Toon posts:

[SdBot] taakbeheer en regedit blijven afsluiten *

Pagina: 1
Acties:
  • 157 views sinds 30-01-2008
  • Reageer

woensdag 31 maart 2004 22:29

Acties:
  • 0 Henk 'm!
  • Queal
  • Registratie: Augustus 2003
  • Laatst online: 27-02 19:20

Queal

Topicstarter
ik heb al gezocht, maar dit is totaal nieuw voor mij.

ik was gewoon een spelletje aan het spelen (gunbound, misschien wel bekend) en ineens wordt het geminimaliseerd en krijg ik nog net te zien dat er een ms-dos schermpje op-popte, maar ik kon niet zien OF er wat in stond... volgens mij was het leeg. ging allemaal in een fractie van een sec.

dus ik kijken wat dat is, ik taakbeheer starten, sluit taakbeheer METEEN weer af. ik nog paar keer geprobeerd, taakbeheer sloot meteen weer af. als ik ctrl+alt+del ingedrukt houdt, kan ik wel zien dat er iets van winfrwll.exe loopt. dit ken ik niet en het lijkt mij dat dit voor windowsfirewall moet staan, maar ik heb helemaal geen firewall. al helemaal geen softwarematige in windows.

dus ik denk, ff opnieuw opstarten, maar eerst die winfrwll.exe verwijderen zodat ie niet opstart als ik reboot. regedit runnen... sluit ook meteen weer af!

is dit een nieuw virus ofzo wat best aggressief is en zich niet laat afsluiten? ik weet geen andere manier om het af te sluiten namelijk.

als ik op winfrwll.exe zoek krijg ik deze resultaten:

WINFRWLL.EXE-2620CF58.pf -- C:\Windows\Prefetch -- 18Kb -- gewijzigd vandaag om 22:03
winfrwll.exe -- C:\Windows\system32 -- 59Kb -- gewijzigd vandaag om 22:03

kan iemand alsjeblieft helpen? ik heb geen idee wat ik hiermee aanmoet! ik heb een groot vermoeden dat dit een virus betreft. het sluit taakbeheer en regedit af en er is ineens een progje wat ik niet ken en dat progje bevind zich in de system32 map. dit is 99% van de gevallen toch wel foute boel.

edit: ik zie het progje (winfrwll.exe) er nu ineens 2 keer instaan (bij taakbeheer)
eentje gebruik 5 kB geheugen, de ander 3kB.
mijn virusscanner ziet niks! en hij is vandaag nog ge-update (Pc-cillin 2002)

[ Voor 7% gewijzigd door Queal op 31-03-2004 22:33 ]

woensdag 31 maart 2004 22:31

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Kan je die WINFRWLL.EXE eens mailen naar mijn adres (zie profile)?

Google levert niks op, op die naam, dus het zal wel een random generated file zijn.

Draai je overigens zelf ook een virusscanner (en zo ja, is die uptodate)? Vond die niks?

Virussen? Scan ze hier!

woensdag 31 maart 2004 22:31

Acties:
  • 0 Henk 'm!

Anoniem: 55140

Zou je die file eens kunnen sturen? Zie sig voor mailadressen. :)
De versie uit C:\Windows\system32 svp.

En het klinkt idd als malware.

woensdag 31 maart 2004 22:34

Acties:
  • 0 Henk 'm!
  • Queal
  • Registratie: Augustus 2003
  • Laatst online: 27-02 19:20

Queal

Topicstarter
ik had ook al gezocht op google en hij vindt helemaal niks.

ik stuur het wel even via mail, komt ie aan!

PC-cillin update vanmiddag nog, dus ik neem aan dat dat goed zit.

btw, wat is malware?

woensdag 31 maart 2004 22:35

Acties:
  • 0 Henk 'm!

Anoniem: 55140

Malware is de verzamelnaam van virussen, trojans, backdoors en dergelijke. :)

woensdag 31 maart 2004 22:36

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Anoniem: 55140 schreef op 31 maart 2004 @ 22:35:
Malware is de verzamelnaam van virussen, trojans, backdoors en dergelijke. :)
Valt Spyware/Adware overigens ook onder de noemer malware?

(Beetje offtopic, ik weet het ;))

Virussen? Scan ze hier!

woensdag 31 maart 2004 22:37

Acties:
  • 0 Henk 'm!

