Toon posts:

[XP] Niet vast te pinnen virus

Pagina: 1
Acties:
  • 907 views sinds 30-01-2008
  • Reageer

maandag 3 december 2007 11:59

Acties:
  • 0 Henk 'm!
  • kikibu
  • Registratie: April 2003
  • Laatst online: 16-06 23:53

kikibu

Topicstarter
Ik heb last van een niet vast te pinnen virus/spyware.

Als ik de pc heb opgestart is er niets aan de hand en er draait zo ver ik weet ook geen vreemd programma (op moment van schrijven):
Afbeeldingslocatie: http://i5.tinypic.com/8eb2b2v.jpg

Als ik dan ga internetten komt er twee keer een ballonetje rechtsonder, een keer met de tekst dat ik geen anti-virus programma heb en of ik die wil installeren (berichtje in het engels). Vervolgens ook een berichtje dat mijn computer gevaar loopt met de tekst "FIX IT" erachter.

Tevens heb ik het probleem dat als ik op google op een van de zoekresultaten klik er soms direct wordt doorgelinkt naar search-daily.com. Hetzelfde probleem als hier dus.

Wat ik inmiddels geprobeerd heb om dit op te lossen is:
* Opstartentries verwijderd
* HijackThis gedraait (al het verdachte gedeleted)
* Hitman Pro
* Microsoft Malware removal gedraait
* Diverse virusscanners

Specs:
Win XP Pro SP2 NL
Geen virusscanner (tot nu toe niet nodig gehad)

HijackThis Log:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11:58:12, on 3-12-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\alg.exe
D:\Progra~1\Hotkeys\HOTKEYS.EXE
D:\WINDOWS\system32\ctfmon.exe
E:\Programma\Azureus\Azureus.exe
D:\Program Files\MSN Messenger\usnsvc.exe
D:\Program Files\Winamp\winamp.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\WINDOWS\system32\taskmgr.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\MSN Messenger\msnmsgr.exe
D:\Documents and Settings\Floris\Local Settings\Temporary Internet Files\Content.IE5\89MNC1QR\HiJackThis_v2[1].exe
D:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {F4C610C1-58A3-4DFA-AB81-812BA947E996} - D:\WINDOWS\system32\CTXFISPIa.dll
O4 - HKLM\..\Run: [Hotkeys] D:\Progra~1\Hotkeys\HOTKEYS.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Snelkoppeling naar Azureus.lnk = E:\Programma\Azureus\Azureus.exe
O8 - Extra context menu item: Download All Files by HiDownload - D:\Program Files\HiDownload\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - D:\Program Files\HiDownload\HDGet.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - D:\Program Files\HiDownload\hidownload.exe
O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3410 bytes

maandag 3 december 2007 13:03

Acties:
  • 0 Henk 'm!
  • gsteen
  • Registratie: November 2004
  • Laatst online: 13-01-2020

gsteen

Snel gekeken naar je HijackThis log:
O2 - BHO: (no name) - {F4C610C1-58A3-4DFA-AB81-812BA947E996} - D:\WINDOWS\system32\CTXFISPIa.dll

Zoekactie op google gaf alleen dit topic. Zou deze dll even door een scanner halen Jotti bijvoorbeeld.

"In theory, there is no difference between theory and practice. But, in practice, there is."

maandag 3 december 2007 13:05

Acties:
  • 0 Henk 'm!
  • pven
  • Registratie: Oktober 1999
  • Niet online

pven

Heb je Hitman Pro (ed) in safe mode gedraaid?

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

maandag 3 december 2007 13:53

Acties:
  • 0 Henk 'm!
  • jtermors
  • Registratie: Januari 2007
  • Laatst online: 04-05-2024

jtermors

D:\Program Files\MSN Messenger\usnsvc.exe ?? Beetje vreemd he? www.trendmicro.com Online A-Virusscanner eens laten lopen. Moet helpen.

maandag 3 december 2007 14:42

Acties:
  • 0 Henk 'm!
  • gsteen
  • Registratie: November 2004
  • Laatst online: 13-01-2020

gsteen

jtermors schreef op maandag 03 december 2007 @ 13:53:
D:\Program Files\MSN Messenger\usnsvc.exe ?? Beetje vreemd he? www.trendmicro.com Online A-Virusscanner eens laten lopen. Moet helpen.
Deze extra scannen is natuurlijk nooit mis, maar 'k denk dat dit gewoon bij MSN Messenger hoort. Het ou het onderdeel "Messenger Sharing USN Journal Reader Service" moeten zijn. (http://www.processlibrary.com/directory/files/usnsvc)

"In theory, there is no difference between theory and practice. But, in practice, there is."

maandag 3 december 2007 15:59

Acties:
  • 0 Henk 'm!
  • kikibu
  • Registratie: April 2003
  • Laatst online: 16-06 23:53

kikibu

Topicstarter
gsteen schreef op maandag 03 december 2007 @ 13:03:
Snel gekeken naar je HijackThis log:
O2 - BHO: (no name) - {F4C610C1-58A3-4DFA-AB81-812BA947E996} - D:\WINDOWS\system32\CTXFISPIa.dll

Zoekactie op google gaf alleen dit topic. Zou deze dll even door een scanner halen Jotti bijvoorbeeld.
Jotti kende ik nog niet, maar ik zie al dat dit al niet zo goed is. Ik kan 'm namelijk niet verwijderen met hijackthis (ook niet in SafeMode) en er staan nog meer files bij in de system 32 zoals CTXFISPI.DLL en CTXFISPI.EXE. Hier vind ik dat deze onderdeel zijn van mijn Creative audio drivers.
En Jotti geeft aan:
code:
1
2
3
4
5

Scan taken on 03 Dec 2007 14:51:57 (GMT)  
F-Secure Anti-Virus:  Found Trojan.Win32.BHO.abo  
AntiVir:  Found TR/BHO.abo.7
Kaspersky Anti-Virus  Found Trojan.Win32.BHO.abo  
Norman Virus Control  Found W32/BHO.ATH

Ik kan eens die drivers er van af pleuren en kijken of die dll meegaat. Ik ga nu eerst even de on-demand scanner van mcafee gebruiken. En daarna even proberen met een van de hierboven genoemde (welke gratis is).

maandag 3 december 2007 17:54

Acties:
  • 0 Henk 'm!
  • kikibu
  • Registratie: April 2003
  • Laatst online: 16-06 23:53

kikibu

Topicstarter
Ok het CTXFISPIa.DLL bestand heb ik nu verwijderd (via bootcd). Voorlopig geen last meer van de problemen, in HijackThis staat er nog wel de BHO entry (file missing).

Het verwijderen van deze entry in Hijackthis of handmatig in RegEdit is me beide nog niet gelukt. Als iemand hier nog een manier voor weet, dan hoor ik dat natuurlijk graag!

maandag 3 december 2007 17:58

Acties:
  • 0 Henk 'm!
  • pven
  • Registratie: Oktober 1999
  • Niet online

pven

Het is een dooddoener, maar toch meld ik het: als een systeem eenmaal besmet is (geweest), kan je het systeem het beste formatteren en verst installeren.

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

dinsdag 4 december 2007 09:14

Acties:
  • 0 Henk 'm!
  • gsteen
  • Registratie: November 2004
  • Laatst online: 13-01-2020

gsteen

kikibu schreef op maandag 03 december 2007 @ 15:59:
Hier vind ik dat deze onderdeel zijn van mijn Creative audio drivers.
Maar CTXFISPIa.dll is hier zeker geen onderdeel van. CTXFISPI.DLL en CTXFISPI.EXE kunnen natuurlijk gewoon je valide audio drivers zijn. Het kan zijn dat er nog meer malware op je systeem staat aangezien je aangeeft dat je die BHO entry niet weg krijgt. 'k Zou zeggen maak een nieuwe HijackThis log en kijk weer of er vreemde dingen in staan.

Ander kan je altijd pven's suggestie opvolgen, want ben het wel met hem eens. Je weet niet wat dit stukje malware nog meer heeft gedaan.

"In theory, there is no difference between theory and practice. But, in practice, there is."

dinsdag 4 december 2007 14:17

Acties:
  • 0 Henk 'm!
  • kikibu
  • Registratie: April 2003
  • Laatst online: 16-06 23:53

kikibu

Topicstarter
gsteen schreef op dinsdag 04 december 2007 @ 09:14:
[...]Maar CTXFISPIa.dll is hier zeker geen onderdeel van. CTXFISPI.DLL en CTXFISPI.EXE kunnen natuurlijk gewoon je valide audio drivers zijn. Het kan zijn dat er nog meer malware op je systeem staat aangezien je aangeeft dat je die BHO entry niet weg krijgt. 'k Zou zeggen maak een nieuwe HijackThis log en kijk weer of er vreemde dingen in staan.

Ander kan je altijd pven's suggestie opvolgen, want ben het wel met hem eens. Je weet niet wat dit stukje malware nog meer heeft gedaan.
Heb je helemaal gelijk in, hier ben ik inmiddels ook achter gekomen. Een schone image eroverheen is natuurlijk altijd beter, maar hier had ik eventjes geen tijd voor. Iig bedankt voor de hulp zover :)

Uiteindelijk werkt het allemaal goed nu, ik heb geen last meer van de problemen die ik in mijn startpost vermeldde. Alleen mogen de registersleutels dus op de een of andere manier niet verwijderd worden. HijackThislog ziet trouwens hetzelfde uit als in mijn startpost, behalve dat er nu bij de CTXFISPIa.dll (file missing) staat.

Als er nog een manier is om de betreffende registersleutels te verwijderen, hoor ik dat natuurlijk graag. :) Met de hiren's bootcd werkt de registry editor niet omdat hij te weinig geheugen heeft, waarom mag joost weten.

woensdag 5 december 2007 08:53

Acties:
  • 0 Henk 'm!
  • gsteen
  • Registratie: November 2004
  • Laatst online: 13-01-2020

gsteen

kikibu schreef op dinsdag 04 december 2007 @ 14:17:
Alleen mogen de registersleutels dus op de een of andere manier niet verwijderd worden. HijackThislog ziet trouwens hetzelfde uit als in mijn startpost, behalve dat er nu bij de CTXFISPIa.dll (file missing) staat.

Als er nog een manier is om de betreffende registersleutels te verwijderen, hoor ik dat natuurlijk graag. :) Met de hiren's bootcd werkt de registry editor niet omdat hij te weinig geheugen heeft, waarom mag joost weten.
Wat me nog niet 100% duidelijk is. Lukt het verwijderen wel en komt de key terug? Of lukt het hele verwijderen niet? Want....

In het eerste geval zou ik zeggen denk aan het neerzetten van een schone image, omdat er iets op je computer staat dat de key terugzet (nog meer malware).

In het tweede geval denk zou de malware die je had security settings van bepaalde registry keys veranderd kunnen hebben. Hier staat niet hetzelfde probleem (keys komen terug) maar wel iets over deze security settings.

"In theory, there is no difference between theory and practice. But, in practice, there is."

woensdag 5 december 2007 13:42

Acties:
  • 0 Henk 'm!
  • YellowOnline
  • Registratie: Januari 2005
  • Laatst online: 28-03-2023

YellowOnline

BEATI PAVPERES SPIRITV

kikibu schreef op maandag 03 december 2007 @ 11:59:
Als ik dan ga internetten komt er twee keer een ballonetje rechtsonder, een keer met de tekst dat ik geen anti-virus programma heb en of ik die wil installeren (berichtje in het engels). Vervolgens ook een berichtje dat mijn computer gevaar loopt met de tekst "FIX IT" erachter.
Het doet me denken aan een klasse spyware die je hiermee oplost. Best runnen in safe mode, hoewel het bij mijn "patiënten" nog nooit noodzakelijk is geweest.

woensdag 5 december 2007 15:48

Acties:
  • 0 Henk 'm!
  • kikibu
  • Registratie: April 2003
  • Laatst online: 16-06 23:53

kikibu

Topicstarter
Nou Hijackthis geeft geen foutmelding bij het fixen, maar hij staat er toch altijd in. En handmatig geeft hij een foutmelding.
gsteen schreef op woensdag 05 december 2007 @ 08:53:
In het tweede geval denk zou de malware die je had security settings van bepaalde registry keys veranderd kunnen hebben. Hier staat niet hetzelfde probleem (keys komen terug) maar wel iets over deze security settings.
Jup dat dacht ik dus ook, dus heb ik de security settings toen op volledig beheer gezet, maar nog steeds geen succes.

Omdat een plaatje meer dan duizend woorden kan zeggen:
Afbeeldingslocatie: http://i5.tinypic.com/86ewe4y.jpg
en:
Afbeeldingslocatie: http://i15.tinypic.com/86fzz2c.jpg

De instellingen/machtigingen voor InprocServer32 sleutel mag ik niet veranderen, omdat die ze van de bovenliggende sleutel krijgt, bij het veranderen van deze instelling zegt hij toegang geweigerd.. :?
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq