/u/127226/Gunsicon.JPG?f=community)
Ik heb bij een klant een probleem:
Iexplore draait en crashed terwijl gebruiker niet surft(dus geen IE GUI heeft draaien) daarnaast wordt het scherm waarin de klant werkt eens in de zoveel tijd gedeselecteerd.
De klant heeft uiteraard geklaagd, en toen ik de machine overnam en in de taskmanager keek zag ik de volgende 2 onbekende processen draaien:
Aixgvuuv.exe
Jgdskwfs.exe
Deze laatste heb ik eerder gezien en ook niet weg kunnen krijgen, een kleine zoektocht via google ernaar leverde niks op.
ik zal later deze post updaten met een HiJackThis log, zodra de klant aan het lunchen is(tja werk moet ook door)
Wie weet wat deze Processen doen en hoe ik ze weg kan krijgen?
Edit: Volledige logfile hieronder
Logfile of HijackThis v1.99.1
Scan saved at 12:26:40, on 5-4-2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\aixgvuuv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\FSI\F-Prot\fpavupdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Program Files\FSI\F-Prot\F-StopW.EXE
C:\WINNT\system32\jgdskwfs.exe
C:\WINNT\system32\internat.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\wuauclt.exe
C:\dload\putty.exe
C:\dload\putty.exe
C:\dload\putty.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\dload\putty.exe
C:\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\nl\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\nl\msntb.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe
O4 - HKLM\..\Run: [F-StopW] C:\Program Files\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [FRISK FP-Scheduler] "C:\Program Files\FSI\F-Prot\F-Sched.exe" STARTUP
O4 - HKLM\..\Run: [MSConfig] C:\WINNT\system32\MSCONFIG.exe /auto
O4 - HKLM\..\Run: [jgdskwfs] C:\WINNT\system32\jgdskwfs.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [jgdskwfs] C:\WINNT\system32\jgdskwfs.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.nl
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.nl
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.c...eb_site.cab?1133361102093
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A584F98-9230-4E65-9793-4109A72C9C27}: NameServer = 195.64.32.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{5A584F98-9230-4E65-9793-4109A72C9C27}: NameServer = 195.64.32.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{5A584F98-9230-4E65-9793-4109A72C9C27}: NameServer = 195.64.32.3
O21 - SSODL: IEFilter - {349C7F02-834C-4998-95A4-2E32F1A36C6C} - C:\WINNT\system32\IEFilter.dll
O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Program Files\FSI\F-Prot\fpavupdm.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC.exe" -service (file missing)
Iexplore draait en crashed terwijl gebruiker niet surft(dus geen IE GUI heeft draaien) daarnaast wordt het scherm waarin de klant werkt eens in de zoveel tijd gedeselecteerd.
De klant heeft uiteraard geklaagd, en toen ik de machine overnam en in de taskmanager keek zag ik de volgende 2 onbekende processen draaien:
Aixgvuuv.exe
Jgdskwfs.exe
Deze laatste heb ik eerder gezien en ook niet weg kunnen krijgen, een kleine zoektocht via google ernaar leverde niks op.
ik zal later deze post updaten met een HiJackThis log, zodra de klant aan het lunchen is(tja werk moet ook door)
Wie weet wat deze Processen doen en hoe ik ze weg kan krijgen?
Edit: Volledige logfile hieronder
Logfile of HijackThis v1.99.1
Scan saved at 12:26:40, on 5-4-2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\aixgvuuv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\FSI\F-Prot\fpavupdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Program Files\FSI\F-Prot\F-StopW.EXE
C:\WINNT\system32\jgdskwfs.exe
C:\WINNT\system32\internat.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\wuauclt.exe
C:\dload\putty.exe
C:\dload\putty.exe
C:\dload\putty.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\dload\putty.exe
C:\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\nl\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\nl\msntb.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe
O4 - HKLM\..\Run: [F-StopW] C:\Program Files\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [FRISK FP-Scheduler] "C:\Program Files\FSI\F-Prot\F-Sched.exe" STARTUP
O4 - HKLM\..\Run: [MSConfig] C:\WINNT\system32\MSCONFIG.exe /auto
O4 - HKLM\..\Run: [jgdskwfs] C:\WINNT\system32\jgdskwfs.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [jgdskwfs] C:\WINNT\system32\jgdskwfs.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.nl
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.nl
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.c...eb_site.cab?1133361102093
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A584F98-9230-4E65-9793-4109A72C9C27}: NameServer = 195.64.32.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{5A584F98-9230-4E65-9793-4109A72C9C27}: NameServer = 195.64.32.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{5A584F98-9230-4E65-9793-4109A72C9C27}: NameServer = 195.64.32.3
O21 - SSODL: IEFilter - {349C7F02-834C-4998-95A4-2E32F1A36C6C} - C:\WINNT\system32\IEFilter.dll
O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Program Files\FSI\F-Prot\fpavupdm.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC.exe" -service (file missing)
[ Voor 82% gewijzigd door GravGunner op 05-04-2006 12:22 . Reden: Vraag stellen is ook handig ]
target assimilated
:strip_exif()/u/47664/afx_hax.gif?f=community)
:strip_exif()/u/11443/217096.gif?f=community)
/u/64936/crop560fa53296a1c.png?f=community)
