msn virus

[Afwezig]

Heej,

Hoe weet ik of ik besmet ben met het http://www.hi5photo.net/images.php?=...es@hotmail.com - virus? Deze link wordt toegestuurd door mensen uit je msn.

Toen ik op de link klikte opende de pagina zich niet. (firefox)
En voor zo ver ik weet heeft zich niets zonder mijn toestemming geinstalleerd.

Hoe weet ik of mn pc geinfecteerd is.
Mn virusscanner heeft ook nog niets gemeld.

Groeten,
- Afwezig.

[freyk]

Lang leve firefox en andere non-internet explorer browsers!

Post toch ff voor de zekerheid een logje dat je met hijackthis kan maken.

[Afwezig]

Oke dan. Hier heb je het logje.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:35:26, on 27-1-2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Common Files\PFShared\UmxCfg.exe
D:\Program Files\Tiny Firewall Pro\UmxFwHlp.exe
C:\Program Files\Common Files\PFShared\UmxPol.exe
D:\Program Files\Tiny Firewall Pro\UmxAgent.exe
D:\Program Files\Tiny Firewall Pro\UmxTray.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\windows\system32\crypserv.exe
D:\Program Files\Eset NOD32\nod32krn.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Cyberlink\Shared files\RichVideo.exe
C:\windows\system32\svchost.exe
C:\Program Files\Common Files\PFShared\umxlu.exe
C:\windows\Explorer.EXE
C:\windows\system32\wscntfy.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
D:\Program Files\Eset NOD32\nod32kui.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\MSN Messenger\usnsvc.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\Winamp\winamp.exe
C:\windows\regedit.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset NOD32\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Program Files\DAEMON Tools Lite\daemon.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - https://asp.photoprintit.de/microsit...SUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC237B38-EE3C-4FDA-913C-605792E7A693}: NameServer = 192.168.2.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\windows\SYSTEM32\crypserv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset NOD32\nod32krn.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\windows\system32\pr2ah4nc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: FW Event Manager (UmxAgent) - Computer Associates International, Inc. - D:\Program Files\Tiny Firewall Pro\UmxAgent.exe
O23 - Service: FW Configuration Interpreter (UmxCfg) - Computer Associates International, Inc. - C:\Program Files\Common Files\PFShared\UmxCfg.exe
O23 - Service: FW User-Mode Helper (UmxFwHlp) - Computer Associates International, Inc. - D:\Program Files\Tiny Firewall Pro\UmxFwHlp.exe
O23 - Service: FW Live Update (UmxLU) - Computer Associates International, Inc. - C:\Program Files\Common Files\PFShared\umxlu.exe
O23 - Service: FW Policy Manager (UmxPol) - Computer Associates International, Inc. - C:\Program Files\Common Files\PFShared\UmxPol.exe

--
End of file - 5970 bytes

[Afwezig]

ziet iemand iets raars in de logfile?
Ik niet in iedergeval.

[M@rco]

Ziet er schoon uit

[TopDrop]

Dat soort links zijn vaak dubieus. Een domeinnaam die impliceert dat het om een imagehosting site gaat, en vervolgens een php met een attribute zodat het lijkt alsof het een plaatje is (vb: pagina.php?=image.jpg).

Ik krijg dat soort links ook weleens, vaak met begeleidend tekstje van 'hi is this you on this pic?!' of 'i want to post this on myspace, do you think i look cute?!1' En dan weet je het wel weer.

[Afwezig]

Citaat:

TopDrop schreef:

Dat soort links zijn vaak dubieus. Een domeinnaam die impliceert dat het om een imagehosting site gaat, en vervolgens een php met een attribute zodat het lijkt alsof het een plaatje is (vb: pagina.php?=image.jpg).

Ik krijg dat soort links ook weleens, vaak met begeleidend tekstje van 'hi is this you on this pic?!' of 'i want to post this on myspace, do you think i look cute?!1' En dan weet je het wel weer.

Ja inderdaad, ik weet wat voor spul het is.
Ik let er ook altijd op en dit is niet de eerste keer dat zo iets gebeurd.
Maar gister had ik wat haast en was ik druk met dingen bezig en zonder te lezen (stom) klik ik op die link!

Maar het was wel via Firefox. De pagina opende zich niet en daarna heb ik em meteen weggeklikt. Grote kans dat Firefox em heeft tegen gehouden?

Voor de rest staat NOD32 anti-virus altijd aan (en altijd up to date). Mn firewall is Tiny Firewall. Ik heb voor de rest nergens last van gehad of wat dan ook. Denken jullie dat ik geinfecteerd ben of niet? Ik denk het haast niet toch?

Groeten,
- Afwezig.

[freyk]

Ik weet het bijna zeker dat je niet geinfecteerd bent, want:

• In het logje, dat je maakte na je "besmetting", staat geen vreemde dingen.
• Ik aanneem dat deze malwaresite weer alleen is geschreven voor (gevonden) fouten van internet explorer.
• En dat firefox de standaard browser ( voor jou firefox) de url's opend en er niet zoveel mee doet
• ik hoop voor je dat je firewall zo ingesteld staat, wanneer een vreemde applicatie het net op wil dat de firewall daarvoor eerst toestemming vraagt. En jij daar wel goed op gereageerd hebt.
  (* kent tinye personal firewall niet *)

[Afwezig]

Citaat:

freyk schreef:

Ik weet het bijna zeker dat je niet geinfecteerd bent, want:

• In het logje, dat je maakte na je "besmetting", staat geen vreemde dingen.
• Ik aanneem dat deze malwaresite weer alleen is geschreven voor (gevonden) fouten van internet explorer.
• En dat firefox de standaard browser ( voor jou firefox) de url's opend en er niet zoveel mee doet
• ik hoop voor je dat je firewall zo ingesteld staat, wanneer een vreemde applicatie het net op wil dat de firewall daarvoor eerst toestemming vraagt. En jij daar wel goed op gereageerd hebt.
  (* kent tinye personal firewall niet *)

Aah zo.

Mijn firewall staat zo ingesteld dat elk programma wel of geen toestemming van mij heeft gekregen om het internet te betreden. Dus als er iets nieuws is geinstalleerd moet het het eerst via mij om toestemming te krijgen om het internet te betreden.

Citaat:

Afwezig schreef:

Ja inderdaad, ik weet wat voor spul het is.
Ik let er ook altijd op en dit is niet de eerste keer dat zo iets gebeurd.
Maar gister had ik wat haast en was ik druk met dingen bezig en zonder te lezen (stom) klik ik op die link!

Maar het was wel via Firefox. De pagina opende zich niet en daarna heb ik em meteen weggeklikt. Grote kans dat Firefox em heeft tegen gehouden?

Voor de rest staat NOD32 anti-virus altijd aan (en altijd up to date). Mn firewall is Tiny Firewall. Ik heb voor de rest nergens last van gehad of wat dan ook. Denken jullie dat ik geinfecteerd ben of niet? Ik denk het haast niet toch?

Groeten,
- Afwezig.

Ik heb zo'n2 maanden inderdaad dezelfde soort link gehad van iemand. Hoogstwaarschijnlijk dat FF's Noscript het tegenhield.
Ik heb daarna wel voor de zekerheid al mijn scanners er over heen gegooid en iemand in mijn msn gevraagd of ie toevallig rare berichten van mij kreeg (de 'persoon' van wie ik het kreeg bleef na de eerste keer linken).

Tuurlijk, altijd oppassen emt links, maar als het van iemand komt die wel vaker random spul stuurt kun je moeilijk voorbereid zijn