorzaakt zijn.

    Er verschijnt even een dosscherm. Wanneer dit sluit herstart je de computer.
    Na de computer opnieuw gestart te hebben, dubbelklik je op [b:2b5f19eddd]delfiles.bat[/b:2b5f19eddd].
    Hierdoor worden de bestanden van de trojan verwijderd.

    Nu heb je nog de mogelijkheid om de start-status van enkele services aab te passen.
    Dit kan door op het bijbehorende reg-bestand te klikken en de wijzigingen aan het register toe te laten voegen.

    [b:2b5f19eddd]update.reg[/b:2b5f19eddd]:
    Schakelt de Automatische updates service weer in.

    [b:2b5f19eddd]security_center.reg[/b:2b5f19eddd]:
    Schakelt het Security Center weer in. Alleen voor SP2

    [b:2b5f19eddd]msdtc.reg[/b:2b5f19eddd]:
    zet de service Distributed Transaction Coördinator op handmatig.

    [b:2b5f19eddd]indexing_service.reg[/b:2b5f19eddd]: zet de Indexing Service op handmatig.

    [b:2b5f19eddd]wf_ics.reg[/b:2b5f19eddd]:
    zet de service Windows Firewall (WF) / Internet-verbinding delen (ICS) weer op ingeschakeld.

    [b:2b5f19eddd]netwerk_shares.reg[/b:2b5f19eddd]:
    herstelt netwerkshares voor als je via een netwerk de bestanden deelt.

    Om deze services werkelijk te activeren zul je de PC nogmaals moeten herstarten.

    Sjaak & M@rc
  • Hee mijn topic wordt gekaapt! :P (geen probleem hoor)
    Maar werkt die oplossing nou ook voor mij?
    Ik zal binnekort weer verder gaan met het probleem maar ik moest even snel een oplossing hebben dus heb er een andere hdd in gedaan.
  • [quote:19b41a2adf="R-bin"]
    Maar werkt die oplossing nou ook voor mij?[/quote:19b41a2adf]
    De fix die Steggel post, moet voor jou ook werken.

    die van Smeenk trouwens ook..

    je moet wel de servicenaam bij de commando's tussen quotes ("") plaatsen dan:
    sc delete "gencturk rootkit"

    sc delete "gencturk rootkit driver"
  • [quote:a16ea7de26="M@rc"]je moet wel de servicenaam bij de commando's tussen quotes ("") plaatsen dan:
    sc delete "gencturk rootkit"

    sc delete "gencturk rootkit driver"[/quote:a16ea7de26]Ik heb het maar even in die post aangepast :wink:

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.