Virus maakt gigamap aan. - Privacy en beveiliging

dinsdag 14 juni 2005 19:44

Acties:

Verwijderd

Topicstarter

Hallo,

Ik schrijf dit, omdat ik medelijden heb met m'n vader.
Hij heeft namelijk een paar nachten achter elkaar aan de computer zitten knutselen om een zeer ellendig virus eruit te krijgen.
Misschien weten jullie er wat meer vanaf en kunnen ons helpen dit vervelende ding uitteschakelen.

De informatie:

- Als de computer opstart maakt het een map aan genaamd: C:\Uploads. (Hierin zitten zip files van allemaal 736kb groot. Met allemaal verschillende namen.)
- Als deze map wordt gedelete en de computer opnieuw wordt opgestart, wordt deze map opnieuw aangemaakt en hierdoor is de computer 5 minuten bezig met laden).
- Bij het scannen van virussen met de Housecall virusscanner van Trendmicro kwam deze worm naarvoren: "WORM_MUGLY.I"
- Het virus kwam voort uit: ISTbar.
- De op de achtergrond draaiende processen zijn: xxz , xz , 180solutions (soms)
- Wij draaien Norton Antivirus 2004 (geupdate)
- We hebben hitman - adaware - en online virusscanners laten draaien, zonder succes.
- We draaien Windows XP pro

Alvast bedankt,

Thomas

[ Voor 10% gewijzigd door Verwijderd op 14-06-2005 19:49 ]

dinsdag 14 juni 2005 19:46

Acties:

rammes

koekebakker 1e klas

welke virus scanner heb je draaien?
heb je al een online scanner gebruikt? zoals die op zdnet.nl

wat heb je zelf allemaal al geprobeerd?

[ Voor 3% gewijzigd door rammes op 14-06-2005 19:51 ]

Ik zou het doen!

dinsdag 14 juni 2005 19:48

Acties:

Verwijderd

het geheim zit erin, dat er eentje achterblijft. het originele bestand. En ookal gooi je er duizend weg, die ene is net teveel. Je moet dus op zoek naar het bronbestand. Het bestand dat je mist, als je alleen die map weg gooit.

dinsdag 14 juni 2005 19:51

Acties:

CrashOne

oOoOoOoOoOoOoOoOoOo

Wat start er allemaal op? Post eens een hijack this log.

Huur mij in als freelance SEO consultant!

dinsdag 14 juni 2005 19:53

Acties:

McKaamos

Master of the Edit-button

ook al gescand met Hitman Pro, terwijl je PC in veilige modus is gestart? (neem aan dat het om WinXP/2Kgaat)
zet Spybot - Search and Destroy er ook even op, en zorg dat Teatimer word meegeinstalleerd (kom je wel tegen tijdens de installatie)

Een betere virusscanner dan Norton is ook wel aan te raden trouwens...
Persoonlijk heb ik wel goede ervaringen met Avast Home Edition (www.avast.com). is nog gratis ook.

Iemand een Tina2 in de aanbieding?

dinsdag 14 juni 2005 19:54

Acties:

EricJH

Doorzoek het register eens adhv de bestandsnamen die je kent van virus. Dan vind je één of meer koppelingen naar één of een paar bestanden die de boel beschermen. Kijk ook eens bij de opstartlijst van MSinfo of je daar verdachte

Kijk of je die helpers onder WIndows kunt wissen. Lukt dat niet, wis ze dan als je onder DOS geboot bent.

dinsdag 14 juni 2005 19:55

Acties:

Boegie

We besiemelen mekoar

Natuurlijk had je de naam van de worm al in Google gegooid en op de 1e hit door geclicked naar 'Solution' en dit al geprobeerd?

dinsdag 14 juni 2005 20:01

Acties:

Verwijderd

Topicstarter

Ik ben niet zo snel, moet continu tussen computer wisselen, over paar minuten edit ik deze post met de hijack log.

dinsdag 14 juni 2005 20:05

Acties:

SayWhatAgain!

I dare you, I double dare you!

En ik lees ook vaak bij de oplossingen (bij Symmatec e.d.) dat je de system restore uit moet zetten.
Misschien helpt dat ook.

dinsdag 14 juni 2005 20:09

Acties:

Verwijderd

Topicstarter

Boegie schreef op dinsdag 14 juni 2005 @ 19:55:
Natuurlijk had je de naam van de worm al in Google gegooid en op de 1e hit door geclicked naar 'Solution' en dit al geprobeerd?

