Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Hardnekkige Trojan - Trojan-spy en Agent

Pagina: 1
Acties:
  • 868 views sinds 30-01-2008
  • Reageer

vrijdag 22 juni 2007 00:44

Acties:

Verwijderd

Topicstarter
Beste Tweakers,

Na een hopeloze dag van scannen, verwijderen frustratie en tegenslagen heb ik jullie hulp nodig. Na een kort bezoek aan een site werd mijn computer geinfecteerd met een Trojan. Ik heb Kaspersky Anti Virus volledig geupdate. De trojans waarvan ik meldingen krijg zijn:

Trojan-spy.win32.vbstat.h

en

Trojan.win32.agent.aoy

Wat ik al heb gedaan:

- Alle processen gecheckt en uitgeschakeld zo ver mogelijk

- volledige virus scan met Kaspersky

- Handmatig schonen van registersleutels die als virus aangegeven werden door het programma Regcur

- Automatisch schonen van registersleutels door het programma PCClear Plus

- Ad-aware SE Professional 5.0 volledige scan

- Alle actieve Services gecheckt en uitgeschakeld waar mogelijk

- Bovenstaande stappen ook in Veilige Modus

- Hijack This log gecheckt. Heb er verder helaas weinig verstand van. Zie onderstaand Hijack This log. De met sterretjes gemarkeerd weet ik niet wat het is:


Logfile of HijackThis v1.99.1
Scan saved at 0:26:26, on 22-6-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
*C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
*C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
*C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Chaos Manager 2\cm2.exe
C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
*C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\EVEMon\EVEMon.exe
C:\Program Files\BPFTP Server\bpftpserver.exe
C:\Program Files\EVE\bin\ExeFile.exe
C:\Program Files\DU Super Controler\DUSuperControler.exe
C:\Program Files\DU Super Controler\DUSuperControler.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis\HijackThis.exe

*R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
*R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
*R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
*R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
*R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
*R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
*R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O1 - Hosts:
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [VersionCheck] "C:\Program Files\Onlineeye Pro\vcheck.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
*O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PCclear_Plus] "C:\Program Files\PCClear_Plus\PCclear_Plus.exe" /shide
*O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\xoyhmmib.dll",realset
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Chaos Manager loader.lnk = C:\Program Files\Chaos Manager 2\cm2.exe
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DUSuperControler.lnk = C:\Program Files\DU Super Controler\DUSuperControler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
*O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
*O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://www.interglot.com
O16 - DPF: {01010E00-5E80-11D8-9E86-0007E96C65AE} (SupportSoft SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab
O16 - DPF: {01012101-5E80-11D8-9E86-0007E96C65AE} (SupportSoft Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab
*O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.c...eb_site.cab?1125781280234
*O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn...rStatsClient.cab31267.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab
*O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macrom...ve/cabs/flash/swflash.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.hema.nl/site/xupload/XUpload.ocx
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by108fd.bay108.hotmail.msn.com/activex/HMAtchmt.ocx
*O17 - HKLM\System\CCS\Services\Tcpip\..\{2174CC93-E768-4426-8A59-8224CDC3CB5B}: NameServer = 195.121.1.34,195.121.1.66
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatic LiveUpdate Scheduler - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
*O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
*O23 - Service: Sandra Service (SandraTheSrv) - Unknown owner - (no file)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe


Ik ben hopeloos, ik krijg het niet weg. Mijn internet is erg langzaam, verschillende sites worden niet geladen (in eerste instantie niet, na tweede keer url intikken/link aanklikken wel), en ik krijg irritante reclame pop-ups zodra ik Internet Explorer open.

Ik heb XP Pro, SP2.

Van tijd tot tijd komt Kaspersky met een melding van een nieuwe Trojan in mijn Temp internet folder. Die laat ik dan uiteraard direct verwijderen.

Iemand enig idee wat ik kan doen?

vrijdag 22 juni 2007 00:56

Acties:
  • Alfa Novanta
  • Registratie: Oktober 2001
  • Laatst online: 22:32

Alfa Novanta

VRRROOOAAARRRP

Misschien eens even creatief zoeken naar deze Trojan's en kleine variaties op hun naam op http://www.symantec.com

Als je hier iets vind, staat er meteen een removal instructie en vaak zelfs een kleine .exe waarmee iets te fixen is.

En verder sowieso ff Google'n

Suc6

My Youtube channel: Alfa Novanta
AMD Ryzen 7 5800X | ASRock X470 Taichi | 32GB Kingston HyperX Predator DDR4-3200 RGB | Gigabyte RTX3090 Gaming OC 24GB GDDR6 | Windows 10 x64 | HP Reverb G2

vrijdag 22 juni 2007 09:43

Acties:

Verwijderd

O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\xoyhmmib.dll",realset

Zo'n melding in HijackThis (O4 - HKLM\..\Run) en een .dll met een vreemde naam is vaak foute boel.

Google dan even of die dll bekend is, dat is nu dus niet het geval.

Voordat je de dll gaat verwijderen, kijk dan even wat andere scanners er van zeggen op www.virustotal.com

Bewaar die gegevens van www.virustotal.com en zoek met behulp van die gegevens nog wat meer info

Mocht de dll niet verwijderd willen worden, wat heel goed mogelijk is.
Dan kun je UNDLL van Paolo Monti (NOD32) gebruiken.
http://www.nod32.it/tools/undll.zip
Zitten 2 bestanden in, uitpakken in een mapje en de exe starten.
rest wijst zich vanzelf wel.

vrijdag 22 juni 2007 09:54

Acties:

Verwijderd

Hier nog een plaatje van UNDLL

Afbeeldingslocatie: http://www.nod32.it/images/undll-screenshot-1-lg.png


Klik aan de linkerkant op "Select infected DLL"
Er opent zo'n browse venstertje, zoek de juiste dll en klik dan op "openen".

Op dat moment start UNDLL en zal de dll verwijderen + registerverwijzingen naar die dll

vrijdag 22 juni 2007 10:04

Acties:
  • Alfa Novanta
  • Registratie: Oktober 2001
  • Laatst online: 22:32

Alfa Novanta

VRRROOOAAARRRP

^ dies nice :)

Vergeet niet dat er ook vaak nog wat processen draaien die de boel in de gaten houden, zodat, zodra je een dll of zelfs .exe verwijderd, ze die bikkelhard meteen weer terugzetten. Daarom, opschoonacties ook alleen in veilige modus en zonder internetverbinding!
Verwijderd schreef op vrijdag 22 juni 2007 @ 09:43:
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\xoyhmmib.dll",realset

Zo'n melding in HijackThis (O4 - HKLM\..\Run) en een .dll met een vreemde naam is vaak foute boel.
^ met stom :Y)

[ Voor 39% gewijzigd door Alfa Novanta op 22-06-2007 10:16 ]

My Youtube channel: Alfa Novanta
AMD Ryzen 7 5800X | ASRock X470 Taichi | 32GB Kingston HyperX Predator DDR4-3200 RGB | Gigabyte RTX3090 Gaming OC 24GB GDDR6 | Windows 10 x64 | HP Reverb G2

vrijdag 22 juni 2007 16:44

Acties:

Verwijderd

Download VundoFix.exe en plaats het op je bureaublad.
Dubbelklik VundoFix.exe om het programma te starten.
Klik op de knop Scan for Vundo.
Als de scan klaar is, klik je op de knop "Remove Vundo".
Er wordt gevraagd of je de bestanden wil verwijderen. Klik op "YES".
Nadat je op de "YES" hebt geklikt, zullen de icoontjes op je bureaublad verdwijnen.
Je krijgt een melding dat je PC zal afsluiten. Klik op "OK".
Start je pc opnieuw.
Het is mogelijk dat vundofix een bestand gevonden heeft dat niet kon verwijderd worden.
In dit geval zal VundoFix na het heropstarten van je pc nog eens opstarten. Dan moet je de instructies van hierboven nog eens uitvoeren vanaf: "Klik op de knop "Scan for Vundo".
Post de inhoud van C:\vundofix.txt.

Start HijackThis nog een keer en plaats een vinkje bij de volgende items:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O1 - Hosts:
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\xoyhmmib.dll",realset
Klik daarna op "Fix checked" en sluit HijackThis af.

Start HijackThis opnieuw, maak een nieuwe log en post deze.

vrijdag 22 juni 2007 16:56

Acties:
  • Petervanakelyen
  • Registratie: December 2006
  • Laatst online: 30-04 12:52

Petervanakelyen

check oodag.exe ook eens na, want het kan inderdaad een utility van MS zijn, maar ook een trojan ofzo. Bij Jotti's Malwarescan ( http://virusscan.jotti.org ) kan je je bestand uploaden dan wordt het door verschillende virusscanners gecheckd.

Somewhere in Texas there's a village missing its idiot.

vrijdag 22 juni 2007 17:59

Acties:

Verwijderd

oodag.exe is van O&O defrag, draait hier op mijn malware vrije pc ook....

vrijdag 22 juni 2007 18:05

Acties:
  • DLGandalf
  • Registratie: Maart 2005
  • Laatst online: 29-11 13:12

DLGandalf

Zo maar even algemene raad, wat bij mij tot nu toe altijd tot resultaat heeft geleid

-niet te missen in zulke situaties zijn autoruns en Process Explorer
-zo kan je de bestanden opsporen die tot het virus behoren
-daarna kan je met een willekeurige linux distro met NTFS support die bestanden eraf gooien. Nu kan het virus niet meer opstarten. (je kan natuurlijk ook een bestands verwijderaar gebruiken die start voordat windows compleet is gestart )


schoon hierna nogmaals alles op (dubbel check dus) en klaar is kees

[ Voor 20% gewijzigd door DLGandalf op 22-06-2007 18:07 ]

zondag 24 juni 2007 23:54

Acties:

Verwijderd

Topicstarter
@ Kape:

Ik heb je stappenplan gevolgd, bij deze de twee logs van Hijack this en van Vundofix.exe:

Logfile of HijackThis v1.99.1
Scan saved at 23:46:00, on 24-6-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\PCClear_Plus\PCclear_Plus.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\DU Super Controler\DUSuperControler.exe
C:\Program Files\DU Super Controler\DUSuperControler.exe
C:\Program Files\Chaos Manager 2\cm2.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {769C5AA9-22CB-4F3E-85CC-EA616AC5393B} - C:\WINDOWS\system32\jkkll.dll (file missing)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [VersionCheck] "C:\Program Files\Onlineeye Pro\vcheck.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PCclear_Plus] "C:\Program Files\PCClear_Plus\PCclear_Plus.exe" /shide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Chaos Manager loader.lnk = C:\Program Files\Chaos Manager 2\cm2.exe
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DUSuperControler.lnk = C:\Program Files\DU Super Controler\DUSuperControler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://www.interglot.com
O16 - DPF: {01010E00-5E80-11D8-9E86-0007E96C65AE} (SupportSoft SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab
O16 - DPF: {01012101-5E80-11D8-9E86-0007E96C65AE} (SupportSoft Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.c...eb_site.cab?1125781280234
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn...rStatsClient.cab31267.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macrom...ve/cabs/flash/swflash.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.hema.nl/site/xupload/XUpload.ocx
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by108fd.bay108.hotmail.msn.com/activex/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{2174CC93-E768-4426-8A59-8224CDC3CB5B}: NameServer = 195.121.1.34,195.121.1.66
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatic LiveUpdate Scheduler - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Sandra Service (SandraTheSrv) - Unknown owner - (no file)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe


VundoFix V6.5.1

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Scan started at 23:35:59 24-6-2007

Listing files found while scanning....

C:\windows\system32\bimmhyox.ini
C:\windows\system32\bpxqjdpf.dll
C:\windows\system32\bwjcxien.ini
C:\windows\system32\fpdjqxpb.ini
C:\WINDOWS\system32\jkkll.dll
C:\windows\system32\llkkj.bak1
C:\WINDOWS\system32\llkkj.bak2
C:\WINDOWS\system32\llkkj.ini
C:\WINDOWS\system32\llkkj.ini2
C:\WINDOWS\system32\llkkj.tmp
C:\windows\system32\neixcjwb.dll
C:\WINDOWS\system32\orwpsysp.dll
C:\windows\system32\psyspwro.ini
C:\WINDOWS\system32\qxhracwg.dll
C:\WINDOWS\system32\wvutrrr.dll
C:\windows\system32\xoyhmmib.dll

Beginning removal...

Attempting to delete C:\windows\system32\bimmhyox.ini
C:\windows\system32\bimmhyox.ini Has been deleted!

Attempting to delete C:\windows\system32\bpxqjdpf.dll
C:\windows\system32\bpxqjdpf.dll Has been deleted!

Attempting to delete C:\windows\system32\bwjcxien.ini
C:\windows\system32\bwjcxien.ini Has been deleted!

Attempting to delete C:\windows\system32\fpdjqxpb.ini
C:\windows\system32\fpdjqxpb.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\jkkll.dll
C:\WINDOWS\system32\jkkll.dll Has been deleted!

Attempting to delete C:\windows\system32\llkkj.bak1
C:\windows\system32\llkkj.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\llkkj.bak2
C:\WINDOWS\system32\llkkj.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\llkkj.ini
C:\WINDOWS\system32\llkkj.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\llkkj.ini2
C:\WINDOWS\system32\llkkj.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\llkkj.tmp
C:\WINDOWS\system32\llkkj.tmp Has been deleted!

Attempting to delete C:\windows\system32\neixcjwb.dll
C:\windows\system32\neixcjwb.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\orwpsysp.dll
C:\WINDOWS\system32\orwpsysp.dll Has been deleted!

Attempting to delete C:\windows\system32\psyspwro.ini
C:\windows\system32\psyspwro.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\qxhracwg.dll
C:\WINDOWS\system32\qxhracwg.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\wvutrrr.dll
C:\WINDOWS\system32\wvutrrr.dll Could not be deleted.

Attempting to delete C:\windows\system32\xoyhmmib.dll
C:\windows\system32\xoyhmmib.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\orwpsysp.dll
C:\WINDOWS\system32\orwpsysp.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\wvutrrr.dll
C:\WINDOWS\system32\wvutrrr.dll Has been deleted!

Performing Repairs to the registry.
Done!


Ik kon alleen niet de regel

O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\xoyhmmib.dll",realset

vinden in Hijack This, dus die kon ik niet aanvinken.

Het pop-up probleem lijkt opgelost, voor zover ik nu merk. Echter: Bij het openen van een IE browser komt normala direct mijn startpagina (startpagina.nl) in beeld. Helaas is dit niet het geval nu. Ook veel andere websites laden niet, totdat ik nogmaals de URL in de HTTP-balk enter.

Wellicht is dit een heel ander probleem dat toevallig op het zelfde moment komt kijken, maar ik denk dat het nog met het virus te maken heeft. Enig idee?

Hartelijk dank tot nu toe aan jullie allemaal! Fantastisch!

PS: Excuus voor de late reactie, ik was het weekend weg.

maandag 25 juni 2007 11:10

Acties:

Verwijderd

Sluit alle open vensters.
Start HijackThis nog een keer en plaats een vinkje bij de volgende items:
O2 - BHO: (no name) - {769C5AA9-22CB-4F3E-85CC-EA616AC5393B} - C:\WINDOWS\system32\jkkll.dll (file missing)
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: Sandra Service (SandraTheSrv) - Unknown owner - (no file)
Klik daarna op "Fix checked" en sluit HijackThis af.

Staat bij het opstarten van je IE de startpagina “Startpagina.nl” al in de URL-balk ?

En je zou ook je Java eens moeten updaten. Oudere versies zijn veel gevoeliger voor besmettingen dan latere edities.

maandag 25 juni 2007 13:32

Acties:

Verwijderd

Topicstarter
Java update uitgevoerd, heb nu de nieuwste. Verder ook Hijack This weer gedaan zoals je zij, maar het probleem blijft. De URL staat direct in de adres balk. Nog andere ideeen?

Hier is de nieuwe Hijack This log:

Logfile of HijackThis v1.99.1
Scan saved at 13:31:45, on 25-6-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\DU Super Controler\DUSuperControler.exe
C:\Program Files\DU Super Controler\DUSuperControler.exe
C:\Program Files\Chaos Manager 2\cm2.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\EVEMon\EVEMon.exe
C:\Program Files\BitComet\BitComet.exe
C:\Program Files\BPFTP Server\bpftpserver.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [VersionCheck] "C:\Program Files\Onlineeye Pro\vcheck.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Chaos Manager loader.lnk = C:\Program Files\Chaos Manager 2\cm2.exe
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DUSuperControler.lnk = C:\Program Files\DU Super Controler\DUSuperControler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://www.interglot.com
O16 - DPF: {01010E00-5E80-11D8-9E86-0007E96C65AE} (SupportSoft SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab
O16 - DPF: {01012101-5E80-11D8-9E86-0007E96C65AE} (SupportSoft Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.c...eb_site.cab?1125781280234
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn...rStatsClient.cab31267.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macrom...ve/cabs/flash/swflash.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.hema.nl/site/xupload/XUpload.ocx
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by108fd.bay108.hotmail.msn.com/activex/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{2174CC93-E768-4426-8A59-8224CDC3CB5B}: NameServer = 195.121.1.34,195.121.1.66
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatic LiveUpdate Scheduler - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Sandra Service (SandraTheSrv) - Unknown owner - (no file)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

maandag 25 juni 2007 20:51

Acties:
  • Petervanakelyen
  • Registratie: December 2006
  • Laatst online: 30-04 12:52

Petervanakelyen

Dit mag ook wel weg :

O23 - Service: Automatic LiveUpdate Scheduler - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

Want het bestand bestaat niet meer, maar het zal niet veel uitmaken...

Somewhere in Texas there's a village missing its idiot.

maandag 25 juni 2007 21:38

Acties:

Verwijderd

Probeer dit eens voor de URL in je adres :
1. Start de Internet Explorer.
2. Ga naar Extra > Internet-opties > tabblad "Programma's".
3. Bijna onderaan staat "Webinstellingen herstellen". Klik hierop.
4. Klik ten slotte op Ja en OK.
Start de pc opnieuw op en kijk of het gelukt is.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq