Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Virus komt steeds terug na herstarten

Pagina: 1
Acties:
  • 330 views sinds 30-01-2008
  • Reageer

donderdag 1 september 2005 19:30

Acties:
  • dj_tjerk
  • Registratie: Januari 2003
  • Laatst online: 25-11 20:55

dj_tjerk

Topicstarter
(Alvast sorry voor het lange verhaal)

De betreffende computer is niet van mij, maar wel van een goede kennis. Toen ik wilde helpen bij het probleem kwam ik er achter dat het ding heel erg traag was. Bij Taakbeheer waren allemaal processen van het type ~Xyy.tmp.exe te zien, waarbij X staat voor een letter, en de xx voor een tweecijferig getal (vb. "~A13.tmp.exe"). Toen ik er eentje probeerde te beeindigen kwamen er heel veel voor in de plaats en raakte de computer onbestuurbaar.

Na een herstart en met de hulp van wat floppy's heb ik HijackThis gedraaid en daanra Peperfix gedraaid, waarna dit virus in ieder geval weg was. Maar het probleem met de *.tmp.exe's is nog steeds niet weg. En een paar entry's die ik met HijackThis probeerde te verwijderen kwamen steeds weer terug:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59

Logfile of HijackThis v1.99.1
Scan saved at 16:37:14, on 11-8-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\system32\pctspk.exe
I:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\SiSUSBrg.exe
I:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
I:\WINDOWS\System32\aimsg.exe
I:\Program Files\Messenger\msmsgs.exe
I:\WINDOWS\System32\hypertrm.exe
I:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
I:\WINDOWS\System32\wuauclt.exe
I:\Program Files\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planet.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hetnet.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer van Het Net
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
[b]O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com[/b]
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - I:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] I:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [MS Unix Binary] hypertrm.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] I:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AIM Instant Message Cookies] aimsg.exe
[b]O4 - HKLM\..\Run: [dTjROU]yUh[bUh[qat] I:\WINDOWS\System32\clmajwt.exe[/b]
O4 - HKLM\..\RunServices: [MS Unix Binary] hypertrm.exe
O4 - HKLM\..\RunServices: [AIM Instant Message Cookies] aimsg.exe
[b]O4 - HKLM\..\RunServices: [dTjROU]yUh[bUh[qat] I:\WINDOWS\System32\clmajwt.exe[/b]
O4 - HKCU\..\Run: [MSMSGS] "I:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AIM Instant Message Cookies] aimsg.exe
O4 - HKCU\..\Run: [MS Unix Binary] hypertrm.exe
O4 - HKCU\..\RunServices: [AIM Instant Message Cookies] aimsg.exe
O4 - Global Startup: Adobe Reader Snelle start.lnk = I:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = I:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Mail to a Friend... - http://client.alexa.com/holiday/script/actions/mailto.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\j2re1.4.1\bin\npjpi141.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\j2re1.4.1\bin\npjpi141.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hetnet.nl
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105526629171
O18 - Filter: text/html - {7D11C0B0-1FC8-43CF-B197-3D438CAA936B} - I:\Documents and Settings\E. de Vries\Local Settings\Application Data\microsoft\internet explorer\V0.34.dat
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - I:\WINDOWS\system32\pctspk.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - I:\Program Files\Analog Devices\SoundMAX\SMAgent.exe


De betreffende entry's heb ik dikgedrukt. Deze log is zo oud omdat ik pas recentelijk na een vakantie weer verder ben gegaan met die computer proberen te fixen (ik laat me niet verslaan door een virus).Intussen is de HKLM\..\Run: [dTjROU]yUh[bUh[qat] I:\WINDOWS\System32\clmajwt.exe entry voorzien van een andere naam voor het exe bestand, en waren er in het begin nog eens twee zelfde extra (maar dan met minder tekens: mmpsvyb of yjmxul ipv [dTjROU]yUh[bUh[qat]). De exe's van de naam van de entry, in dit geval clmajwt.exe stonden eerst ook nog in taakbeheer, maar nu kan ik ze niet meer vinden.

Na wat gezoek op de eerste dikgedrukte entry met de hostfile kwam ik op het Win32 virus BOBAX. Het eerste resultaat bij mij, die van VirusAlert heb ik bestudeert, en ik ben daarna naar mijn kennis toegereden om de instructies uit te voeren.

Na alles gedaan te hebben kwam ik na de herstart erachter dat nog steeds de *.tmp.exe's aanwezig waren en nog steeds de computer heel traag was. Een virusscanner installeren vanaf een cd wil in ieder geval niet werken (te traag, computer loopt vast bij installeren) en vanaf internet een virusscanner is ook onmogelijk door ten eerste de traagheid van de computer, ten tweede door de 56 k verbinding die de computer nog met het internet verbind.

Na nog een keer hijackthis draaien was één van de verdachte entry's weg, maar de andere twee bleven hardnekkig terugkomen. In veilige modus waren de entry's na een herstart eerst weg, maar na een tweede herstart in veilige modus, waren ze er weer. Toen kwam ik ook entry's tegen in, naast \Run , ook in RunServices.

In veilige modus ben ik ook nog opzoek gegaan naar de temp folder. Daarin stonden allemaal .tmp.exe bestanden en was*.tmp bestanden (net zoals in virusalerts beschrijving). De eerste poging om deze te verwijderen slaagde niet, maar driemaal was scheepsrecht en de folder was leeg. Helaas had het geen effect, want de computer was nog even traag en de tmp.exe's waren vrolijk met z'n allen bezig.

Uiteindelijk komen we aan bij mijn huidige (bijna hopeloze toestand) en vraag ik jullie om hulp, want zelf kom ik er niet meer uit, en een format vind ik wat extreem.

donderdag 1 september 2005 19:33

Acties:
  • zetje01
  • Registratie: Augustus 1999
  • Laatst online: 30-11 20:46

zetje01

Ik zou toch voor een online virusscan gaan.
Een paar MB downloaden zou een kwartiertje kunnen duren.

edit: en even een firewall installeren, zodat je alleen maar verbinding maakt met de virusscanner-site

[ Voor 35% gewijzigd door zetje01 op 01-09-2005 19:34 ]

donderdag 1 september 2005 19:34

Acties:

Verwijderd

Wat je even moet doen, is in veilige modus al je temp files leeg gooien.
Daarna in veilige modus hitmanpro draaien. je hebt volgens mij gewoon last van spyware.
Hitmanpro draai je ook in normale modus, en dan even kijken wat er gebeurt.

donderdag 1 september 2005 19:37

Acties:
  • djexplo
  • Registratie: Oktober 2000
  • Laatst online: 27-10 15:31

djexplo

Je kunt natuurlijk een dos-virus scanner gebruiker. Mcafee bevat b.v. de mogelijkheid om boot-floppy te maken, met de virusscanner er op, die scant dan de computer in dos-modus zonder naar windows xp te gaan...

Die *.tmp.exe bestanden moet je trouwens niet verwijderen, maar vervangen door lege text bestanden. Spyware maakt namelijk meestal alleen een nieuwe exe-bestand aan als de oude is verdwenen, en detecteerd meestal niet op size ...

[ Voor 38% gewijzigd door djexplo op 01-09-2005 19:40 . Reden: extra... ]

'if it looks like a duck, walks like a duck and quacks like a duck it's probably a duck'

donderdag 1 september 2005 19:53

Acties:
  • dj_tjerk
  • Registratie: Januari 2003
  • Laatst online: 25-11 20:55

dj_tjerk

Topicstarter
Ik denk dat ik dan als eerste op zoek ga naar de dos virusscanner. En daarna, wat meer moeite zal kosten door 56k verbinding, hitmanpro. In ieder geval bedankt voor jullie inbreng :)

EDIT:
Ik neem aan dat ik vanaf mijn computer een bootdisk kan maken dan en die op die computer kan gebruiken? Want zoals ik al zei is virusscanner installer bijna een no-go. En volgens mij blokte dat virus ook virusscanners. Of het alleen bestaande virusscanners waren of nieuwe, dat weet ik niet.

[ Voor 48% gewijzigd door dj_tjerk op 01-09-2005 19:59 ]

donderdag 1 september 2005 20:23

Acties:

Verwijderd

Dat virus heeft het ook al onmogelijk gemaakt om naar antivirussites te gaan. Kijk maar naar je hostfile staan vele links naar antivirussites. Open de host file met wordpad en haal daar de sites van alle antivirusleveranciers uit.

Er staat ook alexa op die computer hier vind je info om alexa te verwijderen : http://www.spywareguide.com/product_show.php?id=418

Moest het mogelijk zijn zou ik ewido security suite trial downloaden : http://www.ewido.net/en/

vrijdag 2 september 2005 16:02

Acties:
  • dj_tjerk
  • Registratie: Januari 2003
  • Laatst online: 25-11 20:55

dj_tjerk

Topicstarter
Ben vandaag weer ff langs geweest. Ik heb eerst systeemherstel uitgeschakeld, en toen oa bitdefender bobax verwijder tool en microsoft spyware tool gedraaid. Deze laatste kon wel iets vinden, maar dat was een ander virus.

