Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[Trojan/spyware]b.exe

Pagina: 1
Acties:
  • 2.423 views sinds 30-01-2008
  • Reageer

vrijdag 2 juni 2006 00:54

Acties:
  • aburrir
  • Registratie: Januari 2005
  • Laatst online: 07:38

aburrir

Topicstarter
Ik zit met het volgende probleem:

Telkens wanneer ik mijn computer opstart krijg ik een melding dat er een fout is opgestreden in b.exe. Ik kan bij uitvoeren de commands cmd en regedit niet meer gebruiken.

Nu kan ik wel b.exe verwijderen in de Windows dir, maar deze komt steeds weer terug bij het opnieuw aanmelden.

Ik heb in het register gezocht naar een sleutel b.exe of command b.exe, maar ik heb niks kunnen vinden.

Heeft iemand enig idee hoe ik dit kan oplossen?

vrijdag 2 juni 2006 00:55

Acties:
  • BasieP
  • Registratie: Oktober 2000
  • Laatst online: 19-10 08:18

BasieP

de faq lezen..
daarin staan een boel dingen die je volgens mij nog niet geprobeerd heb (aan je startpost te lezen)

denk aan dingen als hijackthis enzo
succes :)

@hieronder:
mja, maar hoeveel ervan zijn dezelfde executable? upload liever die file in een online virusscanner

[ Voor 27% gewijzigd door BasieP op 02-06-2006 01:01 ]

This message was sent on 100% recyclable electrons.

vrijdag 2 juni 2006 00:59

Acties:
  • Cassius
  • Registratie: Januari 2002
  • Niet online

Cassius

Moogles!

Typ voor de grap maar eens b.exe in google in ... :/ ... zoveel hits dat je er wel raad mee kan.

De meeste mensen deugen!

vrijdag 2 juni 2006 01:16

Acties:
  • EricJH
  • Registratie: November 2003
  • Laatst online: 29-11 20:50

EricJH

Doorzoek je resiter eens op b.exe. Dan vind je waarschijnlijk ergens een verwijzing naar b.exe en een andere file die b.exe bewaakt. Die ander moet dan ook gewist worden. Eventueel vanuit DOS.

vrijdag 2 juni 2006 10:55

Acties:
  • aburrir
  • Registratie: Januari 2005
  • Laatst online: 07:38

aburrir

Topicstarter
oke, sorry voor de slechte topicstart.

@BasieP:
Ik heb inderdaad google gebruikt, maar de meeste removers die je ziet brengen zelf spyware mee. Ik het het volgende wel geprobeerd, maar dit heeft geen zin gehad aangezien in de veilige modus geen sleutel is met de naam b.exe

http://www.pchelper.nl/fo...742&view=findpost&p=15706


@Ericjh:
Ik heb al geprobeerd om het register te doorzoeken, maar dit kan alleen in veilige modus aangezien de commands regedit en cmd het niet doen (er komt een foutmelding dat een ander programma deze gebruikt).

Verder kan ik ook geen ctrl-alt-delete doen, want deze reageert niet.


De Hijackthislog geeft het volgende:
Logfile of HijackThis v1.99.1
Scan saved at 10:48:45, on 2-6-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programmas\Antivir\AVGUARD.EXE
D:\Programmas\Server\Apache2\bin\Apache.exe
D:\Programmas\Antivir\AVWUPSRV.EXE
D:\Programmas\Server\MYSQL\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
D:\Programmas\Server\Apache2\bin\Apache.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
D:\Programmas\Antivir\AVGNT.EXE
C:\WINDOWS\system32\CTHELPER.EXE
D:\Programmas\Msgplus\MsgPlus.exe
D:\Programmas\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\LVCOMSX.EXE
D:\Programmas\Quickcam\LogiTray.exe
D:\Programmas\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
D:\Programmas\ZoneAlarm\zlclient.exe
C:\Program Files\Google\Google Talk\googletalk.exe
D:\Programmas\Mozilla\Firefox\firefox.exe
D:\Programmas\Acrobat Reader\Reader\reader_sl.exe
D:\Programmas\Server\Apache2\bin\ApacheMonitor.exe
C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\svchost.exe
D:\Programmas\Quickcam\FxSvr2.exe
D:\Programmas\iPod\bin\iPodService.exe
D:\Programmas\RealPlayer\RealPlay.exe
D:\Programmas\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\wuauclt.exe
E:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.siena.edu/community
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmas\Acrobat Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programmas\Antivir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programmas\Msgplus\MsgPlus.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programmas\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Programmas\Quickcam\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] D:\Programmas\Quickcam\LogiTray.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programmas\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programmas\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] D:\Programmas\Quickcam\ManifestEngine.exe boot
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programmas\Acrobat Reader\Reader\reader_sl.exe
O4 - Global Startup: Monitor Apache Servers.lnk = D:\Programmas\Server\Apache2\bin\ApacheMonitor.exe
O4 - Global Startup: svchost.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MISCOS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Ontvang alle bestanden door Net Transport - D:\Programmas\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Ontvangst door Net Transport - D:\Programmas\NetTransport 2\NTAddLink.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MISCOS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {3a4f9191-65a8-11d5-85c1-0001023952c1} (TE) - http://www.skylinesoft.co...raexplorer/install/TE.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.c...eb_site.cab?1133023938266
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.c...eb_site.cab?1133024391609
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/...sengerSetupDownloader.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programmas\Antivir\AVGUARD.EXE
O23 - Service: Apache2 - Unknown owner - D:\Programmas\Server\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programmas\Antivir\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programmas\iPod\bin\iPodService.exe
O23 - Service: MySQL - Unknown owner - D:\Programmas\Server\MYSQL\bin\mysqld-nt".exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

vrijdag 2 juni 2006 13:14

Acties:
  • gsteen
  • Registratie: November 2004
  • Laatst online: 13-01-2020

gsteen

code:
1
2

C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\svchost.exe
O4 - Global Startup: svchost.exe


Ik zou deze "svchost.exe" eens door een scanner halen. (Jotti bijvoorbeeld) De locatie is in iedergeval niet goed. Dit hoort %windir%\System32\ te zijn. ("C:\WINDOWS\system32\" bij jou)

[ Voor 22% gewijzigd door gsteen op 02-06-2006 13:17 ]

"In theory, there is no difference between theory and practice. But, in practice, there is."

vrijdag 2 juni 2006 15:46

Acties:
  • aburrir
  • Registratie: Januari 2005
  • Laatst online: 07:38

aburrir

Topicstarter
Ik zie dat deze file is aangemaakt op 28 mei, sindsdien kreeg ik de meldingen. Jotti bestempelt de file als een Trojan (dropper).

Is in hijackthis het fixen van het proces en het verwijderen van het bestand in opstarten voldoende om ervan af te komen?

vrijdag 2 juni 2006 16:16

Acties:
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 27-11 09:24

frickY

Grote kans dat die svchost de "bewaker" (de dropper ;)) is van b.exe
Voorkom dat 1 van de 2 nog opstart, en verwijder ze beide.

vrijdag 2 juni 2006 16:18

Acties:
  • gsteen
  • Registratie: November 2004
  • Laatst online: 13-01-2020

gsteen

Ik zou hijackthis dit in veilige modus laten fixen en je systeem dan een goede Virus/Malware scan geven, uiteraard ook in veilige modus. Je weet nooit wat de Trojan nog meer heeft achter gelaten.

[ Voor 2% gewijzigd door gsteen op 02-06-2006 16:19 . Reden: Kromme zin. ]

"In theory, there is no difference between theory and practice. But, in practice, there is."

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq