More real team.exe - Privacy en beveiliging

woensdag 21 februari 2007 13:33

Acties:

Topicstarter

Ik heb sinds kort vaak last van een traaglopende computer.
Als ik dan kijk bij de draaiende processen, zie ik dat het proces 'more real team.exe' dan altijd rond de 90 / 95 CPU in beslag neemt.
Ik heb gescant met Ad-aware, spybot S&D, AVG en Avast!
Die vonden wel wat, maar niet het bewuste bestand / spyware.

Ik heb al gezocht op Google en verschillende spyware databases, maar kon niks vinden.

Het proces start na een minuut of 10 gewoon weer op als ik hem heb beëindigt.

Ik zit nu @ school, dus kan verder niet zoveel informatie geven.
Ik ben rond half 4 wel weer thuis achter mijn computer.

Weet iemand hoe ik hiervan af kom?

Alvast bedankt

Henk!

woensdag 21 februari 2007 13:56

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Bestandsnamen zijn bij malware "natuurlijk" vrij willekeurig te maken. Zoeken op filename heeft dus weinig zin. Maar er lijkt in ieder geval iets mis te zijn. Gooi het bestand even door wat goede webbased scanners zoals die van Jotti en/of anderen zoals hier in BV al vaak besproken

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 21 februari 2007 16:00

Acties:

Rikmans

Topicstarter

F_J_K schreef op woensdag 21 februari 2007 @ 13:56:
Bestandsnamen zijn bij malware "natuurlijk" vrij willekeurig te maken. Zoeken op filename heeft dus weinig zin. Maar er lijkt in ieder geval iets mis te zijn. Gooi het bestand even door wat goede webbased scanners zoals die van Jotti en/of anderen zoals hier in BV al vaak besproken

das het probleem nou juist, ik weet niet welk bestand het is..

ik zal effe zoeken in BV naar andere scans

[ Voor 19% gewijzigd door Rikmans op 21-02-2007 16:02 ]

Henk!

woensdag 21 februari 2007 16:01

Acties:

pven

Heb je gezocht naar het bestand 'more real team.exe'? Als je die vindt, dan kan je die toch scannen?

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

woensdag 21 februari 2007 16:07

Acties:

Rikmans

Topicstarter

pven schreef op woensdag 21 februari 2007 @ 16:01:
Heb je gezocht naar het bestand 'more real team.exe'? Als je die vindt, dan kan je die toch scannen?

Kheb hem gevonde.. Niet aan gedacht

AntiVir Found TR/Dldr.Swizzor.Gen
VirusBuster Found Adware.Lop.Gen
VBA32 Found Trojan-Downloader.Obfuscated.1 (paranoid heuristics) (probable variant)

___

oftewel ik moet het bestand verwijderen?

hij staat in de map

C:\Documents and Settings\(Naam van me pc)\Application Data\Styleeach

dit vertrouw ik dus al helemaal niet

hele map weggooien dan maar?

Henk!

woensdag 21 februari 2007 16:13

Acties:

pven

Lees de FAQ van dit forum eens door, daar staan de antwoorden op de vragen die je stelt.

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

woensdag 21 februari 2007 16:51

Acties:

Rikmans

Topicstarter

Voor zover ik kan zien, ben ik het nu helemaal kwijt.

Bedankt voor de hulp iig $_/-\o_$

Henk!

woensdag 21 februari 2007 17:23

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Trojan-Downloader

Weet je dat zeker? Wat deed dit trojaanse paard precies? Is die weg?

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 21 februari 2007 17:58

Acties:

Rikmans

Topicstarter

F_J_K schreef op woensdag 21 februari 2007 @ 17:23:
[...]

Weet je dat zeker? Wat deed dit trojaanse paard precies? Is die weg?

Wat die deed, geen idee, maar kan hem iig niet meer vinden @ me hdd, en ik kan hem ook niet meer met SpySweeper etc. vinden

Henk!

woensdag 21 februari 2007 18:26

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Mijn onderliggende vraag was dus: als je niet weet wat het deed, hoe kan je dan zeker weten dat schoon bent en er niet iets is achtergebleven? Da's het vervelende van (oa) trojans

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 21 februari 2007 21:13

Acties:

Rikmans

Topicstarter

Tja, cker weten kan ik het natuurlijk niet, maar als ik 5 / 6 scanners gebruikt heb, en niks vind, en ik de bestanden niet meer kan vinden, neem ik tog wel aan dat hij weg is?

Tenminste, dat hoop ik..

Maarja, heb nu dus via hitman pro, al die scans erover heen gedaan, plus me eigen virus scanners, en vind dus echt niks meer. lijkt me sterk dat er dan nog wat is achtergebleven

Henk!

woensdag 21 februari 2007 22:40

Acties:

pven

Just to be sure: ik neem aan dat je hebt gescanned in de 'safe mode' / 'veilig mode' ?

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

vrijdag 23 februari 2007 08:37

Acties:

Rikmans

Topicstarter

pven schreef op woensdag 21 februari 2007 @ 22:40:
Just to be sure: ik neem aan dat je hebt gescanned in de 'safe mode' / 'veilig mode' ?

Dat heb ik ook gedaan ja

Hij vond niks.

Henk!

vrijdag 23 februari 2007 14:09

Acties:

Clueless

Persoonlijk zou ik mijn proceslist ff nakijken op wat er allemaal instaat. Als er nog meer rare/onbekende dingen instaan dan zou ik deze ff door Google heen halen.

I Don't Know, So Don't Shoot Me

vrijdag 23 februari 2007 16:09

Acties:

Rikmans

Topicstarter

Clueless schreef op vrijdag 23 februari 2007 @ 14:09:
Persoonlijk zou ik mijn proceslist ff nakijken op wat er allemaal instaat. Als er nog meer rare/onbekende dingen instaan dan zou ik deze ff door Google heen halen.

dat heb ik ook gedaan, niks gevonden

Dus hopelijk ben ik er nu echt vanaf

Maar iig, iedereen tnx he

Henk!

zaterdag 24 februari 2007 13:24

Acties:

Sassie

Niet alle actieve processen hoeven ook per se in de process list te staan hoor.
Ipv ctrl-alt-del in te drukken zou je beter eens een hijackthislog kunnen maken.
Zie http://www.merijn.org/programs.php#hijackthis

zaterdag 24 februari 2007 13:35

Acties:

Snake

Los Angeles, CA, USA

Ik weet dat het zeer drastisch is, maar ik maak altijd backup van bestanden naar andere pc, scan ze, en formateer de besmette pc.

Ben je direct van alles verlost;

Going for adventure, lots of sun and a convertible! | GMT-8

zaterdag 24 februari 2007 13:43

Acties:

Verwijderd

Snakiej schreef op zaterdag 24 februari 2007 @ 13:35:
Ik weet dat het zeer drastisch is, maar ik maak altijd backup van bestanden naar andere pc, scan ze, en formateer de besmette pc.

Ben je direct van alles verlost;

Dat doe ik ook altijd idd

dinsdag 27 februari 2007 22:04

Acties:

Rikmans

Topicstarter

Verwijderd schreef op zaterdag 24 februari 2007 @ 13:43:
[...]

Dat doe ik ook altijd idd

tja, kan niet formateren

me vader had onze windows xp cd-rom uitgeleend, en onze licentie-key. oftewel ik heb nu een legale master-key van een bedrijf erop, en dat bedrijf heeft er een wachtwoord opgezet waardoor ik niet kan formateren

Sassie schreef op zaterdag 24 februari 2007 @ 13:24:
Niet alle actieve processen hoeven ook per se in de process list te staan hoor.
Ipv ctrl-alt-del in te drukken zou je beter eens een hijackthislog kunnen maken.
Zie http://www.merijn.org/programs.php#hijackthis

doe ik morgen even

btw, sorry dat ik amper reageer, kben nogal game verslaafd

Henk!

woensdag 28 februari 2007 11:04

Acties:

Rikmans

Topicstarter

Logfile of HijackThis v1.99.1
Scan saved at 11:03:42, on 28-2-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WhatPulse\WhatPulse.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\TechSmith\SnagIt 8\SnagIt32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Xfire\xfire.exe
C:\Program Files\TechSmith\SnagIt 8\TSCHelp.exe
C:\Program Files\TechSmith\SnagIt 8\SnagPriv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\SSU.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Documents and Settings\Fam. Heite\Bureaublad\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.home.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door @Home
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 82.114.68.194:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdmcks.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [about team 4 bike] "C:\Documents and Settings\All Users\Application Data\size roam about team\programsafe.exe"
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [WhatPulse] "C:\Program Files\WhatPulse\WhatPulse.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [JUMP PILE] C:\DOCUME~1\FAM~1.HEI\APPLIC~1\STYLEE~1\PartBashAce.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\xfire.exe
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: SnagIt 8.lnk = C:\Program Files\TechSmith\SnagIt 8\SnagIt32.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://start.home.nl/
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.putfile.com/includes/ImageUploader4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjim.../hgstart/HGPlugin9USA.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

Henk!

woensdag 28 februari 2007 11:11

Acties:

|sWORDs|

vSphere/ESXi

Rikmans schreef op dinsdag 27 februari 2007 @ 22:04:
[...]

tja, kan niet formateren me vader had onze windows xp cd-rom uitgeleend, en onze licentie-key. oftewel ik heb nu een legale master-key van een bedrijf erop, en dat bedrijf heeft er een wachtwoord opgezet waardoor ik niet kan formateren

[...]

Dit slaat echt helemaal nergens op. Wat je zegt is dat je een schaar hebt uitgeleend, je daarom een betonschaar van de buren hebt en die de betonschaar op slot hebben gedaan.

Het enige wat een klein beetje in de buurt zou komen zou zijn dat iemand een corporate key/windows op de pc gezet heeft, je hd als enige bootdevice en een bios wachtwoord ingesteld heeft. Niet zo netjes op andermans pc, los daarvan is een corporate key van een bedrijf dan wel legaal, maar niet legaal op jouw pc.

Process: fdm.exe
Name: Adware.Win32.Free Download Manager
Risklevel: Medium
Company: FreeDownloadManager.ORG

Description:
FreeDownload Manager is a full-featured download accelerator and manager. The FreeDownload Manager is an adware bundler that comes with some other adware programs like WhenU etc. The program installs other adwares which can only be removed if the user first removes the original application.

Characteristics:
Shows different offers from its affiliates
Installs other adware programs.
Slows the system
Remains in the memory

Name: WhatPulse
Filename: WhatPulse.exe
Command: C:\Program Files\WhatPulse\WhatPulse.exe
Description: WhatPulse sends statistics on how much you type on your computer and ranks you based on that. It does not log your keystrokes, but only the counts of them.
File Location: C:\Program Files\WhatPulse\WhatPulse.exe
Startup Type: This startup entry is started automatically from a Run, RunOnce, RunServices, or RunServicesOnce entry in the registry.

En O4 - HKLM\..\Run: [about team 4 bike] "C:\Documents and Settings\All Users\Application Data\size roam about team\programsafe.exe" lijkt een lop.com restje! Staat de file er nog?

[ Voor 56% gewijzigd door |sWORDs| op 28-02-2007 11:26 ]

Te Koop:24 Core Intel Upgradeset

woensdag 28 februari 2007 11:18

Acties:

danslo

O4 - HKLM\..\Run: [about team 4 bike] "C:\Documents and Settings\All Users\Application Data\size roam about team\programsafe.exe"

Wat is dit trouwens? Ik zou eens even de kaspersky trial halen en die volledig updaten.. Toen jotti nog statistics vertoonde hebben zij wel laten zien dat ze de hoogste detection ratio hebben/hadden.

woensdag 28 februari 2007 18:52

Acties:

Rikmans

Topicstarter

|sWORDs| schreef op woensdag 28 februari 2007 @ 11:11:
[...]

Dit slaat echt helemaal nergens op. Wat je zegt is dat je een schaar hebt uitgeleend, je daarom een betonschaar van de buren hebt en die de betonschaar op slot hebben gedaan.

Het enige wat een klein beetje in de buurt zou komen zou zijn dat iemand een corporate key/windows op de pc gezet heeft, je hd als enige bootdevice en een bios wachtwoord ingesteld heeft. Niet zo netjes op andermans pc, los daarvan is een corporate key van een bedrijf dan wel legaal, maar niet legaal op jouw pc.

[...]
[...]

En O4 - HKLM\..\Run: [about team 4 bike] "C:\Documents and Settings\All Users\Application Data\size roam about team\programsafe.exe" lijkt een lop.com restje! Staat de file er nog?

Tja, ik kan er ook niks aandoen van die key, ik heb al contact opgenomen met het bewuste bedrijf (goede vrienden van me) en ik heb de garantie gekregen dat ze hem als ik erom vraag, formateren etc. zonder kosten. Maar goed, ze hebben wel goede service etc. dus ik maak me er niet druk om

Wat betreft die file, hij staat er idd nog. kzal kijken of ik hem dmv. kaspersky etc. kan verwijderen

edit:

heel fijn, moet ik eerst mijn virusscan verwijderen (avast!) voordat ik de trial van kaspersky kan installen

[ Voor 4% gewijzigd door Rikmans op 28-02-2007 18:59 ]

Henk!

woensdag 28 februari 2007 20:23

Acties:

Sassie

Naast deze:

O4 - HKLM\..\Run: [about team 4 bike] "C:\Documents and Settings\All Users\Application Data\size roam about team\programsafe.exe"

Vertrouw ik deze ook niet zo:

O4 - HKCU\..\Run: [JUMP PILE] C:\DOCUME~1\FAM~1.HEI\APPLIC~1\STYLEE~1\PartBashAce.exe

Laat beide exe's eens analyseren op http://virusscan.jotti org

En deze kunnen ook wel weg:

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

Verder zag in dat je Messenger Plus geinstalleerd hebt. Ik hoop dat dat zonder de 'sponsor' geinstalleerd is... Die sponser is namelijk adware.

donderdag 1 maart 2007 11:37

Acties:

Rikmans

Topicstarter

Oke, komt ie

O4 - HKLM\..\Run: [about team 4 bike] "C:\Documents and Settings\All Users\Application Data\size roam about team\programsafe.exe"

die is nu weg

fdm.exe (free download manager) is nu ook weg.

O4 - HKCU\..\Run: [JUMP PILE] C:\DOCUME~1\FAM~1.HEI\APPLIC~1\STYLEE~1\PartBashAce.exe

die is nergens meer te bekennen.

Alles van partypoker.com is ook weg.

Ik heb inderdaad msn plus, en ja, zonder sponser

Ik heb opnieuw verscheidene scans erover heen gedaan, en ik kon nu werkelijk niets meer vinden.
Dus als het goed is, is mijn probleem nu opgelost

Bedankt voor de hulp iedereen

Henk!