Is een map in mijn documenten een virus? - Privacy en beveiliging

woensdag 8 november 2006 15:49

Acties:

Verwijderd

Topicstarter

Ik zag per toeval een rare map staan in: c:my documents/*mijn persoonlijke map*/.jenny

Het gaat dus om het mapje .jenny. (die . is geen typefout) In deze map staat 1 bestand genaamd:
397CD73571349E7160BA670A6E97609D_397CD73571349E7160BA670A6E97609D_prints.tmp

Ik heb nu geen idee bij welk programma dit mapje hoort, en of dit een virus of spyware is. Het enige wat ik weet is op welke datum het is gemaakt en de grootte.

Ik heb een hijackthis log gemaakt en zelf zie ik niks raars:

Logfile of HijackThis v1.99.1
Scan saved at 15:46:08, on 8-11-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
e:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
E:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
E:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\System32\alg.exe
E:\Mijn docus\Downloads\Compressed\ProcessExplorerNt\procexp.exe
E:\OLD Program Files OLD\OLD DC++ OLD\Incoming\Apps\utorrent.exe
E:\Program Files\Firefox\Mozilla Firefox\firefox.exe
C:\Documents and Settings\*mijn map*\Bureaublad\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - E:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - E:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - E:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - E:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - E:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "E:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: Download All Links with IDM - E:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - E:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Linked Ima&ges - E:\Program Files\IEimage\IEimage.htm
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - E:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Linked Images - {D8980DE8-9D4C-4fb0-8FB4-95B1FA4125AD} - E:\Program Files\IEimage\IEimage.htm
O9 - Extra 'Tools' menuitem: Linked Ima&ges - {D8980DE8-9D4C-4fb0-8FB4-95B1FA4125AD} - E:\Program Files\IEimage\IEimage.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendm.../win32/activex/hcImpl.cab
O16 - DPF: {81025641-DE98-4F76-902A-44F48B3510BE} - http://housecall65.trendm.../win32/activex/hcImpl.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - e:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - E:\Program Files\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - E:\Program Files\Norton Internet Security\comHost.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-service (navapsvc) - Symantec Corporation - E:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDAgent - Raxco Software, Inc. - E:\Program Files\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - E:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: Planner voor Automatische LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - E:\Program Files\Advanced Registry Doctor\RegManServ.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - E:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - E:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - E:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

Ik draai dagelijks wat spyware programma's als AVG-anti spyware, Spybot, Spysweeper en Ad-aware. En elke week draai ik norton en voor de zekerheid nog eens een online scan van Housecall. Die vonden allemaal niks.

Is dit mapje nu gevaarlijk of niet?

bvd

woensdag 8 november 2006 16:05

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Je dumpt nu een logfile, maar zie je zelf nog dingen die er volgens jou niet thuis horen? Zo zie ik 2x een msn/windows messenger, klopt dat?

Wat staat er trouwens in dat file (mbv bijv. kladblok)?

Kijk evt ook middels filemon wie er in leest/schrijft. Al verwacht ik dat het gewoon een "net" programma is dat onhandig wegschrijft.

Gebruik hoe dan ook ajb even [code] tags.

[ Voor 33% gewijzigd door F_J_K op 08-11-2006 16:06 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 8 november 2006 16:08

Acties:

Kixtart

Destruction = Improvement

De automatische scanner van www.hijackthis.de ziet iig niets 'nasty'. Er zitten een paar 'possible nasty' in maar die zien er wel goed uit. Probeer je log daar eens, zodat je het zelf nog eens kan doorkijken.

☻/
/▌
/ \

woensdag 8 november 2006 16:09

Acties:

Palomar

Kans is groot dat die map gewoon is aangemaakt door een bepaald programma dat je zelf hebt geinstalleerd. Gebeurt wel vaker dat programma's hun settings in je "my documents"-map gooien.

Als je virusscanner niks vindt en de PC verder ook niet raar doet zou ik het maar het vorodeel van de twijfel geven

Je kunt de map nog even verwijderen en kijken of ie niet automatisch weer wordt aangemaakt.

woensdag 8 november 2006 16:13

Acties:

Viper®

jenny?

klinkt als zo'n desktop girl ofzo, zo'n dansend vrouwtje

woensdag 8 november 2006 16:37

Acties:

Verwijderd

Topicstarter

Viper® schreef op woensdag 08 november 2006 @ 16:13:
jenny?

klinkt als zo'n desktop girl ofzo, zo'n dansend vrouwtje

Idd, maar dat is het niet.

woensdag 8 november 2006 16:38

Acties:

Verwijderd

Topicstarter

F_J_K schreef op woensdag 08 november 2006 @ 16:05:
Je dumpt nu een logfile, maar zie je zelf nog dingen die er volgens jou niet thuis horen? Zo zie ik 2x een msn/windows messenger, klopt dat?

Wat staat er trouwens in dat file (mbv bijv. kladblok)?

Kijk evt ook middels filemon wie er in leest/schrijft. Al verwacht ik dat het gewoon een "net" programma is dat onhandig wegschrijft.

Gebruik hoe dan ook ajb even [code] tags.

2x msn ja dat klopt. Windows messenger en MSN messenger.

woensdag 8 november 2006 16:42

Acties:

Verwijderd

Topicstarter

Nou nou nou....stom

. Ik heb het bestand geopend met kladblok en ik weet nu wat het is.
Het is een overblijfsel van foto's afkomstig van mijn digicam.

Alleen het rare vind ik nu nog steeds dat de map de naam .jenny heeft gekregen. Die naam heb ik niet gevonden toen ik het openende met kladblok.

Iig geval bedankt voor de tips, anders was ik er nooit achtergekomen.

(topic mag van mij weg)

woensdag 8 november 2006 16:42

Acties:

Viper®

Verwijderd schreef op woensdag 08 november 2006 @ 16:38:
[...]

2x msn ja dat klopt. Windows messenger en MSN messenger.

beide verwijderen en Windows Live Messenger installeren ?

woensdag 8 november 2006 16:42

Acties:

Viper®

Verwijderd schreef op woensdag 08 november 2006 @ 16:42:
Nou nou nou....stom. Ik heb het bestand geopend met kladblok en ik weet nu wat het is.
Het is een overblijfsel van foto's afkomstig van mijn digicam.

Alleen het rare vind ik nu nog steeds dat de map de naam .jenny heeft gekregen. Die naam heb ik niet gevonden toen ik het openende met kladblok.

Iig geval bedankt voor de tips, anders was ik er nooit achtergekomen.

(topic mag van mij weg)

Oe, leuke foto's van Jenny dus

woensdag 8 november 2006 16:44

Acties:

Verwijderd

Topicstarter

Viper® schreef op woensdag 08 november 2006 @ 16:42:
[...]

beide verwijderen en Windows Live Messenger installeren ?

Ik gebruik alleen MSN messenger, en ik dacht dat de gewone messenger een onderdeel van windows is.

woensdag 8 november 2006 16:46

Acties:

Verwijderd

Topicstarter

Oe, leuke foto's van Jenny dus

Nou ik ken geen jenny dus ik snap niet dat het mapje jenny heet. (stonden er maar foto's op van een 'leuke' jenny

)

[ Voor 0% gewijzigd door Verwijderd op 08-11-2006 16:47 . Reden: Spelfoutje ]

woensdag 8 november 2006 16:48

Acties:

fsfikke

* * * *

Verwijderd schreef op woensdag 08 november 2006 @ 16:44:
[...]

Ik gebruik alleen MSN messenger, en ik dacht dat de gewone messenger een onderdeel van windows is.

Je hebt Messenger, Windows Messenger, MSN Messenger en Live messenger.
Die eerste is een service die bij Windows hoort (heb je niet perse nodig) die tweede is een simpele 'MSN', die derde is de standaard MSN, en de laatste is de nieuwste versie van 'MSN'.

Zijn spaties in de aanbieding ofzo? www.spatiegebruik.nl

woensdag 8 november 2006 16:48

Acties:

Viper®

Verwijderd schreef op woensdag 08 november 2006 @ 16:44:
[...]

Ik gebruik alleen MSN messenger, en ik dacht dat de gewone messenger een onderdeel van windows is.

Klopt deels

http://www.pchell.com/support/removemessenger.shtml

zo krijg je hem echt weg

MSN messenger is vervangen door live messenger volgens mij

Pagina: 1

Reageer