Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Mass mailing? probleem

Pagina: 1
Acties:
  • 722 views sinds 30-01-2008
  • Reageer

zondag 24 juni 2007 21:23

Acties:

Verwijderd

Topicstarter
Sinds een aantal dagen geeft Kaspersky de hele dag door een popupje met de mededeling:
"Running process C:\WINDOWS\system32\services.exe: detected modification of riskware 'Mass-mailer software'."

Ik heb met Kaspersky geprobeerd het te fixen, helaas niet gelukt.. Ook met Ad-Aware SE Personal verdween het popupje niet.. Ofwel, er is iets met mijn pc niet in de haak. Omdat ik verder niet meer wist wat te doen, heb ik een Hijackthis log gemaakt. Ik hoop dat iemand me kan vertellen wat er aan de hand is en wat te doen.

Hier het log:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63

 Logfile of HijackThis v1.99.1
Scan saved at 18:32:39, on 24-6-2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brss01a.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\WLTRAY.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Security Task Manager\taskman.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\winhlp32.exe
C:\WINDOWS\winhlp32.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Downloaded programs\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windfinder.com/forecast/groningen
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6DE443EE-FBE6-4720-93EF-57698E9044D1} - C:\WINDOWS\System32\ursst.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [U.S. Robotics Wireless Manager UI] C:\WINDOWS\System32\WLTRAY
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [ipmon] ipmon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://aeilt.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2285C91-A5CB-4129-A501-80458C797B63}: NameServer = 192.168.2.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: iifeccc - iifeccc.dll (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O20 - Winlogon Notify: ursst - C:\WINDOWS\
O20 - Winlogon Notify: winoqx32 - winoqx32.dll (file missing)
O20 - Winlogon Notify: wudb - C:\WINDOWS\
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: U.S. Robotics Wireless LAN Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE (file missing)


Met Security Task Manager was er een drietal '.dll' s die potentieel gevaarlijk zijn.

1: ibm00002.dll Type: DLL
2: ursst.dll Type: Internet
3: iifeccc.dll Type: DLL

Wie kan me adviseren wat te doen??

Alvast bedankt!

Aeilko

zondag 24 juni 2007 22:28

Acties:

Verwijderd

Het bestand services.exe is clean - het is een legitiem Windows bestand - het proces echter niet.

ibm00002.dll is zéér waarschijnlijk een nieuwe Trojan-PSW.Win32.Sinowal variant.
Sinowal injecteert zich in services.exe, wat de melding van KAV verklaart.

Zou je aub de door jou genoemde DLLs naar virus@kaspersky.nl kunnen sturen?
In de directory waar ibm00002.dll staat, zullen waarschijnlijk nog meer bestanden staan. Stuur die ook.

maandag 25 juni 2007 06:05

Acties:

Verwijderd

Controleer ook eens het bestand O4 - HKLM\..\Run: [ipmon] ipmon.exe op www.virustotal.com

maandag 25 juni 2007 10:47

Acties:
  • Bart1983
  • Registratie: September 2004
  • Laatst online: 21:58

Bart1983

Verwijderd schreef op maandag 25 juni 2007 @ 06:05:
Controleer ook eens het bestand O4 - HKLM\..\Run: [ipmon] ipmon.exe op www.virustotal.com
ipmon.exe wordt vaak toegevoegd door:

Backdoor Recerv:
http://www.symantec.com/s...docid=2003-042813-0206-99

en

Backdoor R3C
http://www.symantec.com/s...docid=2004-032316-3538-99

maandag 25 juni 2007 22:00

Acties:

Verwijderd

Download VundoFix.exe en plaats het op je bureaublad.
Dubbelklik VundoFix.exe om het programma te starten.
Klik op de knop Scan for Vundo.
Als de scan klaar is, klik je op de knop "Remove Vundo".
Er wordt gevraagd of je de bestanden wil verwijderen. Klik op "YES".
Nadat je op de "YES" hebt geklikt, zullen de icoontjes op je bureaublad verdwijnen.
Je krijgt een melding dat je PC zal afsluiten. Klik op "OK".
Start je pc opnieuw.
Note: Het is mogelijk dat vundofix een bestand gevonden heeft dat niet kon verwijderd worden.
In dit geval zal VundoFix na het heropstarten van je pc nog eens opstarten. Dan moet je de instructies van hierboven nog eens uitvoeren vanaf: "Klik op de knop "Scan for Vundo".
Post de inhoud van C:\vundofix.txt.

Start HijackThis nog een keer en plaats een vinkje bij de volgende items:

[O2 - BHO: (no name) - {6DE443EE-FBE6-4720-93EF-57698E9044D1} - C:\WINDOWS\System32\ursst.dll (file missing)
O4 - HKLM\..\Run: [ipmon] ipmon.exe
O20 - Winlogon Notify: iifeccc - iifeccc.dll (file missing)
O20 - Winlogon Notify: ursst - C:\WINDOWS\
O20 - Winlogon Notify: winoqx32 - winoqx32.dll (file missing)
O20 - Winlogon Notify: wudb - C:\WINDOWS\
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: U.S. Robotics Wireless LAN Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE (file missing)

Start HijackThis opnieuw, maak een nieuwe log en post deze.

dinsdag 26 juni 2007 11:46

Acties:

Verwijderd

Topicstarter
Bedankt allemaal! Vundofix is nu aan het werk.. Inmiddels is Vundofix klaar. Dit is het report:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14

VundoFix V6.5.1

Checking Java version...

Scan started at 11:21:31 26-6-2007

Listing files found while scanning....

C:\WINDOWS\System32\iifeccc.dll

Beginning removal...

Performing Repairs to the registry.
Done!


@ Schouw, ik wil dat bestandje best naar je mailen, maar ik kan het niet vinden.. Niet met de zoekfunctie in ieder geval.

@ Zomaar, ook de ipmon.exe kan ik niet vinden..

Hoe kan ik deze bestanden te pakken krijgen?

dinsdag 26 juni 2007 13:59

Acties:

Verwijderd

@ Aeilko,

Dat is er al eentje dat we kwijt zijn : iifeccc.dll

Download Combofix naar je Bureaublad.
Dubbelklik Combofix.exe
Volg de instructies, typ 1 in om door te gaan met de scan.
Zolang de fix aan het uitvoeren is, NIET in het venster klikken, want je pc zal volledig vasthangen.
Als de fix gedaan is, zal een log genaamd combofix.txt openen.
Plaats deze log in je volgende reply samen met een nieuw logje van HijackThis.
Mocht het zo zijn dat je antivirus een melding geeft van een scriptuitvoering, gewoon negeren.

dinsdag 26 juni 2007 15:46

Acties:

Verwijderd

Topicstarter
Ik krijg ondertussen al geen popup's van Kaspersky meer over 'mass mailer'. Ben ik op zich blij om, maar betekend dat dat m'n pc Clean is?
Nogmaals, ik wil best de ibm00002.dll naar je mailen, maar dan moet ik wel weten waar ik dat bestand kan vinden..

Bedankt iig voor alle moeite!

Vundofix, Combofix gedaan, Hijackthis gedaan, vinkjes gezet bij die dingen die KAPE schreef, nog een keer Hijackthis gedaan, en dit is daarvan het log:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48

Logfile of HijackThis v1.99.1
Scan saved at 15:17:39, on 26-6-2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Downloaded programs\Hijackthis\HijackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windfinder.com/forecast/groningen
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://aeilt.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2285C91-A5CB-4129-A501-80458C797B63}: NameServer = 192.168.2.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: U.S. Robotics Wireless LAN Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE (file missing)


Combofix log:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221

"Aeilt" - 2007-06-26 14:29:57 - ComboFix 07-06-26.8   NTFS  


(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Program Files\Common Files\microsoft shared\web folders\ibm00001.dll
C:\WINDOWS\system32\xpdx.sys


(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))


-------\nm
-------\xpdx


(((((((((((((((((((((((((   Files Created from 2007-05-26 to 2007-06-26  )))))))))))))))))))))))))))))))


2007-06-26 14:28    49,152  --a------   C:\WINDOWS\nircmd.exe
2007-06-26 11:21    <DIR>   d--------   C:\VundoFix Backups
2007-06-25 08:42    524,288 --ah-----   C:\DOCUME~1\kornelis\NTUSER.DAT
2007-06-25 08:42    <DIR>   dr-h-----   C:\DOCUME~1\kornelis\Onlangs geopend
2007-06-25 08:42    <DIR>   dr-------   C:\DOCUME~1\kornelis\Mijn documenten
2007-06-25 08:42    <DIR>   dr-------   C:\DOCUME~1\kornelis\Menu Start
2007-06-25 08:42    <DIR>   dr-------   C:\DOCUME~1\kornelis\Favorieten
2007-06-25 08:42    <DIR>   d--h-----   C:\DOCUME~1\kornelis\Sjablonen
2007-06-25 08:42    <DIR>   d--h-----   C:\DOCUME~1\kornelis\Netwerkprinteromgeving
2007-06-25 08:42    <DIR>   d--------   C:\DOCUME~1\kornelis\Bureaublad
2007-06-24 18:47    <DIR>   d--------   C:\DOCUME~1\Aeilt\APPLIC~1\Help
2007-06-24 17:46    <DIR>   d--------   C:\DOCUME~1\ALLUSE~1\APPLIC~1\SecTaskMan
2007-06-24 17:44    <DIR>   d--------   C:\Program Files\Security Task Manager
2007-06-22 15:45    20,096  --a------   C:\WINDOWS\system32\drivers\MSIRCOMM.sys
2007-06-12 11:31    73  --a------   C:\WINDOWS\system32\ssprs.dll
2007-06-12 11:31    205 --a------   C:\WINDOWS\system32\lsprst7.dll
2007-06-12 11:31    1,025   --a------   C:\WINDOWS\system32\sysprs7.dll
2007-06-12 11:31    1,025   --a------   C:\WINDOWS\system32\clauth2.dll
2007-06-12 11:31    1,025   --a------   C:\WINDOWS\system32\clauth1.dll
2007-06-12 11:22    <DIR>   d--------   C:\Program Files\SPSSEVAL
2007-06-09 10:38    913,914 ---hs----   C:\WINDOWS\system32\tssru.ini2
2007-06-09 10:21    911,649 ---hs----   C:\WINDOWS\system32\tssru.bak1
2007-06-06 14:02    <DIR>   d--------   C:\DOCUME~1\ALLUSE~1\APPLIC~1\NCH Software
2007-06-06 13:59    <DIR>   d--------   C:\DOCUME~1\Aeilt\APPLIC~1\NCH Software
2007-06-06 10:07    82,258  --a------   C:\WINDOWS\system32\drivers\klin.dat
2007-06-06 10:07    82,258  --a------   C:\WINDOWS\system32\drivers\klick.dat
2007-06-06 10:06    82,720  --ahs----   C:\WINDOWS\system32\drivers\fidbox2.dat
2007-06-06 10:06    2,292,000   --ahs----   C:\WINDOWS\system32\drivers\fidbox.dat
2007-06-06 10:06    <DIR>   d--------   C:\Program Files\Kaspersky Lab
2007-06-06 10:06    <DIR>   d--------   C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kaspersky Lab
2007-06-05 23:05    <DIR>   d--------   C:\KAV
2007-06-03 17:13    40,960  --a------   C:\WINDOWS\uneng.exe
2007-06-03 17:12    <DIR>   d--------   C:\Program Files\Common Files\Adaptec Shared
2007-06-03 17:12    <DIR>   d--------   C:\Program Files\Adaptec
2007-06-03 17:06    479,232 --a------   C:\WINDOWS\system32\DfwExt.exe
2007-06-03 17:06    <DIR>   d--------   C:\Program Files\Philips
2007-06-01 19:08    <DIR>   d--------   C:\Program Files\MSN Messenger
2007-05-29 21:48    69,632  --a------   C:\WINDOWS\system32\lfgif13n.dll
2007-05-29 21:48    57,344  --a------   C:\WINDOWS\system32\lfbmp13n.dll
2007-05-29 21:48    462,848 --a------   C:\WINDOWS\system32\ltkrn13n.dll
2007-05-29 21:48    450,560 --a------   C:\WINDOWS\system32\ltimg13n.dll
2007-05-29 21:48    401,408 --a------   C:\WINDOWS\system32\lfcmp13n.dll
2007-05-29 21:48    299,008 --a------   C:\WINDOWS\system32\ltdis13n.dll
2007-05-29 21:48    206,336 --a------   C:\WINDOWS\system32\ltefx13n.dll
2007-05-29 21:48    163,840 --a------   C:\WINDOWS\system32\ltfil13n.dll
2007-05-29 14:52    <DIR>   d--------   C:\Program Files\Soulseek


((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-25 08:08:12 53,616  ----a-w C:\WINDOWS\system32\perfc013.dat
2007-06-25 08:08:12 364,568 ----a-w C:\WINDOWS\system32\perfh013.dat
2007-06-03 15:13:41 45,056  ----a-w C:\WINDOWS\system32\cdrtc.dll
2007-06-03 15:13:41 45,056  ----a-w C:\WINDOWS\system32\cdral.dll
2007-06-03 15:07:25 --------    d--h--w C:\Program Files\InstallShield Installation Information
2007-05-29 16:00:51 --------    d-----w C:\Program Files\Google
2007-05-25 09:52:20 --------    d-----w C:\DOCUME~1\Aeilt\APPLIC~1\Apple Computer
2007-05-25 08:05:09 --------    d-----w C:\DOCUME~1\Aeilt\APPLIC~1\Skype
2007-05-20 11:52:08 --------    d-----w C:\Program Files\Skype
2007-05-20 11:52:08 --------    d-----w C:\Program Files\Common Files\Skype
2007-05-15 13:42:55 --------    d-----w C:\Program Files\Common Files\Wise Installation Wizard
2007-05-13 11:01:56 --------    d-----w C:\Program Files\Picasa2
2007-05-12 12:43:06 --------    d-----w C:\DOCUME~1\Aeilt\APPLIC~1\TuneUp Software
2007-05-09 11:29:04 1,156   ----a-w C:\WINDOWS\mozver.dat
2007-05-08 18:19:19 --------    d-----w C:\Program Files\FireTune
2007-05-08 18:19:02 737,280 ----a-w C:\WINDOWS\iun6002.exe
2007-05-08 18:16:45 --------    d-----w C:\DOCUME~1\Aeilt\APPLIC~1\Talkback
2007-05-08 18:16:29 0   ----a-w C:\WINDOWS\nsreg.dat
2007-05-05 10:01:04 --------    d-----w C:\DOCUME~1\Aeilt\APPLIC~1\MSN6
2007-05-05 08:20:17 --------    d-----w C:\DOCUME~1\Aeilt\APPLIC~1\Lavasoft
2007-05-05 08:17:41 --------    d-----w C:\Program Files\Lavasoft
2007-04-28 07:26:29 --------    d-----w C:\Program Files\Shareaza Turbo Accelerator
2007-04-27 17:51:06 --------    d-----w C:\Program Files\Shareaza
2007-04-27 16:43:19 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2007-04-27 16:43:19 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
2007-04-26 06:13:33 50  ----a-w C:\WINDOWS\system32\bridf05a.dat
2007-04-26 06:13:20 --------    d-----w C:\Program Files\Brother
2007-04-26 06:12:39 --------    d-----w C:\Program Files\Common Files\InstallShield
2007-04-26 06:06:36 --------    d-----w C:\Program Files\Common Files\ScanSoft Shared
2007-04-26 06:06:13 --------    d-----w C:\Program Files\ScanSoft
2007-04-25 19:33:39 380,928 ----a-w C:\WINDOWS\system32\srkey.exe
2007-04-24 18:43:12 0   --sha-r C:\MSDOS.SYS
2007-04-24 18:43:12 0   --sha-r C:\IO.SYS
2007-04-24 18:43:12 0   ----a-w C:\CONFIG.SYS
2007-04-24 18:43:12 0   ----a-w C:\AUTOEXEC.BAT
2007-04-24 18:34:58 21,748  ----a-w C:\WINDOWS\system32\emptyregdb.dat


(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
 
 
*Note* empty entries & legit default entries are not shown 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{6DE443EE-FBE6-4720-93EF-57698E9044D1}=C:\WINDOWS\System32\ursst.dll []
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ipmon"="ipmon.exe" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-09-07 13:00]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 07:14]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifeccc]
iifeccc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ursst]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winoqx32]
winoqx32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wudb]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Aeilt^Menu Start^Programma's^Opstarten^Shareaza Turbo Accelerator.lnk]
path=C:\Documents and Settings\Aeilt\Menu Start\Programma's\Opstarten\Shareaza Turbo Accelerator.lnk
backup=C:\WINDOWS\pss\Shareaza Turbo Accelerator.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programma's^Opstarten^Adobe Reader Snelle start.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\Adobe Reader Snelle start.lnk
backup=C:\WINDOWS\pss\Adobe Reader Snelle start.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programma's^Opstarten^Adobe Reader Synchronizer.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programma's^Opstarten^Google Updater.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programma's^Opstarten^Statusvenster.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\Statusvenster.lnk
backup=C:\WINDOWS\pss\Statusvenster.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdaptecDirectCD]
"C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\bbSysTray]
C:\Program Files\Philips\Extern station\Blue Button\bbSysTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter2.0]
C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]
C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Program Files\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Program Files\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Program Files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetDefPrt]
C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
"C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost  - netsvcs
NtmlSvc


HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}
rundll32 iesetup.dll,IEAccessUserInst

Contents of the 'Scheduled Tasks' folder
2007-06-08 15:15:00  C:\WINDOWS\tasks\Easy Onderhoud.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-26 14:51:23
Windows 5.1.2600  NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-26 14:55:12
C:\ComboFix-quarantined-files.txt ... 2007-06-26 14:54

    --- E O F ---

dinsdag 26 juni 2007 19:13

Acties:

Verwijderd

Je log van HiJackThis is volkomen clean. Dat is alvast goed nieuws.

Wil je nu nog de "resten" van je besmetting verwijderen, dan moet je in het register een aantal sleutels verwijderen die verband houden met de "beestjes" op je PC.

Enige ervaring met het werken in het register ?
Start > Uitvoeren -> typ REGEDIT en klik op OK.
Maak een registerbackup.
- Ga (in de geopende registereditor) naar “bestand” en kies “exporteren”.
- Kies in het volgende venster de plaats waar je de backup wil opslaan.
- Geef het bestand een naam die refereert naar de handeling die je gaat doen. Bv "Massmailer".

Delete volgende sleutels :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{6DE443EE-FBE6-4720-93EF-57698E9044D1}=C:\WINDOWS\System32\ursst.dll []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ipmon"="ipmon.exe" []
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifeccc]
iifeccc.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ursst]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winoqx32]
winoqx32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wudb]

Sluit de registereditor.
Start de pc opnieuw op.

En doe dan - om zeker te zijn - eens een scan met een online-virusscanner (iets als Panda, Bitdefender of Trendmicro) en daarna je eigen Kaspersky. En laat ook AdAware er maar eens opnieuw op los.

Wat me opvalt : je hebt geen enkel Service Pack van Windows geïnstalleerd. Je hebt daar waarschijnlijk wel een goede reden voor, maar dat verzwakt je beveiliging natuurlijk.

En dat bestandje waar Schouw naar vroeg - ibm00002.dll - zal je niet meer vinden op je PC. Dat wordt ad random benoemd bij de werking van het virus en verandert dus steeds van naam. Maar dat is ondertussen normaal verwijderd. Maar daar zullen de scans uitsluitsel over brengen.

Laat maat horen of je nog iets eigenaardig gevonden hebt na al deze acties.

woensdag 27 juni 2007 09:50

Acties:

Verwijderd

Topicstarter
Ik heb nog nooit in het register gewerkt.. Backup al gemaakt, maar wat te doen als er wat verkeerd gaat? Hoe kan je dan bij de backup komen, en hoe die overnemen in het systeem?

Verder heb ik net gekeken in het register, en bij de eerste optie die je me gaf om te deleten, kan ik het hele mapje 'Browser Helper Objects' verwijderen? Of is het de bedoeling dat ik binnen 'Explorer Helper Objects' een regel delete?

In 't register heb ik gezoch naar:
code:
1

 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winoqx32]


Helaas stond deze key er niet (meer?) in.. Zou Kaspersky, Combofix, Vundofix of Hijackthis die er al uit hebben gegooid?

woensdag 27 juni 2007 14:07

Acties:

Verwijderd

Alles over het maken van een backup en het terugzetten ervan kan je hier lezen bij Microsoft..

De lijntjes op dit forum geven inderdaad een foute indruk van wat je moet deleten. Het is niet het hele Browser Helper Objects dat je moet verwijderen (dan pas zou je in de problemen raken), maar enkel de sleutel die eindigt aan ursst.dll. Ook voor de rest is het nogal onduidelijk merk ik nu ... ik probeer het wat duidelijker voor te stellen !

Zoek dus in het register naar :

[HKLM ...\Browser Helper Objects] {6DE443EE ... \ursst.dll []
[HKLM ...\CurrentVersion\Run] "ipmon"="ipmon.exe" []
[HKLM ...\winlogon\notify\iifeccc] iifeccc.dll
[HKLM ...\winlogon\notify\ursst]
[HKLM ...\winlogon\notify\winoqx32] winoqx32.dll
[HKLM ...\winlogon\notify\wudb]

en enkel deze lijntjes. Het is niet helemaal uitgesloten dat er al verdwenen zijn, maar bekijk dit maar eens op deze manier. En nog problemen ... beter eerst vragen voor je er aan begint :)

woensdag 11 juli 2007 18:14

Acties:

Verwijderd

Topicstarter
Probleem rigoureus gefixet.. Trojan was al van pc af, maar ik heb de kennis / zin niet om in het register te klussen.. Daarom pc geformatteerd en Xp opnieuw geïnstalleerd..

In ieder geval Bedankt voor alle medewerking!!
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq