• De afgelopen dagen zijn er meerdere fora waarop bestaande accounts worden overgenomen door spammers. De gebruikersnamen en wachtwoorden zijn via een hack of een lek via andere sites buitgemaakt. Via have i been pwned? kan je controleren of jouw gegeven ook zijn buitgemaakt. Wijzig bij twijfel jouw wachtwoord of schakel de twee-staps-verificatie in.

win logon hook

Status
Niet open voor verdere reacties.
lennoow

lennoow

Feyenoord
Lid geworden
28 jul 2006
Berichten
1.083
Waarderingsscore
9
ik heb heel de tijd last van deze trojan

http://http://research.spysweeper.com/search.php?
serialnumber=uy0z74ii〈=en&loc=NLD&category=Trojan%20Horse&rc=5

en voor de luie onder ons

Profile - Trojan Agent Winlogonhook

Name Trojan Agent Winlogonhook
Unique Code UY0Z74II
Type Trojan Horse
Severity Critical
Description Trojan Agent Winlogonhook is a remote access Trojan that that may allow a hacker to gain unrestricted access to your computer when you are online.

Characteristics Trojan Agent Winlogonhook may manage files on your computer, including creating, deleting, renaming, viewing, or transferring files to or from your computer. It can utilize a program manager that allows a hacker to install, execute, open, or close programs. The hacker can gain remote control of your cursor and keyboard and can even send mass e-mails from your infected computer. It can run in the background, hiding its presence.

Method of Infection Trojan Agent Winlogonhook is usually disguised as a harmless software program and is generally distributed as an e-mail attachment. Opening the attachment may cause an auto-installation process that loads the Trojan onto your computer without your knowledge or consent.

Consequences This Trojan may open a port on your computer that may enable a hacker to gain remote control of your computer. Additional Comments: It is recommended that you change all of your passwords after removing this program. If you bank online, you might consider changing your credit card and bank account numbers. You should also monitor your credit card and bank statements carefully over the next several months for signs of fraudulent activity.

hoe krijg ik dit weg want het komt steeds terug
 
Laatst bewerkt door een moderator:
Maak en post eens een HJT logje, nemen we dat eens onder de loep :)


1/ recentste versie HJT + zetten in vaste map:

* Maak eerst op een vaste plaats (bv bij "mijn documenten") een nieuwe map aan voor hijackthis en noem deze bv. HJT
* Doe rechtermuisklik op het linkje hieronder en kies voor "Doel opslaan als..." en blader naar het net aangemaakte mapje voor hijackthis en sla het daarin op
hijackthis.exe
* Ga naar deze nieuwe HJT en dubbelklik hijackthis.exe > klik "do a system scan and save a logfile"
* kopieer heel de inhoud van dat logje dat in tekstbestand aangemaakt wordt na de scan (hijackthis.log)

2/ logje laten encoderen door de HJT Color Coder

* plak dit in NaNo's HJT color coder in het grote veldje onderaan (of upload je logje dmv uploadsysteem)
http://www.niele.nl/hijackthis/index.php?v=encoder
* Klik "forum" mode aan
* klik "GO"
* selecteer het gecodeerde logje dat je te zien krijgt
* en post het in een volgende reactie mee


succes :)
 
*Kingpin* zei:
Maak en post eens een HJT logje, nemen we dat eens onder de loep :)


1/ recentste versie HJT + zetten in vaste map:

* Maak eerst op een vaste plaats (bv bij "mijn documenten") een nieuwe map aan voor hijackthis en noem deze bv. HJT
* Doe rechtermuisklik op het linkje hieronder en kies voor "Doel opslaan als..." en blader naar het net aangemaakte mapje voor hijackthis en sla het daarin op
hijackthis.exe
* Ga naar deze nieuwe HJT en dubbelklik hijackthis.exe > klik "do a system scan and save a logfile"
* kopieer heel de inhoud van dat logje dat in tekstbestand aangemaakt wordt na de scan (hijackthis.log)

2/ logje laten encoderen door de HJT Color Coder

* plak dit in NaNo's HJT color coder in het grote veldje onderaan (of upload je logje dmv uploadsysteem)
http://www.niele.nl/hijackthis/index.php?v=encoder
* Klik "forum" mode aan
* klik "GO"
* selecteer het gecodeerde logje dat je te zien krijgt
* en post het in een volgende reactie mee


succes :)
Klik om te vergroten...

sorry maar dat gaat niet meer hij heeft het begeven hij komt tot het bureablad en dan istie klaar met laden :frusty::frusty::frusty:
 
Start eens op in veilige modus met netwerkmogelijkheid
Opstarten in veilige modus bij XP = Bij opstart, nog voor het verschijnen van het windows-logo scherm met dat vooruitgangsbalkje ed.., een 2-tal keer op de toets "F8" klikken en verder de aanwijzingen onderaan op het scherm volgen: (kiezen voor "opstarten in veilige modus met netwerkmogelijkheid") totdat je op het bureaublad uitkomt dat er wel wat anders uitziet dan dat in de normale modus (geen achtergrondafb., grotere iconen, ... )
gaat het dan verder dan je bureaublad ?

Dowload dan HJT en maak en post dan een logje zoals beschreven hierboven, maar dan in de veilige modus


succes :)
 
*Kingpin* zei:
Start eens op in veilige modus met netwerkmogelijkheid
Opstarten in veilige modus bij XP = Bij opstart, nog voor het verschijnen van het windows-logo scherm met dat vooruitgangsbalkje ed.., een 2-tal keer op de toets "F8" klikken en verder de aanwijzingen onderaan op het scherm volgen: (kiezen voor "opstarten in veilige modus met netwerkmogelijkheid") totdat je op het bureaublad uitkomt dat er wel wat anders uitziet dan dat in de normale modus (geen achtergrondafb., grotere iconen, ... )
gaat het dan verder dan je bureaublad ?

Dowload dan HJT en maak en post dan een logje zoals beschreven hierboven, maar dan in de veilige modus


succes :)
Klik om te vergroten...

ik heb windows er over heen gekanlt windows opstarten via cd en dan de xp cd erin en na een klein uurtje zat ik alweer op softcity
 
[hijack]Logfile of HijackThis v1.99.1
scan saved at 10:48:27, on 4-8-2006
platform: windows xp sp2 (winnt 5.01.2600)
msie: internet explorer v6.00 sp2 (6.00.2900.2180)
browser: Mozilla Firefox
mode: forum / type: upload
coder build: 3034a

Running Processes:
c:\windows\system32\smss.exe
c:\windows\system32\winlogon.exe
c:\windows\system32\services.exe
c:\windows\system32\lsass.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\windows\system32\spoolsv.exe
c:\windows\explorer.exe
c:\progra~1\alwils~1\avast4\ashdisp.exe
c:\program files\webroot\spy sweeper\spysweeperui.exe
c:\windows\system32\ctfmon.exe
c:\program files\alwil software\avast4\aswupdsv.exe
c:\program files\alwil software\avast4\ashserv.exe
c:\windows\system32\devldr32.exe
c:\program files\executive software\diskeeper\dkservice.exe
c:\program files\webroot\spy sweeper\spysweeper.exe
c:\program files\mozilla firefox\firefox.exe
c:\program files\alwil software\avast4\ashmaisv.exe
c:\program files\alwil software\avast4\ashwebsv.exe
c:\program files\webroot\spy sweeper\ssu.exe
c:\documents and settings\<accountnaam>art\bureaublad\hijackthis.exe

(r0) - hkcu\software\microsoft\internet explorer\main,start page = http://[color=#0000ff]www.goog[/color]le.nl/
(r0) - hkcu\software\microsoft\internet explorer\toolbar,linksfoldername = koppelingen
(o4) - HKLM\..\Run: [avast!] c:\progra~1\alwils~1\avast4\ashdisp.exe
(o4) - HKLM\..\Run: [spysweeper] "c:\program files\webroot\spy sweeper\spysweeperui.exe" /startintray
(o4) - HKCU\..\Run: [ctfmon.exe] c:\windows\system32\ctfmon.exe
(o9) - extra button: messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\program files\messenger\msmsgs.exe
(o9) - extra 'tools' menuitem: windows messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\program files\messenger\msmsgs.exe
(o20) - winlogon notify: wgalogon - c:\windows\system32\wgalogon.dll
(o20) - winlogon notify: wrnotifier - c:\windows\system32\wrlogonntf.dll
(o23) - Service: avast! iavs4 control service (aswupdsv) - unknown owner - c:\program files\alwil software\avast4\aswupdsv.exe
(o23) - Service: avast! antivirus - unknown owner - c:\program files\alwil software\avast4\ashserv.exe
(o23) - Service: avast! mail scanner - unknown owner - c:\program files\alwil software\avast4\ashmaisv.exe" /service (file missing)
(o23) - Service: avast! web scanner - unknown owner - c:\program files\alwil software\avast4\ashwebsv.exe" /service (file missing)
(o23) - Service: diskeeper - executive software international, inc. - c:\program files\executive software\diskeeper\dkservice.exe
(o23) - Service: webroot spy sweeper engine (webrootspysweeperservice) - webroot software, inc. - c:\program files\webroot\spy sweeper\spysweeper.exe[/hijack]




edit: ik heb even je volledige naam die in het logje verscheen , veranderd naar <accountnaam>, kwestie van privacy :)
*kp*
 
Laatst bewerkt door een moderator:
Hoi lennoow :)


In je logje eigenlijk niets verdachts te bespeuren :unsure:

Kan je eens kijken in welke map Spysweeper dat steeds terugvindt ?
Is dat toevallig in de map "c:\system volume information" ?
Want dan gaat het om een infectie in de herstelpunte, en daar kan het niet zomaar uit gecleand worden, daarvoor even de hesrtelpunten verwijderen door systeemherstel even uit en weer aan te zetten, als het idd in de c:\system volume information map wordt aangetroffen
meer info

Als dat niet het geval is, kan je even bijvertellen waar spysweeper het aantreft ? (of post het logje mee van spysweeper)


succes :)
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan