Mededeling

Collapse
No announcement yet.

switchdialer... terug nieuwe variant

Collapse
X
Collapse
  •  
  • Page of 1
  • Filter
  • Tijd
  • Show
Clear All
new posts
Vorige template Volgende
  • #1

    switchdialer... terug nieuwe variant

    Het blijft blijkbaar niet stil rond switchdialer.

    In de laatste weken maar liefst 4 verschillende varianten:

    O4 - HKLM\..\Run: [Classes] C:\WINDOWS\system32\mstart.exe
    O4 - HKLM\..\Run: [Classes] C:\WINDOWS\SYSTEM\MSTAR2.EXE
    O4 - HKLM\..\Run: [Classes] C:\WINDOWS\system32\ativopen.exe (dit is nog een twijfelgeval, het gebruikt weliswaar dezelfde CLSID, doch een andere methode)

    en als laatste:

    O4 - HKLM\..\Run: [OpenMstart] C:\WINDOWS\System32\mcmgr32.exe

    Hier voorbeeldje.
    Last edited by [email protected]; 06-11-04, 19:07. Reden: Titel een beetje aangepast :)
    Microsoft MVP - Consumer Security
    Director of Research @ Malwarebytes
    Mijn Blog
    Labels: Geen
    • Citaat
  • #2
    Nog een nieuwe:

    O4 - HKLM\..\Run: [OpenMstart] C:\WINDOWS\system32\mmgr32.exe

    voorbeeld

    Zie ook: http://www.wilderssecurity.com/showp...1&postcount=21
    • Citaat

    Comment

    • #3
      EnterOne

      De nieuwste heet EnterOne:

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/EnterOne/Portal/portal.html
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/EnterOne/Portal/portal.html

      O4 - HKLM\..\Run: [NvCplD] C:\WINDOWS\System32\m2gr32.exe

      voorbeeld
      Last edited by Buffy; 02-12-04, 13:59. Reden: Voorbeeld toegevoegd.
      • Citaat

      Comment

      • #4
        weer een nieuwe...

        Nog steeds EnterOne, maar een ander 04-item:

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/EnterOne/Portal/portal.html
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/EnterOne/Portal/portal.html

        O4 - HKLM\..\Run: [NvCplD] C:\WINDOWS\System32\ntcpl.exe

        voorbeeld
        • Citaat

        Comment

        • #5
          extra 04-item

          Plotseling duikt een bestand genaamd C:\WINDOWS\system32\adservernow.exe steeds op bij de EnterOne hijacker:

          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/EnterOne/Portal/portal.html
          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/EnterOne/Portal/portal.html

          O4 - HKLM\..\Run: [Updater] C:\WINDOWS\system32\adservernow.exe
          O4 - HKLM\..\Run: [NvCplD] C:\WINDOWS\system32\ntcpl.exe

          voorbeeld 1
          voorbeeld 2
          voorbeeld 3
          • Citaat

          Comment

          • #6
            ntopengl.exe

            Nieuwe variant:

            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/EnterOne/Portal/portal.html
            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/EnterOne/Portal/portal.html

            O4 - HKLM\..\Run: [Updater] C:\WINNT\system32\adservernow.exe
            O4 - HKLM\..\Run: [NvCplD] C:\WINNT\system32\ntopengl.exe

            voorbeeld
            • Citaat

            Comment

            • #7
              PageOn1

              Nieuwe variant:

              R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/PageOn1/Portal/portal.html

              O4 - HKLM\..\Run: [rCron] C:\WINDOWS\System32\rcron.exe

              voorbeeld
              • Citaat

              Comment

              • #8
                dservice.exe

                R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/PageOn1/Portal/portal.html
                R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/PageOn1/Portal/portal.html

                O4 - HKLM\..\Run: [rCron] C:\WINDOWS\System32\dservice.exe

                voorbeeld
                • Citaat

                Comment

                • #9
                  vxdrun6.exe

                  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/Make125/Portal/portal.html
                  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/Make125/Portal/portal.html
                  O4 - HKLM\..\Run: [sVideo2] C:\WINDOWS\system32\vxdrun6.exe

                  Voorbeeld hier
                  Microsoft MVP - Consumer Security
                  Director of Research @ Malwarebytes
                  Mijn Blog
                  • Citaat

                  Comment

                  • #10
                    als ik binnen configuratiescherm de software open vindt ik switch, kan ik die verwijderen zodat ik van die rare sites verlost ben?Heb windows 98.
                    • Citaat

                    Comment

                    • #11
                      Ja, maar kijk eerst even of "Adservernow" ook niet toevallig tussen de geinstalleerde programma's staat. Zo ja, de-installeer die eerst even. Daarna kun je Switch ook de-installeren. In veel gevallen werkt de de-installatie en ben je verlost van de SwitchDialer
                      • Citaat

                      Comment

                      • #12
                        adservernow en switch verwijderd, bedankt.
                        • Citaat

                        Comment

                        • #13
                          Emakesv.exe

                          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/eMakeSV/Portal/portal.html

                          O4 - HKLM\..\Run: [eMakeSV] C:\WINDOWS\SYSTEM\EMAKESV.EXE

                          voorbeeld
                          • Citaat

                          Comment

                          Vorige template Volgende
                          Sorry, you are not authorized to view this page
                          Working...
                          X