[Dialer] .tmp.exe - Privacy en beveiliging

zaterdag 25 februari 2006 08:30

Acties:

Topicstarter

Ik heb dialer binnengekregen via de ck-key van een spel (rfactor-cdkey.exe). Het bestand bleek een dialer te zijn, dus heb ik hem weggegooid dat ging gewoon maar nu blijft hij zichzelf maar openen en steeds met een ander bestandje. Al deze bestandjes komen in de Windows/temp map en eindigen allemaal op .tmp.exe .

Nou kan die dialer geen verbinding maken maar hij blijft het maar proberen waardoor ik steeds foutmeldingen krijg en m'n pc nogal vervuild (hij blijft ook iedere keer draaien). Ik heb meerdere scans uitgevoerd met: Ad-aware, Xoftspy, Microsoft Antispyware en Norton Antivirus maar geen van deze programma's herkent het of ziet het als iets wat er niet zou moeten zijn.

Plaatje van de dialer als ie zichzelf weer eens opent:
http://members.chello.nl/~g-dekker/dialer1.jpg (gebeurt eens in de 2 min ongeveer en wordt gevolgd door een berichtje dat de dialer geen verbinding kan maken)

Plaatjes van vervuilde temp map:
http://members.chello.nl/~g-dekker/dialer2.jpg
http://members.chello.nl/~g-dekker/dialer3.jpg

En een plaatje van de processen:
http://members.chello.nl/~g-dekker/dialer4.jpg

Ik hoop dat er iemand een andere oplossing weet dan windows opnieuw instaleren.

zaterdag 25 februari 2006 08:36

Acties:

Verwijderd

Oei...

Probeer ten eerste een Housecall scan van Trend micro, zorg dat je erna als het niet wordt opgelost dat je safe mode ff induikt en alle verwijzigingen naar die CD-key.exe uit het register sloopt via MSConfig. Die voer je uit in Start, uitvoeren "msconfig" <enter>.

zaterdag 25 februari 2006 08:54

Acties:

ictprutser

Schotse_Hooglanders

ik heb een vergelijkbare binnengehaald van de week

Een aantal tmp bestanden heb ik nog niet weg. Wel kon ik alle .tmp.exe verwijderen (let op eerst afsluiten via taskmanager) waardoor ik er geen last meer van heb.

zaterdag 25 februari 2006 09:06

Acties:

Dipsausje

Topicstarter

ictprutser schreef op zaterdag 25 februari 2006 @ 08:54:
ik heb een vergelijkbare binnengehaald van de week Een aantal tmp bestanden heb ik nog niet weg. Wel kon ik alle .tmp.exe verwijderen (let op eerst afsluiten via taskmanager) waardoor ik er geen last meer van heb.

Dat is mij ook gelukt alle .tmp.exe bestanden had ik verwijderd en bijna alle .tmp bestanden ook, en toen kwam het opeens weer terug

Ik heb ze maar weer is verwijdert, maar direct met opnieuw opstarten is er weer een .tmp.exe file en veel .tmp files. De .tmp.exe file is deze keer win17.tmp.exe en de meldingen zijn er ook al weer

. Ik zal die housecall maar is proberen misschien dat dat helpt.

[ Voor 23% gewijzigd door Dipsausje op 25-02-2006 09:28 ]

zaterdag 25 februari 2006 10:07

Acties:

_the_crow_

Rare vogel

Dit topic gaat volgens mij over hetzelfde. Dus dat betekent dat dit een vrij nieuw iets is. Heb je alles up-to-date?

Schrödingers cat: In this case there are three determinate states the cat could be in: these being Alive, Dead, and Bloody Furious.

zaterdag 25 februari 2006 10:35

Acties:

Dipsausje

Topicstarter

Ik zag dat andere topic ook net, met de search kon ik niks vinden, vandaar dat ik dit topic opende.

Ik heb nu nog meer problemen, met typen gaat de cursor steeds terug als ik een paar letters getypt heb.

En alles behalve norton is up to date (subscription norton moet nog verlengt worden). Zou iemand trouwens kunnen uitleggen met welk programma ze het nou in dat andere topic opgelost hebben??

zaterdag 25 februari 2006 10:41

Acties:

_the_crow_

Rare vogel

Dipsausje schreef op zaterdag 25 februari 2006 @ 10:35:
Ik zag dat andere topic ook net, met de search kon ik niks vinden, vandaar dat ik dit topic opende.

Ik heb nu nog meer problemen, met typen gaat de cursor steeds terug als ik een paar letters getypt heb.

En alles behalve norton is up to date (subscription norton moet nog verlengt worden). Zou iemand trouwens kunnen uitleggen met welk programma ze het nou in dat andere topic opgelost hebben??

Met Kaspersky Anti-virus. Je kan daar een 30-day trial van downloaden.

Schrödingers cat: In this case there are three determinate states the cat could be in: these being Alive, Dead, and Bloody Furious.

zaterdag 25 februari 2006 12:56

Acties:

Dipsausje

Topicstarter

Bedankt, kraspersky heeft het inderdaad verholpen, maar wat wordt je pc er sloom van zeg.

zaterdag 25 februari 2006 13:02

Acties:

plakbandrol

Dipsausje schreef op zaterdag 25 februari 2006 @ 12:56:
Bedankt, kraspersky heeft het inderdaad verholpen, maar wat wordt je pc er sloom van zeg.

ik heb hier ook kaspersky draaien, en je merkt er niets van, hij doet alleen af en toe een volledige systemscan op de achtergrond, en dan wordt je pc inderdaad zo traag als bagger

zaterdag 25 februari 2006 13:05

Acties:

Verwijderd

Dipsausje schreef op zaterdag 25 februari 2006 @ 12:56:
Bedankt, kraspersky heeft het inderdaad verholpen, maar wat wordt je pc er sloom van zeg.

Heb je NAV geuninstalled?

plakbandrol schreef op zaterdag 25 februari 2006 @ 13:02:
[...]

ik heb hier ook kaspersky draaien, en je merkt er niets van, hij doet alleen af en toe een volledige systemscan op de achtergrond, en dan wordt je pc inderdaad zo traag als bagger

Maintenance Pack 4 voor KAV5 zorgt ervoor dat de pc niet meer zo vertraagd zal worden bij een on-demand scan. Op het moment in bèta, final release binnen een paar weken.

zaterdag 25 februari 2006 13:05

Acties:

hessel

Dipsausje schreef op zaterdag 25 februari 2006 @ 12:56:
Bedankt, kraspersky heeft het inderdaad verholpen, maar wat wordt je pc er sloom van zeg.

wel de ander virus scaner verwijderd....van 2 scaners word je pc nl traaaaaaaaaaaag

Grutte Pier fansels

zaterdag 25 februari 2006 13:15

Acties:

Dipsausje

Topicstarter

Het kwam omdat ie bezig was met een scan op de achtergrond, en als ik NAV erafgooi ben ik ook m'n firewall kwijt. Kaspersky had toch ook een firewall?

zaterdag 25 februari 2006 13:21

Acties:

Verwijderd

Kaspersky Anti-Hacker is de firewall van Kaspersky afaik

OT: Laat het wel een wijze les voor je zijn om niet steeds de eerste de beste crack van internet af te halen

, tenminste als die illegaal was maar die conclusie kan ik wel trekken uit je verhaal

zaterdag 25 februari 2006 14:26

Acties:

De Cowboy

Ik heb dit ding ook binnen gekregen...

Er zijn 2 zichtbare processen/files die heeel vaak worden gestart (20x), win***.tmp.exe en ddl***.tmp.exe, waarbij * verschillende letters/nummers zijn.
Afsluiten en bestanden verwijderen heeft geen zin, ze worden opnieuw gedownload/geinstalleerd.

Als processexplorer aan geeft waardoor een programma wordt gestart, dan start winlogon win***.tmp.exe, dat weer ddl***.tmp.exe start.

Volgens http://virusscan.jotti.org/ is ddl een dialer, dat zeggen alle scanners. Bij win geven de volgende een melding:

BitDefender
Found Dropped:Generic.Malware.Sdld.84E18185 (probable variant)
Dr.Web
Found Trojan.MulDrop.3293
VBA32
Found Embedded.Porn-Dialer.Win32.Agent.z (probable variant)

Winlogon.exe geeft 0 meldingen, dus ik denk dat iets anders de win bestanden start. Is er een tooltje waarmee ik kan zien waardoor een proces is gestart ?

Ik stuur een voorbeeld win en ddl bestand naar virus@kaspersky.nl, hopelijk is dit op te lossen.

zaterdag 25 februari 2006 14:45

Acties:

Dipsausje

Topicstarter

Je hoeft geen bericht te sturen, kaspersky (her)kent deze trojan al en verwijderd het bestand dat het veroorzaakt, vervolgens kun je je temp map leeggooien en gebeurt er niks meer.

@Martyr: eerste de beste... ik heb er uren voor moeten zoeken ja. Maar ik zal in het vervolg braaf alles kopen

Of nouja ik bedoel m'n cracks scannen, toch wel grappig een crack voor kaspersky scannen met... kaspersky

[ Voor 40% gewijzigd door Dipsausje op 25-02-2006 14:48 ]

zaterdag 25 februari 2006 14:46

Acties:

De Cowboy

Ik krijg hem alleen steeds opnieuw

(meerdere full scans gedaan))

[ Voor 29% gewijzigd door De Cowboy op 25-02-2006 14:47 ]

zaterdag 25 februari 2006 14:48

Acties:

Verwijderd

win[3 chars].tmp.exe = Trojan-Dropper voor not-a-virus:Porn-Dialer.Win32.Agent.z.
(Zorgt er ook voor dat er automagisch op "Yes" 'geklikt' wordt bij het opstarten van de Dialer).

Beide bestanden manifesteren zich echter niet op zulke manier dat ze automatisch opgestart worden als Windows start. Daar zal dus een ander malware component verantwoordelijk voor moeten zijn.

Deze processen zijn gewoon mbv. taskmanager te killen, daarna kunnen ze verwijderd worden.

zaterdag 25 februari 2006 14:49

Acties:

Dipsausje

Topicstarter

De Cowboy schreef op zaterdag 25 februari 2006 @ 14:46:
Ik krijg hem alleen steeds opnieuw (meerdere full scans gedaan))

Kaspersky verwijdert de veroorzaker pas met opnieuw opstarten heh...

zaterdag 25 februari 2006 14:50

Acties:

De Cowboy

Ah, bedankt. Ik ga wel verder op zoek.