Als eerste gecheckt. Geen succes.

De Hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 20:04:40, on 14-6-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\CFusionMX\runtime\bin\jrunsvc.exe
C:\CFusionMX\db\slserver52\bin\swagent.exe
C:\CFusionMX\db\slserver52\bin\swstrtr.exe
C:\CFusionMX\runtime\bin\jrun.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\CFusionMX\db\slserver52\bin\swsoc.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\nl\msnappau.exe
C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\j?vaw.exe
C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\Program Files\icen\oeea.exe
C:\DOCUME~1\Albert\LOCALS~1\Temp\fWWY1vQ.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\WINDOWS\ochai.exe
C:\DOCUME~1\Albert\LOCALS~1\Temp\sidefind.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\Program Files\180searchassistant\salm.exe
C:\temp\sahagent-cdt1004.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\WINDOWS\System32\ap9h4qmo.exe
C:\program files\internet explorer\iexplore.exe
C:\Documents and Settings\Albert\Local Settings\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.nl/0SENLNL/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\salmhook.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\nl\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\nl\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Program Files\ISTbar\istbarcm.dll
O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Hot_tarts_nl] C:\Program Files\Video1\Dialers\Hot_tarts_nl\Hot_tarts_nl.exe /dontdial
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINDOWS\System32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [winupdate] C:\Program Files\winupdate\winupdate.exe /auto
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\nl\msnappau.exe"
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe"
O4 - HKLM\..\Run: [p2pnetworking] p2pnetworking.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [uqwOS] C:\WINDOWS\ochai.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [salm] c:\program files\180searchassistant\salm.exe
O4 - HKLM\..\Run: [urgz] C:\WINNT\urgz.exe
O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Zptq] C:\WINDOWS\System32\j?vaw.exe
O4 - HKCU\..\Run: [Smsc] C:\Documents and Settings\Albert\Application Data\sirw.exe
O4 - HKCU\..\Run: [Pzfnfpu] C:\WINDOWS\System32\w?crtupd.exe
O4 - HKCU\..\Run: [Wapu] C:\Program Files\uact\aidr.exe
O4 - HKCU\..\Run: [Aran] C:\Program Files\icen\oeea.exe
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15009/CTSUEng.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates...adaInc/ie/Bridge-c139.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.../MineSweeper.cab31267.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/...com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn...rStatsClient.cab31267.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/d...are/win/ActiveXPlugin.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.co.../HPGetDownloadManager.ocx
O16 - DPF: {E9348280-2D74-4933-BE25-73D946926795} (DeviceEnum Class) - http://h20270.www2.hp.com...all/hpbasicdetection3.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15010/CTPID.cab
O23 - Service: ColdFusion MX Application Server - Macromedia Inc. - C:\CFusionMX\runtime\bin\jrunsvc.exe
O23 - Service: ColdFusion MX ODBC Agent - Unknown owner - C:\CFusionMX\db\slserver52\bin\swagent.exe
O23 - Service: ColdFusion MX ODBC Server - Unknown owner - C:\CFusionMX\db\slserver52\bin\swstrtr.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

dinsdag 14 juni 2005 20:09

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Systeem restore uitzetten voor het scannen is altijd goed, anders heb je kans dat de besmette bestanden zo weer terug zijn. Maar een goede scanner kan dit toch gewoon cleanen lijkt me? Probeer eens een andere (online) scanner.

Zie ook: http://www.trendmicro.com...WORM%5FMUGLY%2EI&VSect=Sn

[ Voor 19% gewijzigd door Bor op 14-06-2005 20:11 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 14 juni 2005 20:11

Acties:

PilatuS

Bor de Wollef schreef op dinsdag 14 juni 2005 @ 20:09:
Systeem restore uitzetten voor het scannen is altijd goed, anders heb je kans dat de besmette bestanden zo weer terug zijn. Maar een goede scanner kan dit toch gewoon cleanen lijkt me? Probeer eens een andere (online) scanner.

Zie ook: http://www.trendmicro.com...WORM%5FMUGLY%2EI&VSect=Sn

zoals deze -> http://housecall.trendmicro.com/housecall/start_corp.asp

en dan snel edditen he

[ Voor 4% gewijzigd door PilatuS op 14-06-2005 20:11 ]

dinsdag 14 juni 2005 20:12

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Mcafee heeft ook auto clean tools die dit virus op zouden moeten ruimen: http://vil.nai.com/vil/content/v_131359.htm

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 14 juni 2005 20:17

Acties:

Verwijderd

Topicstarter

zoals deze -> http://housecall.trendmicro.com/housecall/start_corp.asp

en dan snel edditen he

Haalt hem er niet uit...

dinsdag 14 juni 2005 20:18

Acties:

Verwijderd

Zo zo lekker allemaal porno virussen en zooi zo te zien.
Der is iemand vies bezig geweest.

Reageer volgende keer wat meer ontopic

[ Voor 21% gewijzigd door pasta op 14-06-2005 23:39 ]

dinsdag 14 juni 2005 20:20

Acties:

Verwijderd

Heb je hier iets aan? Van de Symantec site.

dinsdag 14 juni 2005 20:24

Acties:

PilatuS

Verwijderd schreef op dinsdag 14 juni 2005 @ 20:17:
[...]

Haalt hem er niet uit...

da's niet zo mooi dan

anders als je er echt niet uitkomt met de hulp van andere mensen dan moet het toch een format worden helaas

dinsdag 14 juni 2005 20:25

Acties:

Verwijderd

gooi eerst je temp files allemaal helemaal leeg, ook je Temporary Internet Files.
Doe dit bij alle users. Het kan zijn dat er een zooi niet weg willen.
Ga dan even naar veilige modes en knal ze er daar ook even uit.
ALs dit ook nog niet werkt, schijf even in andere machine hangen en knal ze er dan vanaf.

daarna alles wat je niet zint uitschakelen met hijackthis.
Zeker vage regels, zoals: C:\temp\sahagent-cdt1004.exe
dit slaat echt nergens op namelijk. Vandaar dat je die temp files allemaal leeg moet gooien.
Als je even zoekt op temp kom je al die mappen wel tegen die je moet legen. Daar vind je dan ook Temporary Internet Files.
Gooi msn plus eraf. Misschien is deze geinstalleerd met sponser?
Kijk al je programma's na. Ook realplayer enz, die hebben ook zooi aan boord ( de gratis versie)
Kijk daarna nog eens met hijackthis. Waarschijnlijk is je lijst al stukken korter.
ik lees wel hoe het allemaal gaat.

dinsdag 14 juni 2005 20:26

Acties:

Jimbolino

troep.com

start in veilige mode en haal alle etries uit: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
en
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

reboot en kijk welke er terugkomen...

[ Voor 50% gewijzigd door Jimbolino op 14-06-2005 20:28 ]

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

dinsdag 14 juni 2005 20:31

Acties:

Verwijderd

crap:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.nl/0SENLNL/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\salmhook.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\nl\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\nl\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Program Files\ISTbar\istbarcm.dll
O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Hot_tarts_nl] C:\Program Files\Video1\Dialers\Hot_tarts_nl\Hot_tarts_nl.exe /dontdial
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINDOWS\System32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [winupdate] C:\Program Files\winupdate\winupdate.exe /auto
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\nl\msnappau.exe"
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe"
O4 - HKLM\..\Run: [p2pnetworking] p2pnetworking.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [uqwOS] C:\WINDOWS\ochai.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [salm] c:\program files\180searchassistant\salm.exe
O4 - HKLM\..\Run: [urgz] C:\WINNT\urgz.exe
O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Zptq] C:\WINDOWS\System32\j?vaw.exe
O4 - HKCU\..\Run: [Smsc] C:\Documents and Settings\Albert\Application Data\sirw.exe
O4 - HKCU\..\Run: [Pzfnfpu] C:\WINDOWS\System32\w?crtupd.exe
O4 - HKCU\..\Run: [Wapu] C:\Program Files\uact\aidr.exe
O4 - HKCU\..\Run: [Aran] C:\Program Files\icen\oeea.exe
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\j?vaw.exe
C:\Program Files\icen\oeea.exe
C:\DOCUME~1\Albert\LOCALS~1\Temp\fWWY1vQ.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\WINDOWS\ochai.exe
C:\DOCUME~1\Albert\LOCALS~1\Temp\sidefind.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\Program Files\180searchassistant\salm.exe
C:\temp\sahagent-cdt1004.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\WINDOWS\System32\ap9h4qmo.exe
C:\program files\internet explorer\iexplore.exe
C:\Documents and Settings\Albert\Local Settings\Temp\HijackThis.exe

Deze moet je iig even allemaal uitschakelen!
Nadat je hetgene hebt gedaan wat ik je net vertelde.
ps. Je hebt gewoon last van spyware!

dinsdag 14 juni 2005 20:38

Acties:

Youri Carma

Hoe kom ik van Tweakerz af?

Ja die 180 solutions is zo ie zo al niet goed. Je heb een bunch of Mal of Adaware te pakken maar je kan ze tegenwoordig ook wel Virus noemen daar sommige diep ingrijpen in je systeem maar maak je niet ongerust. Ik heb zelf ook herhaaldelijk last van dit soort spul en ze zijn meestal wel weg te krijgen maar niet altijd helaas. Even praktisch en snel:

-Ik zou eerst Spybot-Search-Destroy en HijackThis even downloaden (=gratis zie onder).
- Kijk in ieder geval nu gelijk je veiligheidsinstellingen na. Schakel activeX uit en schakel systeemherstel in windows XP uit zet je instellingen van je firewall op scherp. Start op nieuw op en ga in de veilige modus. Laat Norton en Spybot-Search-Destroy daar zijn werk doen en kom dan pas terug in je normale Windows.

http://www.spywareinfo.com/~merijn/

http://www.download.com/S...3000-8022_4-10122137.html

Als Spybot en Norton niet gewerkt hebben maak dan een Scan met HijackThis. De jongens op dit forum kunnen dan gaan kijken welke kwaaie pieren er nog aanwezig zijn.

Als je aldus met HijackThis heb geleerd te werken en de kwaaie pieren kan aanvinken in HijackThis en dat werkt ook niet (heb ik gehad) omdat de file in questie gewoon bij elke explorer opstart teruggezet wordt blijven er niet zoveel mogelijkheden over naar mijn kennis maar misschien weet iemand anders dan nog wat. Mijn laatste redmiddel is ooit Ewido Software geweest.

http://www.ewido.net/en/

Ook nog uit te proberen is Microsoft Windows AntiSpyware (Beta) dat was vroeger Giant is geen onaardig AntiSpyware programma. Hiermee kan je net zoals bij Spybot-S&D Teatimer (Teatimer is een plugin van Spybot-S&D) in ieder geval je register en BHO's vergrendelen zodat je kunt zien of er nog een programma bezig is je regkeys constant te veranderen.

Maar zoals alle AntiVirus -Spyware software, het vindt alleen wat het kent en verder niet. Dus hoe meer Antispyware hoe beter maar ik ken het geval. De hele dag zitten scannen is ook niet alles maar soms moet je even doorbijten

http://www.microsoft.com/...are/software/default.mspx

[ Voor 8% gewijzigd door Youri Carma op 14-06-2005 20:53 ]

Has Balls

dinsdag 14 juni 2005 20:40

Acties:

FlyEragon

Alien Monkeys

Bij dit soort gekke dingen is 1 middel vaak het effectiefst: Reinstall van Windows
Kost uiteindelijk minder tijd...

dinsdag 14 juni 2005 20:49

Acties:

Verwijderd

Topicstarter

Erkandude schreef op dinsdag 14 juni 2005 @ 20:40:
Bij dit soort gekke dingen is 1 middel vaak het effectiefst: Reinstall van Windows
Kost uiteindelijk minder tijd...

Bij de reinstall van windows bleef dit probleem zich voortdoen.

[ Voor 9% gewijzigd door Verwijderd op 14-06-2005 20:52 ]

dinsdag 14 juni 2005 20:54

Acties:

Verwijderd

Topicstarter

Logfile of HijackThis v1.99.1
Scan saved at 20:53:12, on 14-6-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Albert\Local Settings\Temp\HijackThis.exe

O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15009/CTSUEng.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates...adaInc/ie/Bridge-c139.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.../MineSweeper.cab31267.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/...com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn...rStatsClient.cab31267.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/d...are/win/ActiveXPlugin.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.co.../HPGetDownloadManager.ocx
O16 - DPF: {E9348280-2D74-4933-BE25-73D946926795} (DeviceEnum Class) - http://h20270.www2.hp.com...all/hpbasicdetection3.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.co...an/2,0,0,4512/mcfscan.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15010/CTPID.cab
O23 - Service: ColdFusion MX Application Server - Macromedia Inc. - C:\CFusionMX\runtime\bin\jrunsvc.exe
O23 - Service: ColdFusion MX ODBC Agent - Unknown owner - C:\CFusionMX\db\slserver52\bin\swagent.exe
O23 - Service: ColdFusion MX ODBC Server - Unknown owner - C:\CFusionMX\db\slserver52\bin\swstrtr.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

Dit is de nieuwe lijst na het legen van temp + temporary internet files.

dinsdag 14 juni 2005 20:56

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Verwijderd schreef op dinsdag 14 juni 2005 @ 20:49:
[...]

Bij de reinstall van windows bleef dit probleem zich voortdoen.

Opgestart vanaf de originele cd? Geen bestanden laten staan (verse format dus)? Het virus verspreid zich o.a. via msn en e-mail. Daar moet je de infectiebronnen zoeken.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 14 juni 2005 20:57

Acties:

Verwijderd

Topicstarter

Bor de Wollef schreef op dinsdag 14 juni 2005 @ 20:56:
[...]

Opgestart vanaf de originele cd? Geen bestanden laten staan (verse format dus)? Het virus verspreid zich o.a. via msn en e-mail. Daar moet je de infectiebronnen zoeken.

Geen verse format gedaan, er staat te veel waardevolle informatie op. ^^

dinsdag 14 juni 2005 20:57

Acties:

NoepZor

Partitie verwijderen, opnieuw maken, formatteren en dan windows er vers op!
Dan blijft er niet veel over van de vorige windows install

Zorg er wel voor dat alle belangrijke bestanden gebackupt worden! Voor je het weet is er iets permanent weg wat niet weg moest

* NoepZor herinnert zich een gevalletje waarbij vakantiefoto's van pa en ma verloren gingen

[ Voor 3% gewijzigd door NoepZor op 14-06-2005 20:57 ]

De wijzen komen uit het Oosten!

dinsdag 14 juni 2005 20:58

Acties:

Jester-NL

... pakt een botte bijl

En zet na je (eventuele) re-install ook even een update naar Microsoft aan. Je draait nog met XP zónder service-packs. Die worden niet voor niks verstrekt

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

dinsdag 14 juni 2005 20:58

Acties:

m3gA

kan dat c:\upload niks van een ftp servertje zijn?

dinsdag 14 juni 2005 21:00

Acties:

Youri Carma

Hoe kom ik van Tweakerz af?

Erkandude schreef op dinsdag 14 juni 2005 @ 20:40:
Bij dit soort gekke dingen is 1 middel vaak het effectiefst: Reinstall van Windows
Kost uiteindelijk minder tijd...

Makkelijker gezegd dan gedaan. Ik heb dat moeten doen vanwegen een CWS (Cool Web Search) 69 variant en daar was geen kruid tegen gewassen. Ok effkes een backup draaien van 80 Gig is tegenwoordig ook geen pretje meer zelfs niet met de huidige DvD schijfjes.

Zou als Tweaker toch echt eerst even de strijd aangaan met die etterige Spy & Maleware gasten.

Has Balls

dinsdag 14 juni 2005 21:00

Acties:

Verwijderd

Topicstarter

m3gA schreef op dinsdag 14 juni 2005 @ 20:58:
kan dat c:\upload niks van een ftp servertje zijn?

Hm... Ja het zou kunnen, maar deze zou niet verbonden moeten zijn via het internet, ik hoorde laatst dat hij bezig was met het maken van nieuwe websites via apache en andere software.
Helaas is pa er nu niet, zal het hem vragen als hij vanavond thuis komt.

dinsdag 14 juni 2005 21:07

Acties:

Verwijderd

Topicstarter

Het lijkt erop dat hij helemaal schoon is na het verwijderen van die onzin via Hijack progje. Bedankt visjesoft ^^. Ik laat hem nu opnieuw scannen via de online virusscanner van trendmicro. (De C:\Uploads map blijft leeg!!)
Alvast bedankt. Ik laat nog wel bericht achter in deze topic hoe het is afgelopen.

[ Voor 7% gewijzigd door Verwijderd op 14-06-2005 21:08 ]

dinsdag 14 juni 2005 21:09

Acties:

Youri Carma

Hoe kom ik van Tweakerz af?

http://www.180searchassistant.com/180saax.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/d...are/win/ActiveXPlugin.cab

Dat dit er nog staat verbaast mij?

Zou echt Spybot en Ewidon laten scannen. Ewido kan ook online tegenwoordig.

Alle ActiveX moet uitgezet worden. Alles met maar een verwijzing naar Toolbar moet weg.

Has Balls

dinsdag 14 juni 2005 21:10

Acties:

Verwijderd

volgens mij is dit ook een bogus .exe
C:\WINDOWS\Explorer.EXE

dinsdag 14 juni 2005 21:20

Acties:

Verwijderd

Verwijderd schreef op dinsdag 14 juni 2005 @ 21:07:
Het lijkt erop dat hij helemaal schoon is na het verwijderen van die onzin via Hijack progje. Bedankt visjesoft ^^. Ik laat hem nu opnieuw scannen via de online virusscanner van trendmicro. (De C:\Uploads map blijft leeg!!)
Alvast bedankt. Ik laat nog wel bericht achter in deze topic hoe het is afgelopen.

Nu moet je alleen nog even de programma's nalopen die op de pc staan. Misschien staan er nog programma's met spyware geinstalleerd.
ow ja, en die 180 solutions zoek ik nog even een remedie op.
die hoor je wel als ik nog wat vind.
ow ja, start ook nog even je pc opnieuw op. Of heb je dat al gedaan? je hebt namelijk kans dat het daarna nog terug komt. Omdat er nog ergens een verborgen file staat ofzo.

edit: ik lees ook net dat je nog geen sp's hebt geinstalleerd. Doe dit aub wel even. Anders ben je over een week weer bezig met die zooi te verwijderen. En, als je nog eens zoiets hebt, begin altijd met het verwijderen van die rotzooi in al je temp files enz.. Dan alles uitschakelen met hijackthis en daarna hitmanpro pas. Anders is het dwijlen met de kraan open.

Ik vond net ook nog deze website:
http://www.adwarespywarese.com/download.php
misschien hier eens mee scannen. Ze zeggen dat ze die 180zooi verwijderen. Maar ik ken deze website niet en heb het nog nooit geprobeerd, dus weet het niet.

[ Voor 42% gewijzigd door Verwijderd op 14-06-2005 21:32 ]

dinsdag 14 juni 2005 21:58

Acties:

Digihelp ®

Kijk ook even uit met:

code:

1
2

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll

Ik had laast een virus / spyware die zich in de j2re had verborgen, maar dat hoeft hier niet zo te zijn.

Verder lijkt me iets wat windupdates heet ipv windowsupdates ook verdacht:

code:

1
2

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates...adaInc/ie/Bridge-c139.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab

Deze zegt me ook niets (alhoewel je dit ook bewust geinstalleerd kunt hebben)

code:

1	O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/d...are/win/ActiveXPlugin.cab

Suc6. Probeer anders aan een windowsinstallatie op CD te komen (Win/Bart PE) zodat je clean kunt scannen op spyware en virus. En zorg dat de immune function gebruikt van Spybot en Spywareblaster.

[ Voor 5% gewijzigd door Digihelp ® op 14-06-2005 21:59 ]

dinsdag 14 juni 2005 23:14

Acties:

EricJH

Verwijderd schreef op dinsdag 14 juni 2005 @ 21:10:
volgens mij is dit ook een bogus .exe
C:\WINDOWS\Explorer.EXE

Dat is echt Windows Verkenner bij Windows XP.......

dinsdag 14 juni 2005 23:46

Acties:

pasta

Ondertitel

Verwijderd schreef op dinsdag 14 juni 2005 @ 21:10:
volgens mij is dit ook een bogus .exe
C:\WINDOWS\Explorer.EXE

Die lijkt me behoorlijk legit hoor.

Explorer.exe is je Shell/Windows verkenner. Deze draait dus vrijwel altijd. Er zijn idd gevallen bekend van file-infecting AdWare, maar dat wil nog niet zeggen dat het hier ook het geval is.

Signature

woensdag 15 juni 2005 00:18

Acties:

Smarty_6000

Lolz

Ik zou zeggen , gooi die MS Anti Spyware er is op en zet dan ook dat spyware schild aan, laatst weer een ZWAAR vervuild pc'tje gekregen om op te schonen en dat spyware schild greep mooi dat IST.bar in zn kloten

(daarna was het volledig scannen met Anti-Spyware , hetgeen wat MS niet vond uiteindelijk met Ad-Aware eraf gegooit).

Voor ActiveX zooi is spyware blaster natuurlijk een goeie oplossing , alhoewel een popupblocker en andere browser (FIREFOX) natuurlijk ook al een hele hoop zooi schelen

-=Mijn PC Specs=-

woensdag 15 juni 2005 00:26

Acties:

Verwijderd

Topicstarter

Heel erg bedankt voor de medewerking mensen!
Ik heb pc gereboot en alle spybullshit was eraf geknikkert. Geen pop-ups meer en geen c:\uploads map meer. ^^
Er is nog echter 1 klein dingetje.

- Als ik naar: Instellingen - Configuratie scherm - Software ga, staan nogsteeds die hardnekkige files zoals 180solutions en andere troep erbij. Als ik hierop click om te verwijderen krijg ik: Continue with this program, or uninstall by going to our internetsite and download the uninstall program. Van die bullshit. (in iedergeval, hier lijkt het op

) Dus hoe haal ik deze uit die software lijst?

Verder, ontzettend bedankt.

Thom

woensdag 15 juni 2005 00:51

Acties:

EricJH

Verwijderd schreef op woensdag 15 juni 2005 @ 00:26:
Heel erg bedankt voor de medewerking mensen!
Ik heb pc gereboot en alle spybullshit was eraf geknikkert. Geen pop-ups meer en geen c:\uploads map meer. ^^
Er is nog echter 1 klein dingetje.

- Als ik naar: Instellingen - Configuratie scherm - Software ga, staan nogsteeds die hardnekkige files zoals 180solutions en andere troep erbij. Als ik hierop click om te verwijderen krijg ik: Continue with this program, or uninstall by going to our internetsite and download the uninstall program. Van die bullshit. (in iedergeval, hier lijkt het op ) Dus hoe haal ik deze uit die software lijst?

Verder, ontzettend bedankt.

Thom

Advanced Uninstaller kun je de deinstallatie laten forceren. Ik denk dat er dan een paar sleutels worden verwijderd. Kijk eens of dat werkt.

Doe ook een aanvullende spyware scan met de trial versie van Spy Sweeper, www.webroot.com , en de Microsoft Antispyware Beta. Niet alle spywarescanners vinden hetzelfde en dus moet je er een paar naast elkaar gebruiken.

[ Voor 15% gewijzigd door EricJH op 15-06-2005 15:35 ]

woensdag 15 juni 2005 02:39

Acties:

Digihelp ®

Of gebruik een regcleaner. Bijvoorbeeld: Regcleaner. Daar zit ook een optie in om je uninstall lijst op te schonen.

woensdag 15 juni 2005 13:24

Acties:

Youri Carma

Hoe kom ik van Tweakerz af?

Verwijderd schreef op dinsdag 14 juni 2005 @ 21:20:
[...]

Ik vond net ook nog deze website:
http://www.adwarespywarese.com/download.php
misschien hier eens mee scannen. Ze zeggen dat ze die 180zooi verwijderen. Maar ik ken deze website niet en heb het nog nooit geprobeerd, dus weet het niet.

Adware ken ik niet zou ik niet gebruiken.
Adaware kan je gerust gebruiken alhoewel ik de ervaring heb dat hij niet zoeveel meer weghaald maar misschien diegene die je net nodig hebt.(OK Adaware van Lavasoft)

http://www.lavasoftusa.com/software/adaware/

Ik dacht dat Spybot Search&Destroy wel raad wist met die 180 Solutions? Maar soms herkend spyware the spy maar kan deze vervolgens niet 100% cleanen heb ik ook wel gehad. Waarschijnlijk hebben de virusschrijvers er iets aan toe gevoegd of nog sterker rekening gehouden met Spybot!

Nogmaals Ewido alhoewel minder bekend is een zeer goed programma.

http://www.ewido.net/en/

Qua Uninstallers vind ik Your Uninstaller! erg goed heeft ook een forced Uninstall en geeft alle programma's ook met hun eigen icoon weer dat geeft veel overzicht. Niet gratis helaas. En het leuke bij Your Uninstaller is dat als hij het niet wegkrijgt je vanuit het programma Norton nog even die file kunt laten scannen. Heeft vaak gewerkt bij mij om volledig van die shit af te komen.

[ Voor 27% gewijzigd door Youri Carma op 15-06-2005 13:39 ]

Has Balls

Pagina: 1

Reageer