Anoniem: 6894

Kijk ook eens in je register:

hklm\software\microsoft\windows\currentversion\run

staat ie daar ook? weggooien dan!

woensdag 31 maart 2004 22:39

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Anoniem: 6894 schreef op 31 maart 2004 @ 22:37:
Kijk ook eens in je register:

hklm\software\microsoft\windows\currentversion\run

staat ie daar ook? weggooien dan!
Euh... niet echt handig, als je niet weet wat het ding doet. Als hij de deletion van die key ziet, kon het virus wel eens heel wat nare dingen doen (files deleten etc)...

Je moet eerst duidelijk krijgen wat het virus doet, voor je dingen zomaar gaat deleten.

Virussen? Scan ze hier!

woensdag 31 maart 2004 22:42

Acties:
  • 0 Henk 'm!

Anoniem: 6894

wildhagen schreef op 31 maart 2004 @ 22:39:
[...]


Euh... niet echt handig, als je niet weet wat het ding doet. Als hij de deletion van die key ziet, kon het virus wel eens heel wat nare dingen doen (files deleten etc)...

Je moet eerst duidelijk krijgen wat het virus doet, voor je dingen zomaar gaat deleten.
Dat heeft mij iig nog nooit tegengehouden.... maar verwijder die exe dan s... kun je kijken of ie trugkomt.

woensdag 31 maart 2004 22:44

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

McAfee Virusscan Enterprise 7.1 met engine 4.3.20 en DAT 4346 flagged hem zo:
Attachment file : winfrwll.exe
Scanner Detected: W32/Sdbot.worm.gen
Action taken : Moved...
Meer info: http://vil.nai.com/vil/content/v_100454.htm

[ Voor 14% gewijzigd door wildhagen op 31-03-2004 22:45 ]

Virussen? Scan ze hier!

woensdag 31 maart 2004 22:45

Acties:
  • 0 Henk 'm!
  • Queal
  • Registratie: Augustus 2003
  • Laatst online: 27-02 19:20

Queal

Topicstarter
Anoniem: 6894 schreef op 31 maart 2004 @ 22:42:
[...]


Dat heeft mij iig nog nooit tegengehouden.... maar verwijder die exe dan s... kun je kijken of ie trugkomt.
punt 1: ik kan het register niet in!
taakbeheer EN regedit (das om het register te bekijken :P) worden meteen afgesloten als ik ze start.
punt 2: ik verwijder dat ook nooit zomaar uit het register... alleen als mijn VS iets heeft verwijderd check ik het register er nog op na en verwijder ik alle keys daar
punt 3: ik kan de .exe niet verwijderen uit de system32 map

punt 4: ik heb het bestandje gestuurd, hoop snel iets te horen. alvast bedankt!

woensdag 31 maart 2004 22:46

Acties:
  • 0 Henk 'm!

Anoniem: 55140

_Niet_ zomaar iets verwijderen..

Spyware en co. valt ook onder de noemer malware wildhagen.

Het idee van iets passwordprotected submitten, is dat je dat ook daadwerkelijk doet. :P
Technische informatie van de virus-scanner:
Kaspersky: winfrwll.exe INFECTED Backdoor.IRCBot.gen

woensdag 31 maart 2004 22:46

Acties:
  • 0 Henk 'm!
  • Queal
  • Registratie: Augustus 2003
  • Laatst online: 27-02 19:20

Queal

Topicstarter
wildhagen schreef op 31 maart 2004 @ 22:44:
McAfee Virusscan Enterprise 7.1 met engine 4.3.20 en DAT 4346 flagged hem zo:


[...]


Meer info: http://vil.nai.com/vil/content/v_100454.htm
THX!

*cough* tijd voor nieuwe virusscanner *cough*

zaterdag 3 april 2004 16:04

Acties:
  • 0 Henk 'm!
  • DopdeDouwer
  • Registratie: Januari 2004
  • Niet online

DopdeDouwer

Roffel

k heb dus t zelfde probleem, alleeen virus scanners kunnen niets vinden zowel online als gewoon de nieuwste updates

Ook adaware vind niets.
ps aan de ps misschien kan je wat uithalen in veilige modus, dit heb ik nl wel geprobeerd en dan werkt taakbeheer wel (regedit heb ik niet geprobeerd)
net een nieuwe live update gedaan (2 dagen nieuwer kijken wat dit oplevert)

[ Voor 12% gewijzigd door DopdeDouwer op 03-04-2004 16:04 ]

zaterdag 3 april 2004 16:05

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

DopdeDouwer schreef op 03 april 2004 @ 16:04:
k heb dus t zelfde probleem, alleeen virus scanners kunnen niets vinden zowel online als gewoon de nieuwste updates
Kan je je HijackThis log eens posten (in code-tags)?

Virussen? Scan ze hier!

zaterdag 3 april 2004 16:37

Acties:
  • 0 Henk 'm!
  • DopdeDouwer
  • Registratie: Januari 2004
  • Niet online

DopdeDouwer

Roffel

wildhagen schreef op 03 april 2004 @ 16:05:
[...]


Kan je je HijackThis log eens posten (in code-tags)?
Ik had HijackThis nog nooit gebruikt, ff geprobeerd en zag een aantal "searchbar" dingen staan in het begin van de lijst deze heb ik dus meteen verwijderd.

verder is de nieuwe update van de virus scanner bezig en heeft tot nu toe 1nieuw item gevonden...

bedoel je met log, de hele lijst met uitkomsten die je na "scan" krijgt? (k heb t pas net voor de eerste keer geinstalleerd dus weet niet helemaal hoe en wat)

zaterdag 3 april 2004 16:43

Acties:
  • 0 Henk 'm!
  • danslo
  • Registratie: Januari 2003
  • Laatst online: 21:53

danslo

Als je regedit.exe / msconfig.exe / taskmgr.exe kopieert naar je bureaublad, renamed naar bijvoorbeeld: regedit2.exe, worden ze niet meer gesloten. Als je dan taskmgr2.exe opent, hem daar quit, bij msconfig2.exe hem uit je opstarten tab haalt, en bij regedit2.exe alle keys removed die met die exe bevatten, en ook nog eens de file uit je system32 folder haalt, moet je disinfected zijn. Dan ga je eens een Administrator wachtwoord instellen want ik vermoed dat dit dameware/netbios is. Die SDBot irc botjes verspreiden zich namelijk vanzelf waardoor er DDoS attacks kunnen worden uitgevoerd.

En ja, ik weet er zoveel van omdat ik in mn duistere verleden (:+) met die dingen gewerkt heb.

edit: en natuurlijk een up 2 date virusscanner er over heen halen voor de zekerheid.

[ Voor 7% gewijzigd door danslo op 03-04-2004 16:44 ]

zaterdag 3 april 2004 16:53

Acties:
  • 0 Henk 'm!

Anoniem: 55140

Ik zou toch liever eerst een processlist willen zien, met eventuele files..
Het zomaar verwijderen van regentries bevalt bepaalde backdoors niet, waardoor ze wel eens een zeer nasty payload kunnen droppen.(Denk aan dataloss)

Heb een(wat late)titeledit doorgevoerd btw. :P

zaterdag 3 april 2004 17:46

Acties:
  • 0 Henk 'm!
  • DopdeDouwer
  • Registratie: Januari 2004
  • Niet online

DopdeDouwer

Roffel

hier een jpg van mn taakbeheer (op de manier hier boven gedaan), taskmgrX.

Afbeeldingslocatie: http://home.planet.nl/~dobbe178/internet/taak.JPG

Volgens mij is zowiezo dat windowsupdater fake, en dat svchost er een zoveel keer instaat bevalt me ook niet zo...

de virus scanner heeft er wel 2 risico files uitgehaald en gedelete
3-30-22[1].exe (adware.Riomoi)
nlvg.exe (adware.Riomoi)
maar dit lost het probleem nog steeds niet op :(

zaterdag 3 april 2004 17:54

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

DopdeDouwer: Aan dit screenshot hebben we wel iets, maar een HijackThis log (idd, wat je na Scan krijgt), zeg meer.

Svchost.exe KAN meerdere draaien, volstrekt legaal, hoeft niet per sé zo te zijn.

Wat is dat taskmgrX.exe voor iets? Zeer zeker niet standaard Windows, en Google geeft niet één hit.

WindowsUpdate.exe klinkt idd ook erg verdacht....

Zou je deze twee files gezipped naar mij kunnen mailen (adres: zie profile)?

Jusched.exe, ken je dat? Mij zegt het niets (niet per sé verdacht uiteraard).

Virussen? Scan ze hier!

zaterdag 3 april 2004 17:58

Acties:
  • 0 Henk 'm!

Anoniem: 55140

Jusched.exe, ken je dat? Mij zegt het niets (niet per sé verdacht uiteraard).
Zeer waarschijnlijk related to Sun's Java gedoe.

Dat display.dll daar zo tussenstaat, kan me de laatste keer dat ik dat heb gezien eigenlijk niet heugen..
Maw: waar is die goed voor?

Ik zou taskmgrX.exe en windowsupdate.exe ook erg graag willen zien, zie sig voor mail. :)

[ Voor 2% gewijzigd door Anoniem: 55140 op 03-04-2004 18:05 . Reden: scheel ]

zaterdag 3 april 2004 18:03

Acties:
  • 0 Henk 'm!
  • danslo
  • Registratie: Januari 2003
  • Laatst online: 21:53

danslo

Anoniem: 55140 schreef op 03 april 2004 @ 17:58:
[...]

Zeer waarschijnlijk related to Sun's Java gedoe.

Dat display.dll daar zo tussenstaat, kan me de laatste keer dat ik dat heb gezien eigenlijk niet heugen..
Maw: waar is die goed voor?

Ik zou taskmgrX.exe en windowsupdate.exe ook erg graag willen zien, zie sig voor mail. :)
Lol schouw, als je mijn post leest, is dit taskmgr.exe die naar z'n bureaublad gecopied is, en dan gerenamed waardoor hij door sdbot niet geexit wordt.. I presume?
hier een jpg van mn taakbeheer (op de manier hier boven gedaan), taskmgrX.
mijn manier dus.

(via msn duidelijk dat hij de eerste regel niet had gelezen :P)

[ Voor 19% gewijzigd door danslo op 03-04-2004 18:05 ]

zaterdag 3 april 2004 18:11

Acties:
  • 0 Henk 'm!
  • DopdeDouwer
  • Registratie: Januari 2004
  • Niet online

DopdeDouwer

Roffel

log van hijackthis

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102

Logfile of HijackThis v1.97.7
Scan saved at 18:02:54, on 3-4-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\qttask.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Motherboard Monitor 5\MBM5.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\Program Files\Motherboard Monitor 5\DLL\display.dll
C:\WINDOWS\System32\svchost.exe
C:\Program Files\KillaFing3\KillaFing3.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Robbert Dobbelaere\Bureaublad\taskmgrX.exe
C:\Downloads\nieuwe downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7C0D0F1A-AA1F-4F43-94EC-3F88651C8C7F}} - (no file)
O2 - BHO: (no name) - {7C0D0F1A-AA1F-4F43-94EC-3F88651C8C7F} - C:\Program Files\KillaFing3\KillaFing3.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [System-Service] C:\WINDOWS\SYSTEM\EXPLORER.SCR
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install                                                    ?????
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe                                                                                             ???????
O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [Winsock2 driver] WINDOWSUPDATE.EXE                           ??????
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\RunServices: [CMD] cmd32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [Winsock2 driver] WINDOWSUPDATE.EXE                                   ????????
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=www.viewpoint.com
O16 - DPF: {072D3F2E-5FB6-11D3-B461-00C04FA35A21} (CFForm Runtime) - http://www.activehippo.com/CFIDE/classes/CFJava.cab
O16 - DPF: {1059D2E2-EA3E-11D5-AF3C-0060085C9531} (CAX Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/TerraExplorer/Install/TEInstallPlugIn.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020323/qtinstall.info.apple.com/qt505/us/win/QuickTimeInstaller.exe
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/ProductUpdates/content/opuc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/7d90ae05585062/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Program Files\AutoCAD 2002\AcDcToday.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38079.5152199074
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Program Files\AutoCAD 2002\InstBanr.ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Program Files\AutoCAD 2002\InstFred.ocx
O16 - DPF: {D27CDB6E-AE6D-0000-0000-000000000000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://www.p3.postbank.nl/GTO/PBGNX.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.roings.com/cabs/crack.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Program Files\AutoCAD 2002\AcPreview.ocx
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
O16 - DPF: {FEC3E5A3-50F7-4B0C-97D8-01CF69DFBFC7} (Measurement Service Client) - http://ccon.madonion.com/global/msc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CB8108E-5EC9-429B-9C7C-DF0268243F25}: NameServer = 195.121.1.34,195.121.1.66


ik heb er dus al mn vraagtekens bijgezet :D taskmgrX is de gekopieerde taskmanager die ik zelf hernoemd heb, enige manier om m te gebruiken.
mails komen ;)

zaterdag 3 april 2004 18:14

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

euh...

code:
1

O4 - HKLM\..\Run: [System-Service] C:\WINDOWS\SYSTEM\EXPLORER.SCR


Die hoort daar niet, die mag je me ook even mailen als je wilt?

En hetzelfde geld voor deze:

code:
1

O4 - HKLM\..\RunServices: [CMD] cmd32.exe

Virussen? Scan ze hier!

zaterdag 3 april 2004 18:14

Acties:
  • 0 Henk 'm!

Anoniem: 55140

http://cabs.roings.com/cabs/crack.cab
Dat is een trojan afaik.(link down)

[code]HKCU\..\RunOnce: [Winsock2 driver] WINDOWSUPDATE.EXE
O4 - HKLM\..\RunServices: 
 cmd32.exe 
O4 - HKLM\..\Run: [System-Service] C:\WINDOWS\SYSTEM\EXPLORER.SCR

Dit is allemaal malware, ik zou graag van alle files een sample willen zien. :)

zaterdag 3 april 2004 18:39

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Dit zegt McAfee Enterprise 7.5 (Beta), DAT 4346, engine 4.3.20:

Attachment file : WindowsUpdate.exe\WINDOWSUPDATE.EXE
Scanner Detected: W32/Spybot.worm.gen.a (Virus)
Action taken : Moved

Meer info: http://vil.nai.com/vil/content/v_100282.htm

[ Voor 14% gewijzigd door wildhagen op 03-04-2004 18:42 ]

Virussen? Scan ze hier!

zaterdag 3 april 2004 18:42

Acties:
  • 0 Henk 'm!

Anoniem: 55140

TS: Heb je nog niets naar me gestuurd of naar m'n "password protected malware" adres gestuurd zonder te passwordprotecten?
Als je niet pwp, dan komt het niet door op dat adres, daarom staat het andere er ook bij. :)

zaterdag 3 april 2004 19:19

Acties:
  • 0 Henk 'm!

Anoniem: 55140

code:
1
2
3

\WindowsUpdate.ex   packed  Yoda    18:57:50
\WindowsUpdate.ex   is a network worm Worm.P2P.SpyBot.gen   18:57:50
\WindowsUpdate.ex   object could not be disinfected, execution interrupted by user  18:57:51

Het is de bedoeling dat je via het forum je vragen stelt en niet via mail. :P
hierbij alles bestanden die ik dus had
C:\WINDOWS\SYSTEM\EXPLORER.SCR kon ik dus niet vinden dit heb ik misschien al eerder verwijderd, misschien dat alleen de link ernaar nog bestond? Het zelfde geld voor CMD32.EXE
Staat "show hidden files" etc wel aan?
Display.dll is een onderdeel van MBM5 (motherboard monitor)
Ah ok. :)
ps kan het kwaad om die code lang te laten staan? Ik zag nl ook dat er iets van girotel stond of is dit alleen lokatie van een cookie oid?
Dat is iets wat je gedownload hebt ervoor, kan geen kwaad om te laten staan. :)
nog een vraagje wat is de map C:\WINDOWS\Prefetch ?? hier staan een hoop van de foute dingetjes in alleen dan als "PF-bestand"
Die prefetch directorie/files zorgen ervoor dat bestanden sneller geladen kunnen worden.

zaterdag 3 april 2004 21:24

Acties:
  • 0 Henk 'm!
  • DopdeDouwer
  • Registratie: Januari 2004
  • Niet online

DopdeDouwer

Roffel

nav jullie scans heb ik ook maar ff McAfee enterprice 7.1 geprobeerd en er werden zomaar nog ff 10 virussen uitgevist. Vind ik toch wel erg slecht van norton antivirus 2004 :( .
nog ff voor t nageslacht de virussen die ik eruit heb gehaald
W32/Duster.bat
W32/Spybot.worm.gen.a
Multidropper-JE

ze zaten vooral in bestanden WindowsUpdate en autoexec.bat<-- zat in documents & settings

Na opstarten zijn de kuren verdwenen _/-\o_
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq