Balloon.Wav hoe weg te krijgen? - Privacy en beveiliging

zondag 31 juli 2005 13:57

Acties:

#WINNING!! DUH!

Topicstarter

Ik heb sinds twee dagen een pop-up ad die claimt een Windows Firewall te zijn.

het betreft een bestandje genaamd balloon.wav

het programmaatje is erg slim in elkaar gezet want hij blijft terug komen en als je m handmatig wil verwijderen door te zoeken naar balloon.wav, balloon.* of zelfs ball*.* laat het explorer.exe crashen.

zelfs in Safe Mode crashed ie. dus wie o wie kan mij hiermee helpen??
ik ben al 2 dagen bezig geweest om er vanaf te komen met elke spyware en trojan remover die er te krijgen is via download.com. maar geen succes

Logfile of HijackThis v1.99.1
Scan saved at 13:59:39, on 31/07/2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\anvshell.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINNT\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\AIM\aim.exe
C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Program Files\Yahoo!\Messenger\ypager.exe
C:\PROGRA~1\WHATPU~1\WHATPU~1.EXE
C:\PROGRA~1\COUNTD~2\cntdown.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Program Files\Webshots\webshots.scr
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrator.GOD\My Documents\HijackThis\HijackThis.exe

R3 - URLSearchHook: (no name) - {CBF26770-981A-7ABD-54D8-F0C365EED3EE} - StartCpl.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [Fortis Secure Layer Config] cseinst.exe -o-h
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [StatusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [cmon14] ssweeper.exe
O4 - HKLM\..\Run: [ATLIEHELPER] backorif.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AIM] C:\PROGRA~1\AIM\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [InstantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [WhatPulse] C:\PROGRA~1\WHATPU~1\WHATPU~1.EXE
O4 - HKCU\..\Run: [Countdown!] "C:\PROGRA~1\COUNTD~2\cntdown.exe" /autorun
O4 - HKCU\..\Run: [NopeZ] MNTP.exe
O4 - HKCU\..\Run: [ActionScr] UserSp1.exe
O4 - HKCU\..\Run: [dePloy] _ctcp.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0527.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0527.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM\aim.exe
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/do...ls/suite/autocomplete.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylomgames.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F8FA655-D385-4717-8290-B7318F7BC249}: NameServer = 195.95.218.1,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2BC8DFF-B8A0-42E3-B167-155B602FE86C}: NameServer = 195.95.218.1,85.255.112.7
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe

mochten jullie nog andere dingen spotten die er niet horen, hoor ik het graag.

Lovers, they will leave you
A thief will rob you blind
And good friends are awful hard to find

zondag 31 juli 2005 14:29

Acties:

pasta

Ondertitel

Heb je ook een virusscanner geprobeerd? Zo ja, welke? Als je het niet gedaan hebt, zou ik evens scannen met Kaspersky AV (met extended bases). Sowieso kan je zelf even je HJT log langs gaan in combinatie met [google=filename.exe]. Voorbeeldje:

code:

1	O4 - HKLM\..\Run: [ATLIEHELPER] backorif.exe

[google=backorif.exe] geeft bij de eerste link deze pagina al aan, wat aangeeft dat het malware is. Zo zou je zelf langs andere verdachte entries kunnen gaan.

Signature

zondag 31 juli 2005 14:31

Acties:

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Ik vertrouw deze niet:

code:

1	C:\PROGRA~1\COUNTD~2\cntdown.exe

code:

1	R3 - URLSearchHook: (no name) - {CBF26770-981A-7ABD-54D8-F0C365EED3EE} - StartCpl.dll (file missing)

code:

O4 - HKLM\..\Run: [cmon14] ssweeper.exe
O4 - HKLM\..\Run: [ATLIEHELPER] backorif.exe
O4 - HKCU\..\Run: [Countdown!] "C:\PROGRA~1\COUNTD~2\cntdown.exe" /autorun
O4 - HKCU\..\Run: [NopeZ] MNTP.exe
O4 - HKCU\..\Run: [ActionScr] UserSp1.exe
O4 - HKCU\..\Run: [dePloy] _ctcp.exe

en ik zou eerst die .exes gaan scannen bij Jotti Scan.
Misschien dat er ook een virusje in zit

[ Voor 20% gewijzigd door Outerspace op 31-07-2005 14:33 ]

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

zondag 31 juli 2005 14:35

Acties:

Naboo

#WINNING!! DUH!

Topicstarter

thanks

die countdown.exe is een countdown clockje

Lovers, they will leave you
A thief will rob you blind
And good friends are awful hard to find

maandag 1 augustus 2005 00:53

Acties:

Naboo

#WINNING!! DUH!

Topicstarter

joepie, het is na 12-en het gezeik is weer begonnen

Hijack This kan overigens niks vinden nu en mijn Spyware Doctor en Ad-Aware ook niet

grrrrr

iemand nog ideeen?

Lovers, they will leave you
A thief will rob you blind
And good friends are awful hard to find

maandag 1 augustus 2005 01:00

Acties:

Rone

Moderator Tweaking

Je zou natuurlijk ook eens Hitman Pro kunnen proberen:

• http://www.hitmanpro.nl >> Hitman Pro 2.1.4.exe (2,72 MB)

Dit zal om te beginnen al een hoop rotzooi opruimen

PC1: 9800X3D + RX 9070 XT || PC2: 5800X3D + RTX 3080 || Laptop: 7735HS + RTX 4060

maandag 1 augustus 2005 01:12

Acties:

EricJH

Nadat je met Hitman Pro en Microsoft Antispyware Beta in de weer bent geweest en als het probleem nog niet is opgelost. Maak dan weer een HTL en laat die eerst hier bekijken: www.hijackthis.de . Dan kun je vast een eerste schifting maken tussen wat niet verdacht is en wat niet.

maandag 1 augustus 2005 01:12

Acties:

Henk007

http://forums.spywareinfo.com/index.php?showtopic=52565
http://www.informationsarchiv.net/foren/beitrag-21542.html

Daar maakt men trouwens behalve van Hijackthis ook gebruik van een vbs script dat te vinden is op:
silentrunners.org

[ Voor 42% gewijzigd door Henk007 op 01-08-2005 12:29 ]

maandag 1 augustus 2005 23:56

Acties:

Naboo

#WINNING!! DUH!

Topicstarter

helaas

ook dit werkt niet

Hitman crashed als ie Spy Sweeper wil draaien
daarvoor zegt SpyBot S&D al "lost control" precies op het moment dat hij het bestandje balloon.wav vind

en de SpyWare Doctor laat mijn systeem crashen zodra de Keylogger update is gedownload, maar daar was ik gister al achter

zit dus niks anders op dan del*.*

grrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrr

Lovers, they will leave you
A thief will rob you blind
And good friends are awful hard to find

dinsdag 2 augustus 2005 00:11

Acties:

Sassie

Heb je al in veilige modus geprobeerd te scannen, of gaat daar de boel ook mis?
En crashed MS antispyware ook?
En is je hijackthis log nu schoner?

[ Voor 3% gewijzigd door Sassie op 02-08-2005 14:14 ]

dinsdag 2 augustus 2005 00:19

Acties:

defusion

backoriffice is een trojan, worden die wel gedelete voor dergelijke programma's?
of moet je daar een virus-scanner voor hebben?

dinsdag 2 augustus 2005 00:22

Acties:

HunterPro

back orifice is een niet-zo-nette remote administration tool. Ook alweer een oudje eigenlijk. Werd vroeger nogal eens met iets als silkrope aan een exe geknoopt. Elke AV moet die eigenlijk wel vinden.

dinsdag 2 augustus 2005 00:27

Acties:

defusion

HunterPro schreef op dinsdag 02 augustus 2005 @ 00:22:
back orifice is een niet-zo-nette remote administration tool. Ook alweer een oudje eigenlijk. Werd vroeger nogal eens met iets als silkrope aan een exe geknoopt. Elke AV moet die eigenlijk wel vinden.

mwah, er zaten iig niet zoveel nutteloze features in als sub7

dus in trojan-termen was het redelijk professioneel.
en werd vast ook wel gebruikt voor nuttige doeleinden.

dinsdag 2 augustus 2005 17:48

Acties:

Naboo

#WINNING!! DUH!

Topicstarter

Sassie schreef op dinsdag 02 augustus 2005 @ 00:11:
Heb je al in veilige modus geprobeerd te scannen, of gaat daar de boel ook mis?
En crashed MS antispyware ook?
En is je hijackthis log nu schoner?

ook in veilige modus crash de boel

backorifice is verwijderd door HijackThis die wel schoner is. alleen me probleem heb ik nog

heb geen MS Antispyware

Lovers, they will leave you
A thief will rob you blind
And good friends are awful hard to find