[XP] Programma's worden meteen afgesloten - Privacy en beveiliging

zaterdag 12 maart 2005 15:47

Acties:

Verwijderd

Topicstarter

Specs

Windows XP home SP1legaal
AMD Athlon 2500+
512 MB
40 GB

Probleem

Als ik FF of IE open, dan naar google.com ga, en bijvoorbeeld symantec zoek, wordt IE of FF meteen afgesloten. Mocht het wel lukken op de resultaten te bekijken, en ik druk op een resultaat, linkt deze door naar google.com.

Ook worden sommige programma's meteen afgesloten:

• Firefox
• IE
• Windows Updates
• Taakbeheer
• Installaties van CCcleaner, Nlite, AVG

Wat heb ik gedaan

Adaware gedraaid: niets gevonden
Panda gedraaid: niets gevonden
HijackThis: niets gevonden
Bropia Removal Tool: niets gevonden

De bovenste dingen heb ik allemaal onder de gebruikersaccount in normale en veilige modus gedaan.

Ik heb met de search onder "programma's sluiten meteen af" gezocht, hier heb ik niet veel gevonden.

Ik kan natuurlijk XP opnieuw installeren, helaas heb ik geen cd van XP bij de pc van mijn broertje gekregen, ik wordt dus gedwongen om mijn XPpro cd te gebruiken. Deze is niet legaal. Dit wil ik liever niet doen.

zaterdag 12 maart 2005 15:49

Acties:

Dromer

Ik had het ook.
Download hitmanpro.
Bij de instellingen zet je dat hij op virussen moet scannen met allebei de scanners en je ziet, je bent besmet

zaterdag 12 maart 2005 19:11

Acties:

GeeMoney

Inderdaad gewoon Hitmanpro runnen en je bent er waarschijnlijk zo vanaf

zaterdag 12 maart 2005 20:33

Acties:

ZtaaB

Ik zit hier nu bij een vriend achter de pc die precies hetzelfde heeft. Ik kom alleen de site van Hitmanpro ook niet op

Heeft iemand een directe link om het daar eens mee te proberen?

Haal NOOIT een spookrijder in !

zaterdag 12 maart 2005 20:34

Acties:

LifeTecH

ZtaaB schreef op zaterdag 12 maart 2005 @ 20:33:
Ik zit hier nu bij een vriend achter de pc die precies hetzelfde heeft. Ik kom alleen de site van Hitmanpro ook niet op

Heeft iemand een directe link om het daar eens mee te proberen?

klik Dit is de directe link om hem te downloaden

zondag 13 maart 2005 10:08

Acties:

Dromer

En anders is veilige modus met netwerkondersteuning.
Zo kan het wel.

zondag 13 maart 2005 10:11

Acties:

KloyenZ

Beste,

dit is dat nieuwe msn virus wat een paar dagen geleden de ronde heeft gedaan

download deze fix en je bent der vanaf:

http://users.telenet.be/kloyenz/FixSflog.exe

code:

Once executed, W32.Serflog.A performs the following actions:


Closes Windows that contain the following strings in their titles:


ADWARE 
ALERTS 
ANTI 
AUTOSTARTED 
Avg 
BENIGN 
BLOCKER 
BUG 
BULLGUARD 
BUSTER 
CENTER 
-CILLIN 
CLEANER 
CMD 
Command 
DESTROY 
DETECTION 
DOCTOR 
EARTHLINK 
EDITOR 
ELIMINATE 
EYE 
FIGHT 
Filter 
FIREWALL 
FIX 
FIXING 
HEAL 
HELP 
HUNTER 
KERIO 
Kill 
LABS 
LIVEUPDATE 
MALWARE 
MALWHERE 
MCAFEE 
NETCOP 
NOD32 
NORTON 
PANDA 
PROMPT 
PROTECTOR 
REGISTRY 
REMOVAL 
RESTORE 
SANDBOX 
SCAN 
SECURE 
SECURITY 
SOPHOS 
SPY 
SPYBOT 
SPYWARE 
STOPPER 
SWEEPER 
TASK 
TOOL 
TREND 
Update 
VCATCH 
VIRUS 
WATCH 
WORM

Which may result in the following functions being disabled:


Registry editing programs 
Command line 
Process monitoring programs 
Task manager


Creates the following mutex so that only one instance of the worm is run on the compromised computer: 

'-F-u-c-k-'-Y-o-u-' 


Creates the following hidden copies of itself: 


%System%\formatsys.exe 
%System%\serbw.exe 
%Windir%\msmbw.exe 
%SystemDrive%\Crazy frog gets killed by train!.pif 
%SystemDrive%\Annoying crazy frog getting killed.pif 
%SystemDrive%\See my lesbian friends.pif 
%SystemDrive%\LOL that ur pic!.pif 
%SystemDrive%\My new photo!.pif 
%SystemDrive%\Me on holiday!.pif 
%SystemDrive%\The Cat And The Fan piccy.pif 
%SystemDrive%\How a Blonde Eats a Banana...pif 
%SystemDrive%\Mona Lisa Wants Her Smile Back.pif 
%SystemDrive%\Topless in Mini Skirt! lol.pif 
%SystemDrive%\Fat Elvis! lol.pif 
%SystemDrive%\Jennifer Lopez.scr 
%SystemDrive%\lspt.exe 
%UserProfile%\Local Settings\Application Data\Microsoft\CD Burning\autorun.exe 

Notes: 
%System% is a variable that refers to the System folder. By default this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP). 
%Windir% is a variable that refers to the Windows installation folder. By default, this is C:\Windows (Windows 95/98/Me/XP)or C:\Winnt (Windows NT/2000). 
%SystemDrive% is a variable that refers to the drive on which Windows is installed. By default, this is drive C. 
%UserProfile% is a variable that refers to the current user's profile folder. By default, this is C:\Documents and Settings\<Current User> (Windows NT/2000/XP).


Drops following hidden files: 


%SystemDrive%\British National Party.jpg 
%SystemDrive%\Crazy-Frog.Html 
%SystemDrive%\Message to n00b LARISSA.txt 


Opens a browser window and displays the file Crazy-Frob.Html


Displays the file Message to n00b LARISSA.txt in notepad. 


Deletes the following file, if it exists: 

%SystemDrive%\MESSAGE_TO_BROPIA.txt 


Adds the value:

"[Value]" = "[File name]" 

to the registry subkeys:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
\Explorer\Run
HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
\Explorer\Run

so that the worm is executed every time Windows starts.

Where [Value] is one of the following: 


serpe 
ltwob 
avnort 

and where [File name] is one of the following: 


%System%\formatsys.exe 
%System%\serbw.exe 
%Windir%\msmbw.exe 


Sends a copy of itself to all the contacts in MSN Messenger using one of the following file names:


Crazy frog gets killed by train!.pif 
Annoying crazy frog getting killed.pif 
See my lesbian friends.pif 
My new photo!.pif 
Me on holiday!.pif 
The Cat And The Fan piccy.pif 
How a Blonde Eats a Banana...pif 
Mona Lisa Wants Her Smile Back.pif 
Topless in Mini Skirt! lol.pif 
Fat Elvis! lol.pif 
Jennifer Lopez.scr


Copies itself to the following folders, which are used by various file-sharing applications: 


%SystemDrive%\My Shared Folder 
%UserProfile%\Shared 
%ProgramFiles%\Program Files\eMule\Incoming 

The worm copies itself to the above folders using the following file names: 


Messenger Plus! 3.50.exe 
MSN all version polygamy.exe 
MSN nudge bomb.exe 


Adds the text:

OPEN=autorun.exe

to the following file: 

%SystemDrive%\Documents and Setting\[Username]\Local Settings\Application Data\Microsoft\CD Burning\autorun.inf 


Terminates the following processes: 


apvxdwin.exe 
atupdater.exe 
aupdate.exe 
autodown.exe 
autotrace.exe 
autoupdate.exe 
avconsol.exe 
avengine.exe 
avsynmgr.exe 
avwupd32.exe 
avxquar.exe 
bawindo.exe 
blackd.exe 
ccapp.exe 
ccevtmgr.exe 
ccproxy.exe 
ccpxysvc.exe 
cfiaudit.exe 
cmd.exe 
defwatch.exe 
drwebupw.exe 
escanh95.exe 
escanhnt.exe 
firewall.exe 
frameworkservice.exe 
icssuppnt.exe 
icsupp95.exe 
luall.exe 
lucoms~1.exe 
mcagent.exe 
mcshield.exe 
mcupdate.exe 
mcvsescn.exe 
mcvsrte.exe 
mcvsshld.exe 
msconfig.exe 
msdev.exe 
navapsvc.exe 
navapw32.exe 
nisum.exe 
nopdb.exe 
nprotect.exe 
nupgrade.exe 
ollydbg.exe 
outpost.exe 
pavfires.exe 
pavproxy.exe 
pavsrv50.exe 
peid.exe 
petools.exe 
regedit.exe 
reshacker.exe 
rtvscan.exe 
rulaunch.exe 
savscan.exe 
shstat.exe 
sndsrvc.exe 
symlcsvc.exe 
taskmgr.exe 
Update.exe 
updaterui.exe 
vpupd.exe 
vshwin32.exe 
vsstat.exe 
vstskmgr.exe 
w32dasm.exe 
winhex.exe 
wscript.exe 


Adds the following text to the Hosts file to block access to various Web sites, some of which may be security-related: 

64.233.167.104 www.symantec.com 
64.233.167.104 www.sophos.com 
64.233.167.104 www.mcafee.com 
64.233.167.104 www.viruslist.com 
64.233.167.104 www.f-secure.com 
64.233.167.104 www.avp.com 
64.233.167.104 www.kaspersky.com 
64.233.167.104 www.networkassociates.com 
64.233.167.104 www.ca.com 
64.233.167.104 www.my-etrust.com 
64.233.167.104 www.nai.com 
64.233.167.104 www.trendmicro.com 
64.233.167.104 www.grisoft.com 
64.233.167.104 securityresponse.symantec.com 
64.233.167.104 symantec.com 
64.233.167.104 sophos.com 
64.233.167.104 mcafee.com 
64.233.167.104 update.symantec.com 
64.233.167.104 liveupdate.symantecliveupdate.com 
64.233.167.104 viruslist.com 
64.233.167.104 f-secure.com 
64.233.167.104 kaspersky.com 
64.233.167.104 kaspersky-labs.com 
64.233.167.104 avp.com 
64.233.167.104 nai.com 
64.233.167.104 networkassociates.com 
64.233.167.104 ca.com 
64.233.167.104 mast.mcafee.com 
64.233.167.104 my-etrust.com 
64.233.167.104 download.mcafee.com 
64.233.167.104 dispatch.mcafee.com 
64.233.167.104 secure.nai.com 
64.233.167.104 updates.symantec.com 
64.233.167.104 us.mcafee.com 
64.233.167.104 liveupdate.symantec.com 
64.233.167.104 customer.symantec.com 
64.233.167.104 rads.mcafee.com 
64.233.167.104 trendmicro.com 
64.233.167.104 grisoft.com 
64.233.167.104 sandbox.norman.no 
64.233.167.104 www.pandasoftware.com 
64.233.167.104 uk.trendmicro-europe.com 


Modifies the following values:

"DisableConfig" = "0"
"DisableSR" = "0"

in the registry key:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore

to disable System Restore.

[ Voor 96% gewijzigd door KloyenZ op 13-03-2005 10:15 ]

zondag 13 maart 2005 10:20

Acties:

sanfranjake

Computers can do that?

Overduidelijk spyware/virus, heb hier op m'n werk (helpdesk) ook al meerdere klanten gehad die er last van hadden.

Windows Operating Systems > Beveiliging & Virussen

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

zondag 13 maart 2005 16:16

Acties:

pasta

Ondertitel

Dit is sowieso nog laatst voorbij gekomen.

Misschien dat er tips in die thread staan die je kunnen helpen.

Signature

vrijdag 25 maart 2005 10:35

Acties:

Verwijderd

Ben nu twee weken aan het worstellen en krijg de rommel er niet af. Hitmanpro haalde niks uit. Heb alles wat ik op verschillende forums ben tegen gekomen geprobeert met 0 resultaat. Alles er af gegooit, XP opnieuw geinstalleerd en na twee dagen zat het er weer op. Kwam deze keer niet via msn binnen maar waarschijnlijk via Skype. Heb niks geaccepteerd wat mij werd aangeboden maar zit weer met de zelfde formatsys.exe en msmbw.exe. Snap er nu geen drol meer van.

vrijdag 25 maart 2005 19:14

Acties:

gabiballetje

geen van allen biedt oplossing bij mij

reinstalen ook al gedaan maar het komt terug

en terwijl ik altijd al virus scanners heb draaien en geheel up to date zijn en Spybot en Adware (en nog enkele) progjes heb draaien en of regelmatig laat scannen

enige andere oplossingen misschien ?

zaterdag 26 maart 2005 17:39

Acties:

Verwijderd

Ben er eindelijk van af middels FixSflog.exe file gedownload op http://securityresponse.symantec.com/avcenter/FixSflog.exe. Heb eerst van internet Norton Internet security 2005 er opgezet (niet legaal).

Alles doet het weer als een zonnetje