Virus/Adaware

[Jurgen & Co]

Wanneer ik de site van geocaching.com wil bezoeken dan krijg ik de site van devel.opencaching.de.

 

Ik heb de cookie al ver wijderd van GC.com maar dat helpt niet.

[pa3fus]

Wanneer ik de site van geocaching.com wil bezoeken dan krijg ik de site van devel.opencaching.de.

 

Ik heb de cookie al ver wijderd van GC.com maar dat helpt niet.

<{POST_SNAPBACK}>

 

Probeer het eens om via het IP adres naar .com te gaan:

Name: www.geocaching.com

Addresses: 66.150.167.148, 66.150.167.149

 

1 van beide dus..

 

Ben benieuwd of het dan wel werkt.

 

Misschien iets wat er in je hosts bestand verkeerd is komen te staan ?

 

Jan-Willem.

[Jurgen & Co]

Met www lukt niet. Bij IP krijg ik het antwoord this URL is not Valid. Ik heb dit weekend ook al eens gemerkt dat er problemen waren met het laden van bepalde site's www.gmail.com lukt ook niet. Ik gebruik Hitmanpro en AVG. Tot nu toe was dat voldoende. Ik ben nu aan het scannen met bitdefender.

[Jurgen & Co]

Wat is een host bestand?

[pa3fus]

Wat is een host bestand?

<{POST_SNAPBACK}>

 

Hierin staat een vertaling tussen IP adressen en namen.

Indien hier verkeerde informatie in staat dan krijg je ook vreemde verwijzingen, of niet bestaande pagina's.

 

Zoek maar eens via enkel het woordje hosts en open het bestand dan eens met bijv wordpad, dan kun je de indeling bekijken.

 

(PS, het heeft wel allemaal betrekking op windows, maar ik ga er eigenlijk vanuit dat je dat gebruikt.)

 

Inhoud is bijv:

# localhost: Needs to stay like this to work

127.0.0.1 localhost

 

Het is voor windows XP te vinden op:

C:\WINDOWS\system32\drivers\etc

 

Als het op IP adres ook niet werkt dan lijkt er inderdaad iets goed fout te gaan.

Probeer vanuit een ms dos venster eens uit:

nslookup www.geocaching.com en vergelijk de resultaten met mijn eerdere resultaten.

 

Succes Jan-Willem.

[Jurgen & Co]

Antwoord is:

 

Server: Speedtouch.lan

Address: ( Hier staat het IP nummer van mijn Multi-Pc-Modem

 

Non-authoritative answer:

Name: www.geocaching.com

Addresses: 66.150.167.149, 66.150.167.148

[pa3fus]

Antwoord is:

 

Server: Speedtouch.lan

Address: ( Hier staat het IP nummer van mijn Multi-Pc-Modem

 

Non-authoritative answer:

Name: www.geocaching.com

Addresses: 66.150.167.149, 66.150.167.148

<{POST_SNAPBACK}>

 

Dat klopt dus wel, enkel staan de 2 adressen in een andere volgorde, maar dat maakt niet uit.

Het is nu uitzoeken wat er voor zorgt dat de naam geocaching.com welke je intypt niet de juiste verwijzing oplevert.

Hiervoor is het zogenaamde DNS systeem verantwoordelijk.

Dit maakt o.a. gebruik van dat hosts bestand, dus dat zou nu je eerstevolgende controle kunnen worden.

 

Succes nog even met zoeken, ik ga hier horizontaal, morgen weer 2 installatie's.

 

Groetjes Jan-Willem.

12 december 2005 bewerkt door pa3fus

[Jurgen & Co]

Ik heb net alle cookies verwijderd en mijn MUlti-PC-Modem gereset. Nu gaat het goed. Maar ik zal toch de boel goed in de gaten houden.

 

Bedankt voor de hulp.

[hrng]

via www.sysinternals.com kun je 2 programma's downloaden die je vertellen wat er allemaal in de achtergrond draait

 

1. procexp (ProcessExplorer) een soort verbeterde taskmanager die je netjes per proces kan vertellen welke ip poorten en bestanden hij geopend heeft.

 

2. De rootkitrevealer die laatst ook Sony ontmaskerd heeft.

Deze kijkt of er iets onder windows gekropen is dat je in windows zelf niet meer kunt ontdekken.

 

3. En via merijn.org kun je hijackthis ophalen.

(Directe link http://www.merijn.org/files/hijackthis.zip)

Deze tool vertelt precies wat er opgestart wordt als je je systeem opstart.

En biedt per item aan om dit opstarten uit te schakelen.

Dit kun je vervolgens door een expert zoals pa3fus laten bekijken.

Die wijst wel aan wat je uit moet schakelen.

 

Ik zou dit het eerste doen.

 

Blijft het feit dat er zo te zien iets tussen je netwerkverkeer zit.

Je host bestand is een goede gok. Maar nslookup had er dan ook last van moeten hebben.

Je host bestand kun je als het niet op de reguliere plek staat vinden via Start -> Zoeken op bestand.

 

Suc6 met het ontsmetten

[pa3fus]

Ik heb net alle cookies verwijderd en mijn MUlti-PC-Modem gereset. Nu gaat het goed.

<{POST_SNAPBACK}>

 

Je speedtouch modem doet inderdaad ook dingen met DNS, grote kans dat dat de oorzaak is geweest. Even onthouden voor de volgende keer dus.

 

Bedankt voor de hulp.

<{POST_SNAPBACK}>

 

No problem, we zijn er tenslotte om elkaar te helpen nietwaar ?

 

Groetjes Jan-Willem.

[Team Firefox]

Nou, als je mijn log wil bekijken, heel graag......

 

 

Logfile of HijackThis v1.99.1

Scan saved at 12:44:17, on 13-12-2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\BCMSMMSG.exe

C:\Program Files\Dell\Media Experience\PCMService.exe

C:\WINDOWS\System32\DSentry.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\Winamp\Winampa.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Program Files\SMSC\Seticon.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Digital Image\Monitor.exe

C:\Program Files\SpywareGuard\sgmain.exe

C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\SpywareGuard\sgbhp.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\RB\Bureaublad\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [bCMSMMSG] BCMSMMSG.exe

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"

O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB002" /M "Stylus C46"

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [setIcon] C:\Program Files\SMSC\Seticon.exe

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [EPSON Stylus C46 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P33 "EPSON Stylus C46 Series (Kopie 1)" /O6 "USB003" /M "Stylus C46"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe

O4 - Global Startup: Digital Image Monitor.lnk = ?

O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - blank (file missing)

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - blank (file missing)

O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

O23 - Service: SpywareCleanerService - Secure Computer, LLC - C:\Program Files\Spyware Cleaner\SCService.exe

 

 

Ben benieuwd welke er uit mogen. De laatste regel sowieso! Misschien kan je ook nog aangeven hoe ik ze kan verwijderen. Het is nl. al even geleden dat ik handmatig in het register gezeten heb

13 december 2005 bewerkt door Team Firefox

[thex]

Nou, als je mijn log wil bekijken, heel graag......

 

 

Logfile of HijackThis v1.99.1

Scan saved at 12:44:17, on 13-12-2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

 

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

O23 - Service: SpywareCleanerService - Secure Computer, LLC - C:\Program Files\Spyware Cleaner\SCService.exe

 

 

Ben benieuwd welke er uit mogen. De laatste regel sowieso! Misschien kan je ook nog aangeven hoe ik ze kan verwijderen. Het is nl. al even geleden dat ik handmatig in het register gezeten heb 

<{POST_SNAPBACK}>

Geef me ook nog FF je ip-adres, dan kom ik zo op de koffie !

[pa3fus]

Nou, als je mijn log wil bekijken, heel graag......

 

<{POST_SNAPBACK}>

 

Zo'n log van hijackthis is natuurlijk meteen een flinke lijst.

Om dat hier binnen het geocaching forum te gaan behandelen gaat m.i. denk ik net even te ver. Ik heb wel eens andere forums gezien die hier specifiek op ingaan.

 

Via het programma msconfig kun je d.m.v. vinkjes items aan en uitzetten, zo kun je snel bepalen wat werkelijk nodig is en wat niet zonder zelf in het register te gaan zitten veranderen.

 

Wat me in je lijstje zo snel opvalt is 2 verschillende printerdrivers, oude en een nieuwe epson stylus.

Van Symantec (norton) zie ik verschillende programma's staan naast bijv AVG7 van grisoft. Dubbele virusscanners lijkt me minder wenselijk. Persoonlijk geef ik de voorkeur aan McAfee omdat in de praktijk bij onze klanten blijkt dat er bij Norton meer "tussendoor geglipte items" zijn.

 

De winamp agent kun je volgens mij zonder problemen deactiveren via het icoontje in de taakbalk.

 

BCMSMMSG.exe schijnt een driver te zijn voor een modem. Maak je hier nog gebruik van ? Zo niet kun je deze uitschakelen.

 

Van Acrobat reader staat er nog iets tussen van versie 5, inmiddels is er versie 7.x verkrijgbaar via adobe.nl, geeft o.a. verbetering van de beveiliging.

 

Kijk maar of je wat mee doet, mocht je echt problemen hebben dan lijkt het me beter hiervoor een specifiek hijackthis forum voor te zoeken.

 

Succes in ieder geval.

 

Groetjes Jan-Willem.

[Team Firefox]

Nou, als je mijn log wil bekijken, heel graag......

 

<{POST_SNAPBACK}>

 

Zo'n log van hijackthis is natuurlijk meteen een flinke lijst.

Om dat hier binnen het geocaching forum te gaan behandelen gaat m.i. denk ik net even te ver. Ik heb wel eens andere forums gezien die hier specifiek op ingaan.

 

Via het programma msconfig kun je d.m.v. vinkjes items aan en uitzetten, zo kun je snel bepalen wat werkelijk nodig is en wat niet zonder zelf in het register te gaan zitten veranderen.

 

Wat me in je lijstje zo snel opvalt is 2 verschillende printerdrivers, oude en een nieuwe epson stylus.

Van Symantec (norton) zie ik verschillende programma's staan naast bijv AVG7 van grisoft. Dubbele virusscanners lijkt me minder wenselijk. Persoonlijk geef ik de voorkeur aan McAfee omdat in de praktijk bij onze klanten blijkt dat er bij Norton meer "tussendoor geglipte items" zijn.

 

De winamp agent kun je volgens mij zonder problemen deactiveren via het icoontje in de taakbalk.

 

BCMSMMSG.exe schijnt een driver te zijn voor een modem. Maak je hier nog gebruik van ? Zo niet kun je deze uitschakelen.

 

Van Acrobat reader staat er nog iets tussen van versie 5, inmiddels is er versie 7.x verkrijgbaar via adobe.nl, geeft o.a. verbetering van de beveiliging.

 

Kijk maar of je wat mee doet, mocht je echt problemen hebben dan lijkt het me beter hiervoor een specifiek hijackthis forum voor te zoeken.

 

Succes in ieder geval.

 

Groetjes Jan-Willem.

<{POST_SNAPBACK}>

 

 

Zo, snel gedaan, thanks!

 

Ik gebruik AVG, en Norton 2003 staat er ook nog op, maar wordt niet gebruikt. Norton schijn je onder XP ook niet te kunnen verwijderen of erg lastig. Vandaar dat die er nog in staat. Overigens ben ik nooit tevreden geweest over Norton. Net wat je zegt, er wil nog wel eens wat doorheen glippen. McAfee is inderdaad goed (hoewel de meningen daar de laatste jaren ook weer over verschillen) maar kost centjes , AVG is (nog) gratis.

 

BCMSMMSG.exe zal dan de driver zijn van het telefoonmodem, die ook niet wordt gebruikt. Kan er dus uit.

 

Acrobat 5.0 had ik overheen gekeken, kan er dus ook uit.

 

Ik gebruik twee printers, dus dat klopt inderdaad wel. De C44 plus C46.

 

Winamp er ook maar even uitgekiept

 

Ik heb overigens geen problemen om het register aan te passen, zolang je maar weet hoe en wat, maar het is al even geleden, dus de grijze massa laat me even in de steek Ik ga er in ieder geval mee verder.

 

Een mooi forum voor het gebruik van HijackThis is:

 

http://www.hijackthis.nl/

14 december 2005 bewerkt door Team Firefox

[Jurgen & Co]

Ik ben er nu achter dat mijn probleem te maken heeft met OEPS!!!!. Op het moment dat ik dit programma heb draaien onstaan de problemen dat ik bepaalde site's niet meer bezoeken kan. Ik heb de firewall weer ingesteld op standaard en OEPS!!!! opnieuw geinstalleerd. Nu maar eens kijken wat het resultaat hier van is.