Bij het opstarten in normale modus nemen eerst de ~xYY.tmp.exe toepassing de activiteit van de computer voor zich, daarna krijg ik 1 of 2 foutmeldingen dat er iets niet klopt met de toepassing ~A13.tmp.exe bijvoorbeeld, en verdwijnen de exe's. Explorer.exe neemt dan de taak over met 27MB en 52% processorbelasting.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75

Logfile of HijackThis v1.99.1
Scan saved at 15:31:03, on 2-9-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\netinfo.exe
I:\WINDOWS\system32\pctspk.exe
I:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\explorer.exe
I:\WINDOWS\SiSUSBrg.exe
I:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
I:\Program Files\Messenger\msmsgs.exe
I:\b\remover.exe
I:\WINDOWS\system32\rundll32.exe
I:\Program Files\Hijack This\HijackThis.exe
I:\DOCUME~1\E22E5~1.DEV\LOCALS~1\Temp\~2FD.tmp.exe
I:\DOCUME~1\E22E5~1.DEV\LOCALS~1\Temp\~3AE.tmp.exe
I:\DOCUME~1\E22E5~1.DEV\LOCALS~1\Temp\~402.tmp.exe
I:\DOCUME~1\E22E5~1.DEV\LOCALS~1\Temp\~3F7.tmp.exe
I:\DOCUME~1\E22E5~1.DEV\LOCALS~1\Temp\~404.tmp.exe
I:\DOCUME~1\E22E5~1.DEV\LOCALS~1\Temp\~422.tmp.exe
I:\DOCUME~1\E22E5~1.DEV\LOCALS~1\Temp\~428.tmp.exe
I:\DOCUME~1\E22E5~1.DEV\LOCALS~1\Temp\~415.tmp.exe
I:\DOCUME~1\E22E5~1.DEV\LOCALS~1\Temp\~427.tmp.exe
I:\DOCUME~1\E22E5~1.DEV\LOCALS~1\Temp\~425.tmp.exe
I:\DOCUME~1\E22E5~1.DEV\LOCALS~1\Temp\~426.tmp.exe
I:\DOCUME~1\E22E5~1.DEV\LOCALS~1\Temp\~41C.tmp.exe
I:\DOCUME~1\E22E5~1.DEV\LOCALS~1\Temp\~434.tmp.exe
I:\DOCUME~1\E22E5~1.DEV\LOCALS~1\Temp\~424.tmp.exe
I:\DOCUME~1\E22E5~1.DEV\LOCALS~1\Temp\~438.tmp.exe
I:\DOCUME~1\E22E5~1.DEV\LOCALS~1\Temp\~429.tmp.exe
I:\DOCUME~1\E22E5~1.DEV\LOCALS~1\Temp\~439.tmp.exe
I:\DOCUME~1\E22E5~1.DEV\LOCALS~1\Temp\~43F.tmp.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planet.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hetnet.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer van Het Net
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F2 - REG:system.ini: Shell=explorer.exe 
O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - I:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] I:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] I:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [dTjROU]yUh[bUh[qat] I:\WINDOWS\System32\yjypizq.exe
O4 - HKLM\..\Run: [mmpsvyb] I:\WINDOWS\System32\xvyvppmxhn.exe
O4 - HKLM\..\Run: [yjmxul] I:\DOCUME~1\E22E5~1.DEV\LOCALS~1\Temp\~10DB.tmp.exe
O4 - HKLM\..\RunServices: [dTjROU]yUh[bUh[qat] I:\WINDOWS\System32\yjypizq.exe
O4 - HKLM\..\RunServices: [mmpsvyb] I:\WINDOWS\System32\xvyvppmxhn.exe
O4 - HKLM\..\RunServices: [yjmxul] I:\DOCUME~1\E22E5~1.DEV\LOCALS~1\Temp\~10DB.tmp.exe
O4 - HKCU\..\Run: [MSMSGS] "I:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Snelle start.lnk = I:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = I:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Mail to a Friend... - http://client.alexa.com/holiday/script/actions/mailto.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\j2re1.4.1\bin\npjpi141.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\j2re1.4.1\bin\npjpi141.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hetnet.nl
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105526629171
O18 - Filter: text/html - {7D11C0B0-1FC8-43CF-B197-3D438CAA936B} - I:\Documents and Settings\E. de Vries\Local Settings\Application Data\microsoft\internet explorer\V0.34.dat
O23 - Service: netinfo - Unknown owner - I:\WINDOWS\netinfo.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - I:\WINDOWS\system32\pctspk.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - I:\Program Files\Analog Devices\SoundMAX\SMAgent.exe


Het zijn er weer drie, en omdat ik echt gek wordt (ik kan niet eens hitman pro draaien omdat het internet er al uit flikkert en ik spyware sites krijg, voordat ik maar halverwege ben met downloaden van eerste spywareremoval tool. Ook kaspersky wilde niet werken; virus deactiveert virusscanners of zo), en ik wil daarom dus maar paar backupjes maken en alles erafgooien.

vrijdag 2 september 2005 17:14

Acties:

Verwijderd

Download deze tool : http://www.funkytoad.com/hoaster.htm druk op de toets make hostfile writable en vervolgens op restore original hosts. Nu zou je terug correct de sites moeten bereiken. Deze pc is met meerdere wormen besmet hierdoor kan je niet gaan naar sites van antivirusleveranciers, antispywaresites of werd je gewoon omgeleid naar een andere site. Hier zijn nog een paar handige sites die je kan raadplegen : http://www.bleepingcomputer.com/startups/

Moest je ewido werkende krijgen zou je toch al van pak malware vanaf geraken.

http://users.telenet.be/marcvn/spyware
Nog een tutorial voor hj : http://www.antispywareoff.../handleiding/index.html#r

Het is moeilijk om te zeggen over welke spyware/virus/worm het nu precies gaat, ik zie er al verschillende tussenstaan. Je kan altijd de log hier op dit forum plaatsen : http://www.antispywareoffensief.nl

[ Voor 1% gewijzigd door Verwijderd op 02-09-2005 17:15 . Reden: directe link gegeven ]

zaterdag 3 september 2005 23:08

Acties:
  • dj_tjerk
  • Registratie: Januari 2003
  • Laatst online: 25-11 20:55

dj_tjerk

Topicstarter
ik zal mijn log zo daar ff plaatsen. Eerst weer ff een verhaaltje :)

Ik heb dat ewido eerst op mijn pc geinstalleerd, de setup op USB stick gezet, en mijn map, na een update van reference file gedaan te hebben, van ewiko ook op usb. Daarna ben ik op de computer met het virus naar veilige modus gegaan, heb daar ewiko geinstalleerd en gedraaid.

Hij vond zeker iets van 1170 geinfecteerde bestanden. Ook de ~xyy.tmp.exe. Maar helaas bleek na een herstart dat er weinig gebeurt was qua verwijderen, en nadat mijn kennis op het internet geweest was, veel was gebeurt qua extra spyware:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58

Logfile of HijackThis v1.99.1
Scan saved at 21:51:25, on 3-9-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\explorer.exe
I:\Program Files\ewido\security suite\SecuritySuite.exe
I:\Program Files\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planet.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hetnet.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer van Het Net
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: Shell=explorer.exe 
O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - i:\program files\180searchassistant\saishook.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - I:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: (no name) - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] I:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] I:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [mmpsvyb] I:\WINDOWS\System32\trqeljw.exe
O4 - HKLM\..\Run: [yjmxul] I:\DOCUME~1\E22E5~1.DEV\LOCALS~1\Temp\~10DB.tmp.exe
O4 - HKLM\..\Run: [KAVPersonal50] "I:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [IST Service] I:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [HnCE3bf] I:\WINDOWS\jkijip.exe
O4 - HKLM\..\Run: [SurfAccuracy] I:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "I:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [BullsEye Network] I:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [sais] i:\program files\180searchassistant\sais.exe
O4 - HKLM\..\RunServices: [mmpsvyb] I:\WINDOWS\System32\trqeljw.exe
O4 - HKLM\..\RunServices: [yjmxul] I:\DOCUME~1\E22E5~1.DEV\LOCALS~1\Temp\~10DB.tmp.exe
O4 - HKCU\..\Run: [MSMSGS] "I:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Snelle start.lnk = I:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = I:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\j2re1.4.1\bin\npjpi141.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\j2re1.4.1\bin\npjpi141.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hetnet.nl
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://216.127.33.119/ist/softwares/v4.0/ysb_regular.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105526629171
O18 - Filter: text/html - {7D11C0B0-1FC8-43CF-B197-3D438CAA936B} - I:\Documents and Settings\E. de Vries\Local Settings\Application Data\microsoft\internet explorer\V0.34.dat
O23 - Service: ewido security suite control - ewido networks - I:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: kavsvc - Kaspersky Lab - I:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: netinfo - Unknown owner - I:\WINDOWS\netinfo.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - I:\WINDOWS\system32\pctspk.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - I:\Program Files\Analog Devices\SoundMAX\SMAgent.exe


Dit verwijderde ewiko dus niet. Heb ik zelf met de hand verwijderd in hijackthis, en uiteindelijk kwam na nog een herstart de DjTrou ding ook weer terug. Oftewel, terug bij af.

Opvallend is dat de computer heel traag is bij het opstarten, en nadat je ongeveer na een kwartier een ballonnetje krijgt met 'er is te weinig virtueel geheugen, gaat uitbreiden', wordt de pc langzaam weer sneller (na een uur is hij ongeveer gewoon normaal).

Maar kaspersky updaten lukte me nog steeds niet, noch hitmanpro en andere dingen van het internet downloaden. Misschien moet ik dat eens proberen nadat de pc een uur aangestaan heeft.

EDIT:
Hier ook hijackthis log (de vorige, omdat die uit dit topic overbodig bevat) op aanraden van bovenbuur.

[ Voor 3% gewijzigd door dj_tjerk op 03-09-2005 23:17 ]

zaterdag 3 september 2005 23:14

Acties:

Verwijderd

Maar kaspersky updaten lukte me nog steeds niet
Als je je log bekijkt zie je dat KL servers in de hosts file staan.
Wijzig/delete hosts file en update KAV.
Het lijkt me verstandig dat je de extended bases gebruikt, iig voor de eerste scan(s).

zaterdag 3 september 2005 23:19

Acties:
  • dj_tjerk
  • Registratie: Januari 2003
  • Laatst online: 25-11 20:55

dj_tjerk

Topicstarter
Ik kan me herrineren dat ik vanavond met hijackthis de hostfile geleegd heb en daarna kaspersky geprobeerd, ik kon zien dat er gewonload werd (ook als ik hostfile niet leegde), maar de computer liep vast tijdens het downloaden.

zondag 4 september 2005 01:43

Acties:
  • zetje01
  • Registratie: Augustus 1999
  • Laatst online: 30-11 20:46

zetje01

In je laatste logfile draaien veel te weinig processen, die pc is slechts half opgestart.
Die pc repareren (virussen en spyware verwijderen) is geen doen zo, format dat ding toch.

En als je tóch wil gaan internetten op dat ding in huidige staat, zet er dan eerst een firewall op zodat je alleen gecontroleerde verbindingen maakt.

zondag 4 september 2005 02:00

Acties:
  • DarkFlow
  • Registratie: Februari 2002
  • Laatst online: 24-11 15:32

DarkFlow

Ik ben ooit spyware tegengekomen die de DNS instellingen geaanpast had en zo sites kon blocken of vervangen zonder aan de hosts file te komen. Kan geen kwaad om dat ook nog even te controleren.

zondag 4 september 2005 19:54

Acties:
  • [Jules]
  • Registratie: Maart 2000
  • Laatst online: 11:27

[Jules]

Confusion in confusion

'T ding wordt ergens tijdens het opstarten ingeladen... dus moet het te vinden zijn.
Wat je overigens ook wel eens hebt is dat je iets verwijderd met HijackThis en dat het een seconde later weer doodleuk terug is; ongetwijfeld een process in het geheugen.
Dus voordat ik uberhaupt met HijackThis oid aan de gang ga kill ik alle processen die me niet bevallen met Process Explorer.
Soms zit er een process bij die 'vanzelf' weer terugkomt. Da's lastig. Vaak is het dan zo dat er een 'notifier' in het geheugen zit (HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon/Notify). En die krijg je wat lastiger weg. Is wel te doen maar het vereist geduld.
Met DllCompare en KillBox kun je ze verwijderen. Ik heb nog een handleiding daarvoor mocht je dat willen.
Pas als je alle 'foute' processen uit je geheugen hebt heeft het zin om HijackThis te draaien.
Dan niet rebooten maar stug nog een keer draaien (effe kijken wat er terug komt).
Controleer ook op files in een ADS (zit ook in HijackThis) en check ook je winsock eens met LSPFix (lees wel de readme).
Alle spyware is te verwijderen domweg omdat het ergens een keertje wordt opgestart. 't is alleen even zoeken.

Knowing others is to be clever.
Knowing yourself is to be enlightened.
Overcoming others requires force.
Overcoming yourself requires strength.

zondag 4 september 2005 21:34

Acties:

Verwijderd

[Jules] schreef op zondag 04 september 2005 @ 19:54:

Alle spyware is te verwijderen domweg omdat het ergens een keertje wordt opgestart. 't is alleen even zoeken.
Sommige van de meeste succesvolle Ad/SpyWare werkt dmv. file infection, hoe wil je dat zo direct gaan vinden? Elke file op het systeem gaan disassemblen en dan zoeken?

Die noemer gaat dus niet noodzakelijk op en is ook een van de redenen waarom alle anti-spyware apps gedoemd zijn te mislukken.

zondag 4 september 2005 23:00

Acties:
  • [Jules]
  • Registratie: Maart 2000
  • Laatst online: 11:27

[Jules]

Confusion in confusion

Verwijderd schreef op zondag 04 september 2005 @ 21:34:
[...]

Sommige van de meeste succesvolle Ad/SpyWare werkt dmv. file infection, hoe wil je dat zo direct gaan vinden? Elke file op het systeem gaan disassemblen en dan zoeken?

Die noemer gaat dus niet noodzakelijk op en is ook een van de redenen waarom alle anti-spyware apps gedoemd zijn te mislukken.
Ik kom niet verder dan een CWS variant... welke files infecteert deze? en waarom zijn deze niet te vinden of te vervangen?

Werkt een virusscanner ook dmv het disassemblen van alle files op je systeem?

Knowing others is to be clever.
Knowing yourself is to be enlightened.
Overcoming others requires force.
Overcoming yourself requires strength.

zondag 4 september 2005 23:14

Acties:

Verwijderd

[Jules] schreef op zondag 04 september 2005 @ 23:00:
[...]


Ik kom niet verder dan een CWS variant... welke files infecteert deze? en waarom zijn deze niet te vinden of te vervangen?
Mijn punt is dat zoiets niet van 'de buitenkant' te zien is, (ook) niet in het register.
Dus dan is een AV (zga) noodzakelijk om het zoeken voor je te doen.

maandag 5 september 2005 12:56

Acties:
  • [Jules]
  • Registratie: Maart 2000
  • Laatst online: 11:27

[Jules]

Confusion in confusion

Verwijderd schreef op zondag 04 september 2005 @ 23:14:
[...]

Mijn punt is dat zoiets niet van 'de buitenkant' te zien is, (ook) niet in het register.
Dus dan is een AV (zga) noodzakelijk om het zoeken voor je te doen.
Dan zijn we er toch uit? :P
Ik beweer ook niet dat je de hele handel handmatig kunt verwijderen; je zult altijd spyware/adware/virusscanners nodig hebben.
Je kunt echter wel veel dingen zelf herkennen. En het is wellicht ook leuker om te onderzoeken omdat je dan weer wat leert van de werking van je Windows systeem... een tweaker is een tweaker, toch? :)

Knowing others is to be clever.
Knowing yourself is to be enlightened.
Overcoming others requires force.
Overcoming yourself requires strength.

maandag 5 september 2005 21:20

Acties:
  • dj_tjerk
  • Registratie: Januari 2003
  • Laatst online: 25-11 20:55

dj_tjerk

Topicstarter
In de temp folder staan allemaal Was*.tmp bestanden. Van daaruit infecteert hij. Opgestart wordt via Run en Runservices, en hoe vaak ik ze ook probeer weg te halen, na het opstarten staan ze er vrolijk weer. (in veilige modus/diagnostisch worden ze dan weliswaar niet opgestart, maar ze zijn er wel).

maandag 5 september 2005 22:40

Acties:
  • Sassie
  • Registratie: November 1999
  • Laatst online: 13:07

Sassie

Kun je die tempfolder dan niet in de veilige modus leegmaken? En dan mbv hijackthis zaken opschonen (oa in het Run en Runservices deel).
Draai bijv eens CCleaner (in de veilige modus).

Je zult sowieso stapsgewijs te werk moeten gaan en de uitkomsten van iedere stap moeten analyseren voordat je verder gaat. Het lijkt me nu zo een 'seek en destroy' missie.

Trouwens zoeken/maken die virussen nog verbinding met internet? Heb je dat al geblocked voor de zekerheid (firewall of de modemstekker eruit trekken).
Andere optie zou nog kunnen zijn: HD eruit halen en in een andere pc stoppen om te scannen (op virussen/spyware natuurlijk).

[ Voor 36% gewijzigd door Sassie op 05-09-2005 22:52 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq