Hardnekkige Trojaanse paarden - Privacy en beveiliging

zaterdag 31 december 2005 13:05

Acties:

Topicstarter

Ik heb twee hardnekkige Trojaanse paarden die maar niet willen verdwijnen:

\windows\alt.exe met Generic AdClicker.c

\windows\adsldpbf.dll1 met Downloader-ASC

McAfee Virusscan 10 verwijderd het bij elke reboot, maar je zou verwachten dat het dan ook weg is.

Ook na de reboot, tijdens het werken op de computer, krijg ik regelmatig meldingen van de virusscanner dat de twee Trojaanse paarden zijn verwijderd:

\windows\alt.exe1 met Generic AdClicker.c

\windows\adsldpbf.dll1 met Downloader-ASC

Ik gebruik verder Win XP sp2 met IE 6

Ik had o.a spy sheriff op mijn computer, maar heb deze (met een heleboel anderen verwijderd), o.a. met de info van deze site: http://users.telenet.be/marcvn/spyware/1191344.htm Ook het register lijkt me nu schoon, samen met de startup folder etc.

Ik kom nu niet verder. Iemand nog suggesties?

[…en dat allemaal na het bezoeken van 1 website

]

zaterdag 31 december 2005 13:08

Acties:

autodidact

zonder stom te willen klinken ofso, is het denk ik het veiligst ff lekker te formateren. schoon 2006 in. of is dit geen optie?

www.majorgeeks.com staan diverse removal tools.

[ Voor 17% gewijzigd door autodidact op 31-12-2005 13:09 ]

http://specs.tweak.to/12504

zaterdag 31 december 2005 13:09

Acties:

PeterEs

Heb je Hijackthis al geprobeerd? Als je je LOG upload naar www.hijackthis.de krijg je informatie te zien over de processen die draaien/worden gestart op je PC.

zaterdag 31 december 2005 13:29

Acties:

Sassie

Draai anders even een virusscan in de veilige modus. Grote kans dat die zooi die je in je startpost noemt dan niet opgestart wordt en wel verwijderd kan worden. Misschien handig om dan meteen nog een kaar op spyware te scannen met een aantal programma's (Adaware, Spybot S&D, MS Antispyware).

(overigens: formatteren lijkt me toch de allerlaatste optie)

Trouwens als je hijackthis.de gebruikt, houd er dan wel rekening mee dat die site ook niet perfect is. Het wil wel eens voorkomen dat software foutief geanalyseerd wordt: pasta in "vervelende advertenties"
Je moet de analyse dan ook niet blindelings vertrouwen. Zie ook: [rml][ HijackThis] analyzer[/rml]

[ Voor 30% gewijzigd door Sassie op 31-12-2005 13:48 ]

zaterdag 31 december 2005 13:36

Acties:

nIghtorius

Poef!

Spysheriff!! ugh!.. heb je ook zo'n irritante rode ding (die knippert en soms meldingen geeft) met een witte kruis in je systemtray? (bij de klok)..

Hitman Pro 2.x krijgt dat ding er niet af. De meeste virusscanners krijgen 'm er niet af, maar Microsoft Anti-Spyware in veilige modus krijgt 'm er wel af.

zaterdag 31 december 2005 15:15

Acties:

Verwijderd

Heel simpel;
We nemen van sysinternals.com processexplorer en tcpview
Hijackthis heb je als het goed is.

Start processexplorer en ga opzoek naar vreemde processes, rechter muis erop en suspend ze allemaal. Als je dat eenmaal gedaan hebt kan je ze stuk voor stuk killen. Het suspenden is nodig omdat het mogelijk is dat twee evilprocesses elkaar in de gaten houden en elkaar opstarten wanneer er een gekillt wordt. Zorg dat er ook geen Internet Explorer draait (deze wordt vaak gebruikt om processen in te verbergen). Als je eenmaal alle gekke dingen hebt gekillt kan je met hijackthis scannen. Vink alle dingen die er obscuur uitzien aan en druk op Fix. Reboot. Start weer processexplorer om te kijken of er obscure processen zijn terug gekomen die je gekillt had. Dubbel check evt. met tcpview of er geen gekke verbindingen zijn met je comp naar buiten.

Dit werkt bij mij vrijwel altijd. Tenslotte, neem een goede virusscanner, kaspersky bv.

zondag 1 januari 2006 10:46

Acties:

honey

Topicstarter

Het lijkt erop dat ik ze kwijt ben, hoewel ik niet geheel zeker ben welke stap daar verantwoordelijk voor was.

Ik heb HijackThis gebruikt en geanalyseerd op de website die boven wordt genoemd. Ik kwam erachter dat ik ook WINDOWS\system32\browsela.dll had.

Met Google kwam ik o.a. bij http://users.pandora.be/marcvn/spyware/1800998.htm en besloot win32delfkil.exe te gebruiken. Na de automatische reboot zag ik met HijackThis dat browsela.dll nog steeds aanwezig was. Omdat ik de adsl modem uit had staan weet ik niet zeker of alt.exe en adsldpbf.dll1 waren verdwenen.

Browsela.dll kreeg ik niet weg, ook niet in safe mode. Met processexplorer, een suggestie van 0x0 (hierboven), zag ik dat browsela.dll een onderdeel was van Winlogon.exe en Explorer.exe. Suspenden van beiden lukte wel, maar toen zat mijn systeem vast. Na een reboot en nog wat proberen (vastlopen en rebooten) zag ik dat het op een gegeven moment geen onderdeel meer was van Explorer.exe en kon ik Winlogon.exe wel suspenden. Met HijackThis geprobeerd te ‘fixen’, maar zonder succes. Toen besloot ik Winlogon the killen (na suspenden) en kreeg de ‘Blue Screen of Death’ in Windows. Spontane reboot en toen bleek browsela niet geladen. Het bestandje kon ik nu deleten in de WINDOWS\system32\ map. Na een reboot was en is het nog steeds weg. Nu ook geen meldingen meer van de andere twee.

Ik weet nu niet of browsela verantwoordelijk was voor de activiteit van de andere twee, maar het is nu opgelost.

Bedankt voor de suggesties, deze waren nodig om het voor elkaar te krijgen.

En nog de beste wensen!