Toon posts:

[Trojan] Hoe Trojan Horse TR/Crypt.PEC2X.Gen te verwijderen?

Pagina: 1
Acties:
  • 10.985 views sinds 30-01-2008
  • Reageer

woensdag 22 augustus 2007 14:10

Acties:

Verwijderd

Topicstarter
Hallo allemaal,

Ik heb al sinds een tijdje de Trojan Horse TR/Crypt.PEC2X.Gen op mijn computer en krijg af en toe een melding van mijn virusscanner AntiVir dat dit virus is gevonden. Ik kan een aantal keuzes maken met mijn virus scnanner, zoals delete,access deny, ignore of move to quarantine. Alle keuzes halen niets uit.

De virusscanner geeft ook de volgende file aan bij de melding: C:\WINDOWS\system32\winykd32.dll, zit hij hierin verwerkt, of is dit de file?

Via google heb ik al een keer een mogelijkheid proberen te vinden om het virus te verwijderen (BV. http://www.hijackthis.nl/...1be906862487c95c802087a42, via deze tips, maar dit haalde niets uit, want ik kon niet alle stappen voltooien of het bleef hetzelfde liedje). De programma's ik daarbij moest downloaden was Ad-watch en Combo Files.

Ik heb geen idee hoe ik deze trojan moet verwijderen. Het schijnt niet super schadelijk te zijn, maar virussen zijn nooit goed. Wie kan mij helpen?

Is het misschien verstandig om een betere Virus scanner aan te schaffen dan AntiVir die ik gratis via internet heb opgepikt?

Alvast bedankt,

Bart

woensdag 22 augustus 2007 14:22

Acties:
  • Petervanakelyen
  • Registratie: December 2006
  • Laatst online: 30-04 12:52

Petervanakelyen

Post eens een HijackThis logje (kijk in de FAQ als je niet weet hoe)

En er zijn een hele hoop gratis alternatieven van virusscanners :

Avast! : http://files.avast.com/iavs4pro/setupdut.exe
AVG : http://free.grisoft.com/s...up/avg75free_472a1024.exe

Somewhere in Texas there's a village missing its idiot.

woensdag 22 augustus 2007 23:55

Acties:

Verwijderd

Topicstarter
alvast bedankt Peter voor de alternatieven!

Ik heb via de faq via de volgende site hijackthis (http://www.weballey.nl/spyware/hijackthis.html, op deze site stond ook uitleg hoe te gebruiken) (was ook te vinden op merijn.org) gedownload. Ik weet niet of dit het juiste programma is en of ik de juiste log heb aangemaakt, ik neem aan van wel.

Mijn aangemaakte log:
Logfile of HijackThis v1.99.1
Scan saved at 23:53, on 2007-08-22
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\acer\Empowering Technology\ePower\epm-dm.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Acer\Empowering Technology\admtray.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Logitech\Video\CameraAssistant.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\lvcomsx.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre1.5.0_11\bin\jucheck.exe
C:\Documents and Settings\Bart Hesen\Bureaublad\Protection\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\Empowering Technology\ePower\epm-dm.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winykd32 - C:\WINDOWS\SYSTEM32\winykd32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Norton Protection Center Service (NSCService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe (file missing)

donderdag 23 augustus 2007 12:54

Acties:
  • Petervanakelyen
  • Registratie: December 2006
  • Laatst online: 30-04 12:52

Petervanakelyen

Je log is perfect gemaakt ! Ik heb het verdachte dll bestand gevonden in :

code:
1

O20 - Winlogon Notify: winykd32 - C:\WINDOWS\SYSTEM32\winykd32.dll


Upload dat bestand eens op http://virusscan.jotti.org en post de uitslag hier ( met uitslag bedoel ik die lijst met virusscanners en de resultaten onderaan de pagina :) )

En dit is nutteloos:

code:
1

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe (file missing)

[ Voor 22% gewijzigd door Petervanakelyen op 23-08-2007 13:35 ]

Somewhere in Texas there's a village missing its idiot.

donderdag 23 augustus 2007 12:58

Acties:
  • mhoogendam
  • Registratie: Oktober 2002
  • Laatst online: 30-11 22:56

mhoogendam

code:
1

O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM


kan ook wel weg, Klikkerdeklik

[ Voor 19% gewijzigd door mhoogendam op 23-08-2007 13:04 ]

donderdag 23 augustus 2007 15:19

Acties:

Verwijderd

Topicstarter
Ik heb de scan gemaakt van het gegeven bestand via jouw gegeven link Peter:
Service load:
0% 100%
File: winykd32.dll
Status:
INFECTED/MALWARE
MD5: 4747bbd235b44c001dc59874f67791c0
Packers detected:
PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT
Bit9 reports: File not found
Scanner results
Scan taken on 23 Aug 2007 13:13:29 (GMT)
A-Squared
Found Dialer
AntiVir
Found TR/Crypt.PEC2X.Gen
ArcaVir
Found Dialer.Qn
Avast
Found Win32:Dialer-997
AVG Antivirus
Found Dialer.FEF
BitDefender
Found Trojan.Nebuler.A
ClamAV
Found nothing
CPsecure
Found nothing
Dr.Web
Found Trojan.Mezzia
F-Prot Antivirus
Found W32/Trojan.AODS
F-Secure Anti-Virus
Found Trojan.Win32.Dialer.qn
Fortinet
Found nothing
Kaspersky Anti-Virus
Found Trojan.Win32.Dialer.qn
NOD32
Found probably a variant of Win32/Dialer (probable variant)
Norman Virus Control
Found W32/Dialer.dam
Panda Antivirus
Found nothing
Rising Antivirus
Found Trojan.Win32.Dialer.qn
Sophos Antivirus
Found Troj/Nebule-Gen
VirusBuster
Found nothing
VBA32
Found nothing

Last file scanned at least one scanner reported something about: Bat.exe (MD5: 95b7303ba82a79d098b5489ca1a2d84d, size: 48142 bytes), detected by:

Scanner Malware name
A-Squared Trojan-PSW.Win32.LdPinch.cgd
AntiVir TR/Crypt.XPACK.Gen
ArcaVir X
Avast X
AVG Antivirus X
BitDefender X
ClamAV X
CPsecure X
Dr.Web X
F-Prot Antivirus X
F-Secure Anti-Virus X
Fortinet X
Kaspersky Anti-Virus X
NOD32 X
Norman Virus Control X
Panda Antivirus X
Rising Antivirus X
Sophos Antivirus Mal/Basine-C
VirusBuster X
VBA32 Trojan-PSW.Win32.LdPinch.cgd


You're free to (mis)interpret these automated, flawed statistics at your own discretion. For antivirus comparisons, visit AV comparatives
We are not affiliated with any third parties that conduct tests using this service.
Zo bedoel je?

En wat moet ik doen met die nutteloze code? gewoon verwijderen of...?

en mhoogendam: iig bedankt voor de link! Ik
heb het programma registerybooster 2 gedownload via de site na wat doorklikken en deze vond circa 550 errors maar heeft er maar 15 gerepaired. Nu moet ik het product natuurlijk registeren en dus kopen voordat hij ze allemaal verwijderd. Maar dat bestand wat jij postte kan ik niet apart verwijderen of moet ik een andere actie ondernemen op de site van jouw gegeven link? Van WinTasks 5 Pro is trouwens geen testversie, deze moet ik dus ook meteen gewoon kopen.

donderdag 23 augustus 2007 15:32

Acties:
  • PierreG
  • Registratie: Oktober 2006
  • Laatst online: 09:43

PierreG

Ik heb goeie ervaringen met a-squared free http://www.emsisoft.com/en/software/free/. Misschien moet je hiermee eens scannen. Is niet echt een virusscanner maar vooral om af en toe eens te scannen naar trojan, spyware, ... en om ze te verwijderen.

donderdag 23 augustus 2007 17:28

Acties:
  • Petervanakelyen
  • Registratie: December 2006
  • Laatst online: 30-04 12:52

Petervanakelyen

Verwijderd schreef op donderdag 23 augustus 2007 @ 15:19:
Ik heb de scan gemaakt van het gegeven bestand via jouw gegeven link Peter:


[...]


Zo bedoel je?

En wat moet ik doen met die nutteloze code? gewoon verwijderen of...?

en mhoogendam: iig bedankt voor de link! Ik
heb het programma registerybooster 2 gedownload via de site na wat doorklikken en deze vond circa 550 errors maar heeft er maar 15 gerepaired. Nu moet ik het product natuurlijk registeren en dus kopen voordat hij ze allemaal verwijderd. Maar dat bestand wat jij postte kan ik niet apart verwijderen of moet ik een andere actie ondernemen op de site van jouw gegeven link? Van WinTasks 5 Pro is trouwens geen testversie, deze moet ik dus ook meteen gewoon kopen.
Gooi die RegistryBooster & die WinTasks 5 Pro er maar meteen af ! Waarschijlijk zijn het nepscanners of erger : progs die juist malware op je computer installeren !
Volgens mij liet mhoogendam die link gewoon zien om te bewijzen dat de entrie waarin hij in zijn post naar verwezen had schadelijk was.

En die "nutteloze code" waarover je spreekt geeft al een pak meer info !
Die code geeft weer dat het bestand winykd32.dll wel duidelijk is geïnfecteerd !
Ik zal eens uitzoeken of dit bestand een geldig windows bestand is waarin het virus zich heeft geïnjecteerd of het gewoon een en al virus is.
Doe ook eens een scan met Spybot Search & Destroy om eventuele malware die RegistryBooster2 & WinTasks 5 Pro hebben achtergelaten te verwijderen.

Somewhere in Texas there's a village missing its idiot.

zondag 26 augustus 2007 17:30

Acties:

Verwijderd

Topicstarter
Ik heb de programma's eraf gegooid enspybot vond nog een aantal dingen die ik vervolgens verwijderd heb :) dank daarvoor

donderdag 30 augustus 2007 14:48

Acties:

Verwijderd

Topicstarter
Heey Peter,

Weet je al meer over de trojan en weet jij hoe ik deze moet verwijderen?? :)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq