Nieuw virus, spyware of wat anders? - Privacy en beveiliging

zondag 30 januari 2005 19:24

Acties:

Verwijderd

Topicstarter

Heb sinds een week of zo het volgende probleem. In:

C:\Documents and Settings\User\Local Settings\Temp

staan steeds andere exe's met een random naam die het web proberen te benaderen. Zonealarm signaleert dit en ik blok ze dan. Heb divere spyware/virus scanners gerund vanuit safe mode
Spybot S&D, MS Antispyware, Antivir etc. Niet gevonden. Spyblaster, MS Antispyware en Antivir draaien natuurlijk ook resident.

De bestanden zien er zo uit en laten zich niet verwijderen, alleen bij een boot/autoexec/del ^
C:\Documents and Settings\User\Local Settings\Temp\22486.exe
C:\Documents and Settings\User\Local Settings\Temp\35721.exe
etc.

Ze zijn meestal 0, 16 of 32k groot.

Enig idee?

zondag 30 januari 2005 19:29

Acties:

Verwijderd

Je zou even met HijackThis het 1 en ander kunnen checken en eventueel je log posten (haal er zelf dan alvast wat dingen uit waarvan je zeker weet dat daar niets mee is).

zondag 30 januari 2005 20:16

Acties:

Verwijderd

Topicstarter

Zowat alles in Hijack this ken ik. Deze vind ik verdacht:

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net...in/QuickTimeInstaller.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.m...eb_site.cab?1090343134265

O17 - HKLM\System\CCS\Services\Tcpip\..\{63A3CD4F-BB1B-43C7-9FEC-8F4608320F41}: NameServer = 195.121.1.34 195.121.1.66

Dit is het hele bestand:

Logfile of HijackThis v1.99.0
Scan saved at 8:13:08 PM, on 30-Jan-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\EPSON\ESM2\eEBSVC.exe
C:\Program Files\Speed Disk\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Archive\archive.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Hidden Menu\HiddenMenu.exe
C:\Program Files\ConquerCam\ConquerCam.exe
C:\Program Files\Sony Handheld\HOTSYNC.EXE
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\2explorer\2xExplorer.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Avant Browser\avant.exe
C:\Program Files\Star Downloader\stardown.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.wijhenke.net/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuardDLBLOCK.CBrowserHelper - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Program Files\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Archive] C:\Program Files\Archive\archive.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [Hidden Menu] C:\Program Files\Hidden Menu\HiddenMenu.exe
O4 - HKCU\..\Run: [ConquerCam] C:\Program Files\ConquerCam\ConquerCam.exe /tray
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Sony Handheld\HOTSYNC.EXE
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Startup: Mxstream USB.lnk = ?
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\Sony Handheld\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Mxstream USB.lnk = ?
O4 - Global Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O8 - Extra context menu item: &ieSpell Options - res://C:\Program Files\ieSpell\iespell.dll/SPELLOPTION.HTM
O8 - Extra context menu item: Add to AD Black List - C:\Program Files\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Block All Images from the Same Server - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Check &Spelling - res://C:\Program Files\ieSpell\iespell.dll/SPELLCHECK.HTM
O8 - Extra context menu item: Convert for CLIÉ - C:\Program Files\Sony\Image Converter\menu.htm
O8 - Extra context menu item: Download all by Net Transport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Download by Net Transport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Download with Star Downloader - C:\Program Files\Star Downloader\sdie.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Highlight - C:\Program Files\Avant Browser\Highlight.htm
O8 - Extra context menu item: Open All Links in This Page... - C:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Search - C:\Program Files\Avant Browser\Search.htm
O9 - Extra button: ieSpell - {0E17D5B7-9F5D-4fee-9DF6-CA6EE38B68A8} - C:\Program Files\ieSpell\iespell.dll
O9 - Extra 'Tools' menuitem: ieSpell - {0E17D5B7-9F5D-4fee-9DF6-CA6EE38B68A8} - C:\Program Files\ieSpell\iespell.dll
O9 - Extra button: (no name) - {1606D6F9-9D3B-4aea-A025-ED5B2FD488E7} - C:\Program Files\ieSpell\iespell.dll
O9 - Extra 'Tools' menuitem: ieSpell Options - {1606D6F9-9D3B-4aea-A025-ED5B2FD488E7} - C:\Program Files\ieSpell\iespell.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net...in/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.m...eb_site.cab?1090343134265
O16 - DPF: {99B6E512-3893-4155-9964-8EB8E06099CB} (WebSpyWareKiller Class) - http://download.zonelabs....pywaredetector/WebSWK.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{63A3CD4F-BB1B-43C7-9FEC-8F4608320F41}: NameServer = 195.121.1.34 195.121.1.66
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: EpsonBidirectionalService - Unknown - C:\Program Files\EPSON\ESM2\eEBSVC.exe
O23 - Service: Sandra Data Service - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Professional 2005\RpcDataSrv.exe
O23 - Service: Sandra Service - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Professional 2005\RpcSandraSrv.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\Program Files\Speed Disk\nopdb.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

zondag 30 januari 2005 20:18

Acties:

dreeke

outdated icon

Verwijderd schreef op zondag 30 januari 2005 @ 20:16:
Zowat alles in Hijack this ken ik. Deze vind ik verdacht:

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net...in/QuickTimeInstaller.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.m...eb_site.cab?1090343134265

Bovenste is QuickTime
Andere is WindowsUpdate

Doen beide weinig kwaad

Bij gebrek aan uw reclame staat hier mijn handtekening.

zondag 30 januari 2005 20:27

Acties:

Verwijderd

Topicstarter

OK, dan blijft 017 nog over, wat doet die?

En blijft de vraag waar komen die random exe's vandaan????
Echt super vaag dit, nooit eerder meegemaakt of gezien.

zondag 30 januari 2005 20:30

Acties:

lSltAlKeR

Time destroys everything!

wat is dat

O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll ?

ActiveX script? Dat uit je IE gooien!

edit:
Me vermoeden word al bij de eerste hit met google bevestigd!

[ Voor 22% gewijzigd door lSltAlKeR op 30-01-2005 20:34 ]

Speedtouch freak

zondag 30 januari 2005 20:32

Acties:

pasta

Ondertitel

code:

1 2	C:\Program Files\Archive\archive.exe O4 - HKLM\..\Run: [Archive] C:\Program Files\Archive\archive.exe

Deze vertrouw ik niet zo, haal ze eens door Jotti's online malware scan.

lSltAlKeR schreef op zondag 30 januari 2005 @ 20:30:
wat is dat

O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll ?

ActiveX script? Dat uit je IE gooien!

http://computercops.biz/clsid-663.html

Verwijderd schreef op zondag 30 januari 2005 @ 20:27:
OK, dan blijft 017 nog over, wat doet die?

En blijft de vraag waar komen die random exe's vandaan????
Echt super vaag dit, nooit eerder meegemaakt of gezien.

Probeer eens een tracert op die ip's. Ze kunnen bijv. van je ISP zijn.

Ze resolven iig naar ns1.wxs.nl en ns2.wxs.nl

[ Voor 69% gewijzigd door pasta op 30-01-2005 20:35 ]

Signature

zondag 30 januari 2005 20:38

Acties:

MaximumPower

Verwijderd schreef op zondag 30 januari 2005 @ 20:16:
Zowat alles in Hijack this ken ik. Deze vind ik verdacht:

Dit is het hele bestand:

Logfile of HijackThis v1.99.0
Scan saved at 8:13:08 PM, on 30-Jan-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\Program Files\Archive\archive.exe

O4 - HKLM\..\Run: [Archive] C:\Program Files\Archive\archive.exe

pasta heeft denk ik gelijk... > C:\Program Files\Archive\archive.exe < deze zou ik me ook zorgen over maken! Let op: de file staat ook in HKLM\..\Run......
zie ook: http://www3.ca.com/securi...st/pest.aspx?id=453085973 of zoek maar eens met Google naar Archive.exe. Uiteraard kan elke file wel geinfecteerd zijn maar dat er een virus/trojan op je pc aanwezig is lijkt mij zo goed als zeker.

[ Voor 12% gewijzigd door MaximumPower op 30-01-2005 20:49 ]

Minimum to the MaximumPower!

zondag 30 januari 2005 21:01

Acties:

Verwijderd

Topicstarter

OK, heb archive + dir gewist. Kon nu ook zonder probleem die xxxx.exe's wissen, waren dus niet meer in gebruik. Kijken hoelang dit goed gaat!

Alvast bedankt allemaal, super hulp.