Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

AdWare.Win32.Agent.yr

Pagina: 1
Acties:
  • 1.676 views sinds 30-01-2008
  • Reageer

dinsdag 1 januari 2008 17:12

Acties:
  • Snowwie
  • Registratie: September 2003
  • Laatst online: 27-11 04:51

Snowwie

Topicstarter
Sinds gisteren heb ik dit stuk ad-aware verdriet op m'n computer gestaan, stom stom, om een bestand van Limewire te downloaden met een valse naam en zomaar uit te voeren zonder na te denken.

SpyBot, Ad-Aware en AVG Anti-Spyware vinden hem niet, en hij blijft elke keer weer terug komen.
Kaspersky komt telkens met de melding:

Afbeeldingslocatie: http://magical.tweakdsl.nl/GoT/virus.png

Ook m'n Hijacklog toont niets verdachts, althans volgens mij dan:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67

Logfile of HijackThis v1.99.1
Scan saved at 5:08:17 PM, on 1/1/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Tools\AVG_Anti-Spyware\guard.exe
D:\Tools\Kaspersky7\avp.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\CTHELPER.EXE
D:\Tools\Kaspersky7\avp.exe
D:\Tools\Ad-Muncher\AdMunch.exe
D:\Tools\Azureus\Azureus.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Tools\WinAmp\winamp.exe
D:\Tools\TotalCommander\TOTALCMD.EXE
C:\WINDOWS\system32\wuauclt.exe
D:\Installatie\Anti-Spyware\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Tools\SpyBot1.5\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AVP] "D:\Tools\Kaspersky7\avp.exe"
O4 - HKLM\..\Run: [Ad Muncher] D:\Tools\Ad-Muncher\AdMunch.exe /bt
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\Tools\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Toevoegen aan Anti-Banner - D:\Tools\Kaspersky7\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Anti-Virus voor internet statistieken - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Tools\Kaspersky7\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Tools\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Tools\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Tools\ICQ\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Tools\SpyBot1.5\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Tools\SpyBot1.5\SDHelper.dll
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1192234677234
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D32AE27-240B-47F0-8D8D-AAC8BFE53F66}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: D:\Tools\KASPER~1\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Tools\AVG_Anti-Spyware\guard.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - D:\Tools\Kaspersky7\avp.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe


Op Got valt niets te vinden over deze trojan en google bied maar een paar onderwerpen waarin niet echt heel duidelijk wordt omschreven hoe ik er vanaf kom.

Het verstoort wel m'n internet, als ik de Google icoon aanklik op het bureaublad, en dus Firefox moet openen, blijft het gewoon hangen. Het start menu loopt vervolgens vast en enkel via een CTRL-ALT-DEL (Shutdown) kan ik de pc weer herstarten.

Wat kan ik nog doen, behalve een komplete herinstall...

Mijn YouTube Channel

dinsdag 1 januari 2008 17:30

Acties:

Verwijderd

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
mag weg


http://www.bullguard.com/...g-ride-of-Win3_43731.html
This is probably the result of playing with key generators?

Spybot found the same thing on my computer. Here is a site that you can go to that explains what is going on and how to fix it. After Spybot finds the Win32.Agent.yr, make note of where it is located. You will need it to go to the MUICache key in the registry under whatever S-1 key that Spybot found it under. You export that "MUICache folder" to your desktop, giving it a name of fixme.reg. Then rename it to fixme.txt so that you can edit it in notepad. Make sure your cursor is at the top of the screen and go to "edit/find" and type in keygen. Use F3 to continue on down the line. In every instance, of keygen at the end will be keygen between quotes...such as "keygen". Backspace those out of there and put a minus sign after the equals sign, such as:


"C:\\Documents and Settings\\Keela\\Desktop\\VMware Workstation 5.5.1.19175\\Keygen.exe"= "keygen" <BEFORE

"C:\\Documents and Settings\\Keela\\Desktop\\VMware Workstation 5.5.1.19175\\Keygen.exe"=- <AFTER

Then rename the fixme.txt to fixme.reg and right click and merge it back into the registry. Reboot and run Spybot again. It should be gone.

The site below might be able to explain it better because there are pictures.

http://forums.afterdawn.com/thread_view.cfm/474092

I followed the directions and ran Spybot again and it was gone.
Aangezien je het over Limewire hebt, grote kans dat dit precies hetzelfde bestand is? :9

[ Voor 84% gewijzigd door Verwijderd op 01-01-2008 17:31 ]

dinsdag 1 januari 2008 17:34

Acties:

Verwijderd

Snowwie schreef op dinsdag 01 januari 2008 @ 17:12:
Kaspersky komt telkens met de melding:
Dat is de WebAV - de http traffic scanner.
Kijk eens welk proces die file wil downloaden. Als het een Windowsproces is, kun je kijken of deze verdachte DLLs heeft geladen.

/me houdt zich aanbevolen voor de culprit @ virus@kaspersky.nl aangezien KAV het bronbestand niet detecteert.

dinsdag 1 januari 2008 17:39

Acties:
  • Snowwie
  • Registratie: September 2003
  • Laatst online: 27-11 04:51

Snowwie

Topicstarter
Verwijderd schreef op dinsdag 01 januari 2008 @ 17:30:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
mag weg


http://www.bullguard.com/...g-ride-of-Win3_43731.html

[...]


Aangezien je het over Limewire hebt, grote kans dat dit precies hetzelfde bestand is? :9
Nee, eigenlijk was ik op zoek naar een werkende versie van de Scorpion4 emulator, omdat deze op de betreffende site niet verkrijgbaar was en in Limewire het de naam "setup" had. Op zich niet heel verdacht, maar er volgde ook geen setup-wizard, dus ik kon ook moeilijk nog keuzes maken.

Overigens: SpyBot vind gewoon niks... :?

[ Voor 3% gewijzigd door Snowwie op 01-01-2008 18:00 ]

Mijn YouTube Channel

dinsdag 1 januari 2008 18:53

Acties:

Verwijderd

Gebruik de laatste versie van HijackThis, versie 2.02
http://www.trendsecure.co...security_tools/hijackthis

Scan je systeem eens met Prevx CSI
Als er vreemde bestanden zijn geladen worden die wel gedetecteerd.

dinsdag 1 januari 2008 20:10

Acties:
  • Snowwie
  • Registratie: September 2003
  • Laatst online: 27-11 04:51

Snowwie

Topicstarter
Verwijderd schreef op dinsdag 01 januari 2008 @ 18:53:
Scan je systeem eens met Prevx CSI
Als er vreemde bestanden zijn geladen worden die wel gedetecteerd.
Resultaat Prevx CSI:
1 infectie gevonden, locatie: C:\Windows\system32\nsy17.dll
Malware Group: Generic Malware

Ad-Aware had overigens deze malware wel gevonden, en ook verwijderd, maar even later was het er weer.

Mijn YouTube Channel

woensdag 2 januari 2008 11:59

Acties:
  • Petervanakelyen
  • Registratie: December 2006
  • Laatst online: 30-04 12:52

Petervanakelyen

Je kan met KillBox deze file deleten... als het niet zo lukken om het handmatig te doen, format ?

Somewhere in Texas there's a village missing its idiot.

woensdag 2 januari 2008 12:01

Acties:
  • Swaptor
  • Registratie: Mei 2003
  • Laatst online: 15-10 19:25

Swaptor

Java Apprentice

Het klinkt lullig, maar bij adware/spyware is er maar 1 "goede" oplossing die je direct van alle problemen verlost: backup, format & reinstall.

Ontdek mij!
Proud NGS member
Stats-mod & forum-dude

woensdag 2 januari 2008 12:20

Acties:
  • Petervanakelyen
  • Registratie: December 2006
  • Laatst online: 30-04 12:52

Petervanakelyen

Swaptor schreef op woensdag 02 januari 2008 @ 12:01:
Het klinkt lullig, maar bij adware/spyware is er maar 1 "goede" oplossing die je direct van alle problemen verlost: backup, format & reinstall.
Volledig akkoord, maar er zijn mensen die dat niet willen, en waarbij je ze niet kunt overhalen, daar moet je je best doen om zoveel mogelijk brol de kiem te smoren hé ;)

Somewhere in Texas there's a village missing its idiot.

woensdag 2 januari 2008 12:24

Acties:
  • bord4kop
  • Registratie: Mei 2006
  • Laatst online: 29-11 08:39

bord4kop

maximaal 100KB!

Swaptor schreef op woensdag 02 januari 2008 @ 12:01:
Het klinkt lullig, maar bij adware/spyware is er maar 1 "goede" oplossing die je direct van alle problemen verlost: backup, format & reinstall.
Backup?
niet je complete systeem neem ik aan :P

| Security Management |

woensdag 2 januari 2008 13:00

Acties:
  • Petervanakelyen
  • Registratie: December 2006
  • Laatst online: 30-04 12:52

Petervanakelyen

bord4kop schreef op woensdag 02 januari 2008 @ 12:24:
[...]


Backup?
niet je complete systeem neem ik aan :P
Uiteraard niet, dan neem je virus en al de rest mee :)
Wel effectief is vlak na een format en fresh install met updates een Norto Ghost of Acronis True Image maken. Dan hoef je in het vervolg alleen nog de image te restoren om een fresh install met updates te bekomen.

Somewhere in Texas there's a village missing its idiot.

woensdag 2 januari 2008 17:15

Acties:
  • Snowwie
  • Registratie: September 2003
  • Laatst online: 27-11 04:51

Snowwie

Topicstarter
Uiteindelijk heb ik dat ook maar gedaan. Windows herinstalleren kost maar 15 minuten ofzo, echter al die proggies weer installeren kost een hoop tijd... :)

Ik ben nooit echt het type geweest van backup images maken met programma's als Norton Ghost, maar misschien moet ik het toch maar eens overwegen. System Restore is in dit geval niet afdoende geweest.

Gelukkig staat mijn data op andere partities en is de C-schijf maar 30 gb groot, dus windows herinstall was zo gepiept. :)

Mijn YouTube Channel

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq