Probleem met spyware/malware - Privacy en beveiliging

maandag 23 januari 2006 11:40

Acties:

Verwijderd

Topicstarter

Ik heb hier een computer die vol staat met spyware. Na een aantal scans van Ad-aware en Spybots S&D was alles weg voor een tijdje, maar nu is alles weer teruggekomen. De startpagina is ingesteld als "About:Blank" maar er is dus toch informatie in die blanke pagina. Ook staan de processen die ik vorige keer uitgeschakeld en verwijderd had ook weer te runnen.

Hieronder een log van Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 11:37:54, on 23-1-2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\appuw.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\system32\crxe32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\MSIEXEC.EXE
C:\WINDOWS\System32\MsiExec.exe
C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\Rulaunch.exe
C:\Documents and Settings\Administrator\Bureaublad\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vjuwr.dll/sp.html#12047%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vjuwr.dll/sp.html#12047%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vjuwr.dll/sp.html#12047%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vjuwr.dll/sp.html#12047%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vjuwr.dll/sp.html#12047%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vjuwr.dll/sp.html#12047%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vjuwr.dll/sp.html#12047%resultposition.net
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Class - {AF487929-7910-25C4-CBCB-856855FC1F1B} - C:\WINDOWS\system32\d3xm32.dll
O2 - BHO: Class - {F9AC2D54-0AF8-5800-DF6C-9280CB4B42B5} - C:\WINDOWS\javafg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [appuw.exe] C:\WINDOWS\appuw.exe
O4 - HKLM\..\Run: [ntia32.exe] C:\WINDOWS\system32\ntia32.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Office2000\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromed...ve/cabs/flash/swflash.cab
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\crxe32.exe
O23 - Service: AVSync Manager (AvSynMgr) - Network Associates, Inc. - C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: McShield - Unknown owner - C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

De R1 en R0 onderdelen had ik al minstens 4x verwijderd, inclusief in de veilige modus. Maar nog blijft het terugkomen. Iemand een idee wat de bron kan zijn hiervan?

maandag 23 januari 2006 13:32

Acties:

Verwijderd

Topicstarter

Na nog een volledige scan uitgevoerd te hebben, heb ik ook de volgende bestanden verwijderd:

appfl.dll
d3qo32.dll
javafg.dll
iejh.dll
d3vc.exe
mfcqo.dll
d3xm32.dll

Ik las ook iets over een about:blank virus voor Windows 2000. Kan dit ook voorkomen in Windows XP?

De 3 bestanden die dikgedrukt staan, waren waarschijnlijk mogelijke bronbestanden die telkens de zooi terughaalde. Ik weet nog niet zeker of het volledig weg is, dat is nog even testen.
Mocht iemand toch nog info hierover hebben dan zou ik het graag horen.

[ Voor 7% gewijzigd door Verwijderd op 23-01-2006 13:33 ]

maandag 23 januari 2006 13:37

Acties:

pasta

Ondertitel

code:

1 2	C:\WINDOWS\appuw.exe C:\WINDOWS\system32\crxe32.exe

Kan je deze 2 bestanden eens scannen op Jotti's online malware scan? Vervolgens kan je ze cleanen met een virusscanner die de bestanden herkent als malware zijnde.

code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vjuwr.dll/sp.html#12047%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vjuwr.dll/sp.html#12047%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vjuwr.dll/sp.html#12047%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vjuwr.dll/sp.html#12047%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vjuwr.dll/sp.html#12047%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vjuwr.dll/sp.html#12047%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vjuwr.dll/sp.html#12047%resultposition.net
R3 - Default URLSearchHook is missing

Deze kunnen gewoon verwijderd worden. Let er wel op dat je ook vjuwr.dll eerst nog even scant op Jotti's online malware scan.

code:

1	O2 - BHO: Class - {AF487929-7910-25C4-CBCB-856855FC1F1B} - C:\WINDOWS\system32\d3xm32.dll

Dit bestand ook nog even scannen.

code:

1	O2 - BHO: Class - {F9AC2D54-0AF8-5800-DF6C-9280CB4B42B5} - C:\WINDOWS\javafg.dll

Hetzelfde geldt voor dit bestand

code:

1 2	O4 - HKLM\..\Run: [appuw.exe] C:\WINDOWS\appuw.exe O4 - HKLM\..\Run: [ntia32.exe] C:\WINDOWS\system32\ntia32.exe

Deze 2 entries kunnen verwijderd worden, alleen ntia32.exe nog even scannen.

code:

1	O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\crxe32.exe

Deze lijkt me daar ook niet op de correcte plaats te staan, kan dus ook weg.

Zorg ook dat je PC eens up-to-date is, je draait nu nog een kale XP installatie.

Signature

maandag 23 januari 2006 13:38

Acties:

Wildfire

Joy to the world!

Heb je de antispyware scans uitgevoerd onder de Veilige Modus? Dat kan namelijk heel wat verschil maken heb ik gemerkt.

Gewoon in Veilige Modus opstarten en dan Microsoft Antispyware, Lavasoft AdAware, Spybot Search & Destroy, CWShredder en HiJack This draaien.

(zorg er vantevoren natuurlijk wel voor dat alle scanners helemaal up-to-date zijn)

Ik denk dat je dan al een heel eind komt.

--

Edit: als je C-schijf FAT32 is, gewoon ff opstarten met een bootdisk en de foute DLL's handmatig wissen. Maar je C zal wel NTFS zijn, kun je ff op zoek naar een NTFS-bootdisk (of kan het misschien vanuit XP's recovery console?)

[ Voor 38% gewijzigd door Wildfire op 23-01-2006 13:39 ]

Systeemspecs | Mijn V&A spulletjes | Mijn RIPE Atlas probe