pest---> spyware quake [Archief]

Volledige versie bekijken : pest---> spyware quake

Praga Khan

26 March 2006, 09:39

Krijg hem er met niets af is er zo eentje dat zich voordoet als spyware remover maar is gewoon een pest met pop up scherm en een taakbalk-icon zal een HJ-this logje plaatsen ook maar zels bij verwijdering daar komt ie na een tijdje terug. zels na mapverwijdering in program files vuilbak dan zoeken naar left-overs ook deleten regclean komt ie steeds terug MAW een hardnekkig baasje
Nog mensen aanvaring gehad met deze pest?? Hij is voorbij MC Affee geslopen want ik hem hem in ieder geval geen toestemming gegeven ga terug naar zone alarm denk ik

http://www.ivanhoejupiler.be/showthread.php?p=189675#post189675

zomaar

26 March 2006, 13:08

http://www.symantec.com/avcenter/venc/data/trojan.zlob.html

When Trojan.Zlob is executed, it performs the following actions:

1.Copies itself as %System%\msmsgs.exe.
Note: %System% is a variable that refers to the System folder. By default this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).

2.Adds the following value:
"Shell" = "Explorer.exe, msmsgs.exe"
to the registry subkey:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
so that the Trojan runs every time Windows starts.

3.Creates the following value:
"MSN Messenger" = "%System%\msmsgs.exe"
to the registry subkey:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
so that the Trojan runs every time Windows starts.

4.Adds the following value:
"uuid" = "[random characters]"
to the registry subkey:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion

5.Adds the following value:
"notepad.exe" = "msmsgs.exe"
to the registry key
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\policies\explorer\Run
so that the Trojan runs when Notepad is opened.

6.Injects itself into the explorer.exe process.

7.Attempts to make HTTP connections to the following domains using different URLs, which allow the Trojan to ping, report it's status, and execute remote files:
vnp7s.net
zxserv0.com
dumpserv.com

succes

cruwero

26 March 2006, 13:56

Al in veilige modus geprobeerd:
Henk

jurgenv

26 March 2006, 14:02

probleem wordt ondertussen opgelost bij de hijackthis logs ;)

Praga Khan

27 March 2006, 17:57

Mag gesloten worden

Praga Khan

13 April 2006, 10:59

slotje