virus in registry - Privacy en beveiliging

maandag 24 december 2007 11:08

Acties:

0 Henk 'm!

Anoniem: 246160

Topicstarter

jongens, ik heb een of ander dik virus te pakken in mn registry en heb geen idee wat het kan zijn.
ik krijg foutmelding 0xff00024 met daarbij een melding dat KMODE niet gehandled wordt en dat het kernelgeheugen niet gestart kan worden. ik heb werkelijk geen idee wat ik hier aan kan doen. heb al virusscanners laten lopen maar die krijgen het niet te pakken, werk nu in veilige modus want normaal crasht ie gelijk met die foutmelding dus. Heeft iemand een idee???

maandag 24 december 2007 11:11

Acties:

0 Henk 'm!

Mad Marty

Je bent slimmer als je denkt!

Welk OS?
Hoe weet je zo zeker dat het een virus is? En dat-ie in je registry zit?

Ik denk dat je eerst eens even de Windows XP en 2000 BSOD guide door moet lezen!

Rail Away!

maandag 24 december 2007 11:12

Acties:

0 Henk 'm!

m3gA

Post eens een hijackthis log?

[ Voor 84% gewijzigd door m3gA op 24-12-2007 11:12 ]

maandag 24 december 2007 11:12

Acties:

0 Henk 'm!

Anoniem: 85345

Een virus in je registry???

maandag 24 december 2007 11:30

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Google laat inderdaad vooral malware gerelateerde hits zien. Is dat waarom je malware vermoed? Zo niet: waarom dan? Een virus zal inderdaad in de regel ook niet alleen in het register zitten; maar (ook) ergens anders op je HDD.

Welkom op GoT trouwens

Je bent nieuw dus even wat tips: je wilt inderdaad beginnen met de Windows XP en 2000 BSOD guide, jouw STOP-code staat er niet bij maar de methode is wel te gebruiken (afh. van welk OS je gebruikt dan).

En als 'zeker' malware wil je Beveiliging en Virussen - Nieuw topic starten (en een paar recente topics hier in BV) even checken, die geeft daar wat hints over wat voor info jij en wij nodig hebben om meer te leren over de situatie.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 24 december 2007 11:38

Acties:

0 Henk 'm!

Anoniem: 246160

Topicstarter

Respect voor de snelle reacties :worship:!!!!!
- Ik heb op internet gezocht naar de oplossing, maar krijg slechts andere fora waar alleen een posting staat bijv zonder oplossing of iets volledigs onbegrijpelijks....
- OS = XP Media Center
- Virus..malware...ik weet niet precies wat het is maar het zit waarschijnlijk ergens op mn harddisk
- Ik heb ondertussen HJ gedownload, maar hoe post ik hier de log?

maandag 24 december 2007 11:40

Acties:

0 Henk 'm!

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Save log -> open het txt bestandje en plaats het hier

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad

maandag 24 december 2007 11:44

Acties:

0 Henk 'm!

Anoniem: 246160

Topicstarter

Ok!
wat ik trouwens al geprobeerd heb:
- NOD32 laten runnen
- AD-Aware laten runnen
- Spybot laten runnen
Echter als ik iets vind, verwijder ik het en vervolgens geeft mn teatimer gelijk weer bericht dat de malware weer probeert mn registry te veranderen, ik denk dat dit verband houdt met die registry foutmelding die ik krijg, maar ik weet niet zeker of dit zo is....

Anyway, hier de HJ File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:43:14, on 24-12-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.home.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: (no name) - {0657afa6-c568-4e6e-88f4-91c55931c1ae} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6145\SiteAdv.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\program files\mcafee\virusscan\scriptcl.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Alcohol Toolbar Helper - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O2 - BHO: (no name) - {892D6A78-F20C-41C5-9BCC-ECA1A57F9959} - C:\WINDOWS\system32\awvts.dll (file missing)
O2 - BHO: {fdcbb66b-0b1d-919a-80d4-94f3c45fa4d8} - {8d4af54c-3f49-4d08-a919-d1b0b66bbcdf} - C:\WINDOWS\system32\siinriyl.dll
O2 - BHO: (no name) - {A5AA607D-D9F5-4BD9-9938-EB1116E26E11} - (no file)
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\yuuajrgi.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6145\SiteAdv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [MBMon] Rundll32 CTMBHA.DLL,MBMon
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [d4cea091] rundll32.exe "C:\WINDOWS\system32\ovxgicsq.dll",b
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvpur.dll,startup
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA1990] command /c del "C:\WINDOWS\system32\awvts.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC383] cmd /c del "C:\WINDOWS\system32\awvts.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9596] command /c del "C:\WINDOWS\system32\tirqsxyz.dllbox"
O4 - HKLM\..\RunOnce: [SpybotDeletingC222] cmd /c del "C:\WINDOWS\system32\tirqsxyz.dllbox"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6162] command /c del "C:\WINDOWS\system32\tirqsxyz.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3302] cmd /c del "C:\WINDOWS\system32\tirqsxyz.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA2183] command /c del "C:\WINDOWS\system32\tirqsxyz.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9475] cmd /c del "C:\WINDOWS\system32\tirqsxyz.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [Creative Detector] "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB6826] command /c del "C:\WINDOWS\system32\awvts.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3943] cmd /c del "C:\WINDOWS\system32\awvts.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7674] command /c del "C:\WINDOWS\system32\tirqsxyz.dllbox"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8755] cmd /c del "C:\WINDOWS\system32\tirqsxyz.dllbox"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8556] command /c del "C:\WINDOWS\system32\tirqsxyz.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD2068] cmd /c del "C:\WINDOWS\system32\tirqsxyz.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7756] command /c del "C:\WINDOWS\system32\tirqsxyz.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7216] cmd /c del "C:\WINDOWS\system32\tirqsxyz.dll"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statystyki dla ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://start.home.nl/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.nl/s...en/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {82CF9738-0BDA-4AAF-AB08-5AC5875FF3BB} (YMultiRecord Class) - http://www2.malmberg.nl/o.../recording/yrecording.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn...rStatsClient.cab31267.cab
O16 - DPF: {91F52A42-C10D-49A7-B941-882C657C604F} (Installation Helper Object) - http://kitcentral.wanadoo.../nl/instwact/instwact.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn...tatsPAClient.cab56907.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/.../install3.5/installer.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0075FF3.dat
O20 - Winlogon Notify: tirqsxyz - C:\WINDOWS\SYSTEM32\tirqsxyz.dll
O20 - Winlogon Notify: winkei32 - winkei32.dll (file missing)
O20 - Winlogon Notify: yuuajrgi - C:\WINDOWS\SYSTEM32\yuuajrgi.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\COMMON~1\McAfee\EmProxy\emproxy.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Program Files\Common Files\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\common files\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\redirsvc\redirsvc.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Privacy Service (MPS9) - McAfee, Inc. - C:\PROGRA~1\McAfee\MPS\mps.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SiteAdvisor Service - Unknown owner - C:\Program Files\SiteAdvisor\6145\SAService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 13120 bytes

maandag 24 december 2007 11:47

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

En niet onbelangrijk: kijk er zelf ook naar om te zien of er rare dingen in de lijst staan

Overigens nog even een open deur: je hebt Windows wel helemaal geupdatet? Check ook je event log even en geef ons de precieze en volledige foutmelding. Start -> uitvoeren -> eventvwr.exe en dan op zoek naar je foutmelding en naar andere relevante / interessante foutmeldingen.

offtopic:
Virus versus malware: zie http://nl.wikipedia.org/wiki/Malware

Edit:
ik ben wat traag.

Echter als ik iets vind, verwijder ik het en vervolgens geeft mn teatimer gelijk weer bericht dat de malware weer probeert mn registry te veranderen, ik denk dat dit verband houdt met die registry foutmelding die ik krijg, maar ik weet niet zeker of dit zo is....

Wat wordt er dan verwijderd? En wat wordt waar door welk proces aangepast? Het gegeven dat iets je register wil aanpassen betekent nog niet dat het malware is.

Maar je log laat wel een boel zien. Incl. RunOnce, dus je loopt een reboot achter: start even opnieuw op. Maar haal eerst een van die bij een RunOnce genoemde .dll bestanden door een online virusscanner, zoals Jotti's malware scan.

[ Voor 45% gewijzigd door F_J_K op 24-12-2007 11:49 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 24 december 2007 11:51

Acties:

0 Henk 'm!

Bitage

Hier je logje geanalyseerd

maandag 24 december 2007 11:52

Acties:

0 Henk 'm!

Anoniem: 246160

Topicstarter

@F_J_K
Ja ik heb ernaar gekeken, hetis een grote warboel van startende en stoppende services en fouten. Ik zie wel dat er een boel fout is, maar ik kan er geen oorzaak in vinden

Welke eventlog wil je hebben, van systeem/toepassing/beveiliging of mediacenter...het is een groot logboek van foutmeldingen....

maandag 24 december 2007 11:53

Acties:

0 Henk 'm!

Anoniem: 20531

O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0075FF3.dat
O20 - Winlogon Notify: tirqsxyz - C:\WINDOWS\SYSTEM32\tirqsxyz.dll
O20 - Winlogon Notify: winkei32 - winkei32.dll (file missing)
O20 - Winlogon Notify: yuuajrgi - C:\WINDOWS\SYSTEM32\yuuajrgi.dll

Eerste IDEE = BAD

Oplossingen:

1 Herinstalleren
2. Scannen vanaf een andere PC (harddisk uitbouwen).
3. Scannen vanaf de huidige installatie (in veiligemodes bv).
4. Handmatig weghalen

Zullen er nog wel wat zijn.

Voer 1 van deze bestanden eens aan de Kaspersky Online File Scanner (of een ander).

http://www.kaspersky.nl/online-virus-scanner.html

[ Voor 38% gewijzigd door Anoniem: 20531 op 24-12-2007 11:56 ]

maandag 24 december 2007 12:30

Acties:

0 Henk 'm!

Sassie

Dit lijkt me allemaal verdacht:

O2 - BHO: (no name) - {892D6A78-F20C-41C5-9BCC-ECA1A57F9959} - C:\WINDOWS\system32\awvts.dll (file missing)
O2 - BHO: {fdcbb66b-0b1d-919a-80d4-94f3c45fa4d8} - {8d4af54c-3f49-4d08-a919-d1b0b66bbcdf} - C:\WINDOWS\system32\siinriyl.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\yuuajrgi.dll
O4 - HKLM\..\Run: [d4cea091] rundll32.exe "C:\WINDOWS\system32\ovxgicsq.dll",b
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvpur.dll,startup
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0075FF3.dat
O20 - Winlogon Notify: tirqsxyz - C:\WINDOWS\SYSTEM32\tirqsxyz.dll
O20 - Winlogon Notify: winkei32 - winkei32.dll (file missing)
O20 - Winlogon Notify: yuuajrgi - C:\WINDOWS\SYSTEM32\yuuajrgi.dll

Gooi al die ('rare') .dll's en die ene .dat eens door http://virusscan.jotti.org
Googlen levert al weinigs goed op:
http://www.google.nl/search?q=awvts.dll
http://www.google.nl/search?q=drvpur.dll
http://www.google.nl/search?q=winkei32.dll
En voor de zekerheid: die Alcohol Toolbar, weet je zeker dat die 100% spy- of malware vrij is?

En ik gok dat dit over is gebleven na een poging tot schoonmaken met een anti-spyware programma (Spybot S&D ws?

):

O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck

O4 - HKLM\..\RunOnce: [SpybotDeletingA1990] command /c del "C:\WINDOWS\system32\awvts.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC383] cmd /c del "C:\WINDOWS\system32\awvts.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9596] command /c del "C:\WINDOWS\system32\tirqsxyz.dllbox"
O4 - HKLM\..\RunOnce: [SpybotDeletingC222] cmd /c del "C:\WINDOWS\system32\tirqsxyz.dllbox"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6162] command /c del "C:\WINDOWS\system32\tirqsxyz.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3302] cmd /c del "C:\WINDOWS\system32\tirqsxyz.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA2183] command /c del "C:\WINDOWS\system32\tirqsxyz.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9475] cmd /c del "C:\WINDOWS\system32\tirqsxyz.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB6826] command /c del "C:\WINDOWS\system32\awvts.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3943] cmd /c del "C:\WINDOWS\system32\awvts.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7674] command /c del "C:\WINDOWS\system32\tirqsxyz.dllbox"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8755] cmd /c del "C:\WINDOWS\system32\tirqsxyz.dllbox"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8556] command /c del "C:\WINDOWS\system32\tirqsxyz.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD2068] cmd /c del "C:\WINDOWS\system32\tirqsxyz.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7756] command /c del "C:\WINDOWS\system32\tirqsxyz.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7216] cmd /c del "C:\WINDOWS\system32\tirqsxyz.dll"

Zo te zien zit je wel behoorlijk in de shit, en ws is een schone herinstallatie uiteindelijk misschien wel de beste oplossing (zeker als die rommel echt hardnekkig blijkt en moeilijk te verwijderen). Ik zou daar toch ernstig rekening mee houden.

[ Voor 4% gewijzigd door Sassie op 24-12-2007 12:32 ]

maandag 24 december 2007 12:37

Acties:

0 Henk 'm!

Anoniem: 246160

Topicstarter

@F_J_K:
Wat verwijderd wordt door ad-aware is dit:
tarted registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Win32.Trojandownloader.Zlob Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : clsid\{11a69ae4-fbed-4832-a2bf-45af82825583}

Win32.Trojandownloader.Zlob Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : clsid\{11a69ae4-fbed-4832-a2bf-45af82825583}
Value :

Win32.Trojandownloader.Zlob Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : clsid\{a95b2816-1d7e-4561-a202-68c0de02353a}

Win32.Trojandownloader.Zlob Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\explorer\browser helper objects\{a95b2816-1d7e-4561-a202-68c0de02353a}

De S&D teatimer geeft vervolgens deze melding (gelijk na verwijdering):
24-12-2007 10:55:41 Geweigerd (based on user decision) value "d4cea091" (new data: "rundll32.exe "C:\WINDOWS\system32\eooqemnu.dll",b") gewijzigd in System Startup global entry!
24-12-2007 10:55:47 Geweigerd (based on user decision) value "CTDrive" (new data: "") verwijderd in System Startup global entry!
24-12-2007 10:57:36 Geweigerd (based on user blacklist) value "{A95B2816-1D7E-4561-A202-68C0DE02353A}" (new data: "") verwijderd in Browser Helper Object!
24-12-2007 10:57:38 Geweigerd (based on user blacklist) value "{A95B2816-1D7E-4561-A202-68C0DE02353A}" (new data: "") verwijderd in Browser Helper Object!

@Blackspot
Ik heb deze files geprobeerd door Jotti's te halen:

O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0075FF3.dat KAN IK NIET MEER VINDEN
O20 - Winlogon Notify: tirqsxyz - C:\WINDOWS\SYSTEM32\tirqsxyz.dll KAN IK NIET MEER VINDEN
O20 - Winlogon Notify: winkei32 - winkei32.dll (file missing) ??
O20 - Winlogon Notify: yuuajrgi - C:\WINDOWS\SYSTEM32\yuuajrgi.dll MALWARE

Iemand die het bekend voorkomt en enig idee wat de oorzaak kan zijn, en vooral hoe dit weg te halen
is??

------------------------
update:
Ik ben nu bezig om spyware genaamd Virtumonde te verwijderen, zeer hardnekkig stukje malware dat zich niet zomaar laat verwijderen....

[ Voor 3% gewijzigd door Anoniem: 246160 op 24-12-2007 13:48 ]

maandag 24 december 2007 17:16

Acties:

0 Henk 'm!

Petervanakelyen

Je bent erg grondig geïnfecteerd. Je kan beter je Harde Schijf formatteren, dan dat je moeite doet voor al je rommel van je systeem te krijgen.

Als je toch koppig wilt zijn, zijn hier een paar zaken waar je je mee kan bezighouden:

1. Download CCleaner en laat het scannen. Dit zal een hele hoop zooi verwijderen, waarschijnlijk.
2. Download Prevx CSI en laat het scannen. Post hier de uitslag.
3. Doe nog eens een scan van Spybot S&D en post hier wat hij vond.
4. Doe nog een scan van HijackThis en verwijder, indien aanwezig, volgende entries:

code:

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O2 - BHO: (no name) - {892D6A78-F20C-41C5-9BCC-ECA1A57F9959} - C:\WINDOWS\system32\awvts.dll (file missing)

O2 - BHO: {fdcbb66b-0b1d-919a-80d4-94f3c45fa4d8} - {8d4af54c-3f49-4d08-a919-d1b0b66bbcdf} - C:\WINDOWS\system32\siinriyl.dll

O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\yuuajrgi.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O4 - HKLM\..\Run: [d4cea091] rundll32.exe "C:\WINDOWS\system32\ovxgicsq.dll",b

O4 - HKLM\..\RunOnce: [SpybotDeletingA1990] command /c del "C:\WINDOWS\system32\awvts.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC383] cmd /c del "C:\WINDOWS\system32\awvts.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9596] command /c del "C:\WINDOWS\system32\tirqsxyz.dllbox"
O4 - HKLM\..\RunOnce: [SpybotDeletingC222] cmd /c del "C:\WINDOWS\system32\tirqsxyz.dllbox"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6162] command /c del "C:\WINDOWS\system32\tirqsxyz.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3302] cmd /c del "C:\WINDOWS\system32\tirqsxyz.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA2183] command /c del "C:\WINDOWS\system32\tirqsxyz.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9475] cmd /c del "C:\WINDOWS\system32\tirqsxyz.dll"

O4 - HKCU\..\RunOnce: [SpybotDeletingB6826] command /c del "C:\WINDOWS\system32\awvts.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3943] cmd /c del "C:\WINDOWS\system32\awvts.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7674] command /c del "C:\WINDOWS\system32\tirqsxyz.dllbox"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8755] cmd /c del "C:\WINDOWS\system32\tirqsxyz.dllbox"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8556] command /c del "C:\WINDOWS\system32\tirqsxyz.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD2068] cmd /c del "C:\WINDOWS\system32\tirqsxyz.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7756] command /c del "C:\WINDOWS\system32\tirqsxyz.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7216] cmd /c del "C:\WINDOWS\system32\tirqsxyz.dll"

O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/.../install3.5/installer.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0075FF3.dat
O20 - Winlogon Notify: tirqsxyz - C:\WINDOWS\SYSTEM32\tirqsxyz.dll
O20 - Winlogon Notify: winkei32 - winkei32.dll (file missing)
O20 - Winlogon Notify: yuuajrgi - C:\WINDOWS\SYSTEM32\yuuajrgi.dll

Probeer eerst eens de Toolbar van Alcohol via Start --> Configuratiescherm --> Software te verwijderen. Staat deze er niet in, verwijder dan ook volgende HijackThis entries:

code:

1
2
3

O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com

O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll

Herstart daarna je PC.

Veel succes.

Somewhere in Texas there's a village missing its idiot.

dinsdag 25 december 2007 15:30

Acties:

0 Henk 'm!

Anoniem: 246160

Topicstarter

jongens,

ik ben hele dag bezig geweest, en met alle tips en programma's bezig geweest en uiteindelijk draai ik nu weer alles (redelijk)normaal. ik heb nog even een logje van HJ this bijgevoegd, misschien dat ik iets over het hoofd zie! sowieso bedankt voor alle hulp!!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:29:13, on 25-12-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\stsystra.exe
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Common Files\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Avant Browser\avant.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.home.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvpur.dll,startup
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [Creative Detector] "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: McAfee Real-time Scanner (McShield) - Unknown owner - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe (file missing)
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows (file missing)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 5128 bytes

dinsdag 25 december 2007 17:17

Acties:

0 Henk 'm!

Sassie

Ik zou in ieder geval hier nog even naar kijken als ik jou was:

O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvpur.dll,startup

-> http://www.google.nl/search?q=drvpur.dll
-> http://www.castlecops.com/s13497-CTDrive.html