Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[Trojan.Dropper] PC dood verklaren?

Pagina: 1
Acties:
  • 960 views sinds 30-01-2008
  • Reageer

zaterdag 19 januari 2008 21:19

Acties:
  • Sebazzz
  • Registratie: September 2006
  • Laatst online: 30-11 09:00

Sebazzz

3dp

Topicstarter
Een hele goede avond :)

Ik heb hier een PC, de PC van mijn vader, met Windows XP Professional SP2. Sinds vanmorgen is deze pc ziek geworden, heeft volgens Kaspersky een Trojan.Dropper opgevangen toen het op het internet zat. Kaspersky kon het bestand in kwestie niet schoonmaken dus besloot gebbyy.exe in de System32 map maar te verwijderen. Alles leek goed maar er kwam nog een melding over een geinfecteerd bestand (jkklj.dll), ook verwijderd. Nog een melding, nog een, nog een.

PC gereboot, en Windows start weer op en alles lijkt goed, maar er komt weer een melding. Gelijk sluit ook de explorer.exe shell af. Een paar seconden later komt de explorer.exe shell weer opdagen om na een paar seconden weer te verdwijnen (dit gaat zo door). Ubuntu gestart op dezelfde computer en dan ClamAV geïnstalleerd, en de schijf van XP gestart. Trojan.Dropper wederom gevonden en ook weer verwijderd.

PC gereboot naar Windows veilige modus, doorgestart naar het bureaublad want Systeemherstel is broken op deze installatie, ook hier sluit de shell opnieuw af en komt de vraag weer of ik systeemherstel wil starten of wil werken in veilige modus. Ik klik op Nee, bureaublad komt weer tevoorschijn en sluit na een seconde of wat weer af. Kaspersky gedraaid, haalt geïnfecteerde bestanden weg, gereboot en er is niks veranderd. Sterker nog, Kaspersky zeurt dat msconfig.exe in de System32 map geinfecteerd is geraakt.

Dus weer terug naar veilige modus, Hijackthis log gemaakt en nu mijn vraag: Hoe op te lossen?
Ik heb op internet gelezen dat Trojan.Dropper een soort downloader is voor malware?
Hijackthis log
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:59:49, on 01/19/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\cmd.exe
F:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
F:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.com
F:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
I:\HiJackThis_v2.exe

0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.hccmagazine.nl/index.cfm?fuseaction=home.showSurftips
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com//0seenus/saos01
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Lexmark Werkbalk - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O2 - BHO: (no name) - {29170237-6F94-4EA9-8ED4-0002A3435818} - C:\WINDOWS\system32\gebyy.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {A051B1FF-8D7E-418B-AABE-4FF82F4280A2} - C:\WINDOWS\system32\tuvtrol.dll
O2 - BHO: (no name) - {AC8A75BB-B3C3-4F02-8BFC-102F52A239A0} - C:\WINDOWS\system32\ssttu.dll (file missing)
O2 - BHO: (no name) - {D0D5F56B-0787-4AE1-AE80-C475F7CDC2B8} - C:\WINDOWS\system32\jkklj.dll
O3 - Toolbar: (no name) - {bb98ab3d-fd20-47ba-a820-ff1cc5483ac8} - (no file)
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\nl\msntb.dll
O3 - Toolbar: (no name) - {09C02180-3B46-4CD8-83FF-34DAF442BDEF} - (no file)
O3 - Toolbar: Lexmark Werkbalk - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O4 - HKLM\..\Run: [kis] "F:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [WireLessKeyboard] C:\Program Files\MTS 1610 Wireless Combo Set\StartAutorun.exe PS2USBKbdDrv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [RunNarrator] Narrator.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with Star Downloader - C:\Program Files\Star Downloader\sdie.htm
O8 - Extra context menu item: Druid: Download All Files - F:\druid\Druid.html
O8 - Extra context menu item: Voeg toe aan de Kaspersky Anti-Banner - F:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\npjpi160_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\npjpi160_03.dll
O9 - Extra button: Download - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - F:\druid\Druid.exe
O9 - Extra 'Tools' menuitem: Druid: Download All Files - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - F:\druid\Druid.exe
O9 - Extra button: (no name) - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - F:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: Druid Bar - {A6B25D86-CB76-44C1-8E35-328EE8F4BEF0} - F:\druid\DruidBar.dll
O9 - Extra button: FreeToGoSwitch - {A888F560-58E4-11d0-A68A-000000000000} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Free History Cleaner - {ECC5778A-6E88-BFCE-13CE-81F134789E7B} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Free History Cleaner - {ECC5778A-6E88-BFCE-13CE-81F134789E7B} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec....ontent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.c...eb_site.cab?1124995901375
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec....tent/common/bin/cabsa.cab
O16 - DPF: {91F52A42-C10D-49A7-B941-882C657C604F} (Installation Helper Object) - http://kitcentral.wanadoo.../nl/instwact/instwact.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/...sengersetupdownloader.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec....tent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{56889CB3-4AE2-48A1-8CB8-E7B651D8FD15}: NameServer = 194.134.5.5,194.134.0.97
O20 - AppInit_DLLs: F:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: tuvtrol - C:\WINDOWS\SYSTEM32\tuvtrol.dll
O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - F:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: iPAHelper.exe - Unknown owner - d:\Program Files\iPod Access for Windows\iPAHelper.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: lxbu_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxbucoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Window Washer Engine (wwEngineSvc) - Webroot Software, Inc. - C:\Program Files\Webroot\Washer\WasherSvc.exe
O24 - Desktop Component 0: (no name) - http://antwrp.gsfc.nasa.g...20070323-jupiter_anim.gif
Iemand advies?

Alvast bedankt :)
Sebas

Specs:
OS: Windows XP Professional Service Pack 2 (ongeveer in 2003 geinstalleerd en sindsdien ongeveer iedere dag gebruikt :o Hangt van Cleanertooltjes en Optimizers aan elkaar)

[Te koop: 3D printers] [Website] Agile tools: [Return: retrospectives] [Pokertime: planning poker]

zaterdag 19 januari 2008 22:35

Acties:
  • FezzFest
  • Registratie: Juni 2004
  • Niet online

FezzFest

Jongens, toch... Wat ben jij lekker geïnfecteerd...
Gooi dit er alleszinds maar af:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

O2 - BHO: (no name) - {29170237-6F94-4EA9-8ED4-0002A3435818} - C:\WINDOWS\system32\gebyy.dll (file missing)

O2 - BHO: (no name) - {A051B1FF-8D7E-418B-AABE-4FF82F4280A2} - C:\WINDOWS\system32\tuvtrol.dll

O2 - BHO: (no name) - {AC8A75BB-B3C3-4F02-8BFC-102F52A239A0} - C:\WINDOWS\system32\ssttu.dll (file missing)

O2 - BHO: (no name) - {D0D5F56B-0787-4AE1-AE80-C475F7CDC2B8} - C:\WINDOWS\system32\jkklj.dll

O3 - Toolbar: (no name) - {bb98ab3d-fd20-47ba-a820-ff1cc5483ac8} - (no file)

O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O20 - Winlogon Notify: tuvtrol - C:\WINDOWS\SYSTEM32\tuvtrol.dll


Nadat je dit gedaan hebt, scan met Prevx CSI en Spybot S&D. Post hier de uitslag van deze scans + een nieuw HijackThis logje.

En het beste is uiteraard formatteren...

[ Voor 7% gewijzigd door FezzFest op 19-01-2008 22:38 ]

zaterdag 19 januari 2008 22:38

Acties:
  • dreeke
  • Registratie: December 2000
  • Laatst online: 31-10 13:54

dreeke

outdated icon

Behalve dat Systeem herstel niet werkt, heb je het ook zelf UIT gezet? Anders kan hij daar vandaan iedere keer opnieuw weer terugkomen.

Bij gebrek aan uw reclame staat hier mijn handtekening.

zaterdag 19 januari 2008 22:39

Acties:
  • The_nv40_man
  • Registratie: Januari 2005
  • Laatst online: 13-06-2022

The_nv40_man

Reinstall lijkt me toch de beste en meest zinvolle optie in deze zaak.

Het scheelt je tijd ten opzichte van deze install reanimeren en bovendien heb je meteen een: opgeruimd, snel, en schoon systeem.

zaterdag 19 januari 2008 22:41

Acties:
  • FezzFest
  • Registratie: Juni 2004
  • Niet online

FezzFest

The_nv40_man schreef op zaterdag 19 januari 2008 @ 22:39:
Reinstall lijkt me toch de beste en meest zinvolle optie in deze zaak.

Het scheelt je tijd ten opzichte van deze install reanimeren en bovendien heb je meteen een: opgeruimd, snel, en schoon systeem.
Volledig akkoord, maar je hebt altijd mensen die dat (om de een of andere reden) niet doen...
Daarom dus mijn bovenstaande post met entries van HijackThis.

zondag 20 januari 2008 08:29

Acties:
  • Sebazzz
  • Registratie: September 2006
  • Laatst online: 30-11 09:00

Sebazzz

3dp

Topicstarter
Nouja, een reinstall wil mijn vader zo liefst mogelijk vermijden, tenzij het niet anders kan...
Toch maar weer even de Windows CD onder het stof vandaan plukken ;)

Je kent het hè, na een tijdje wordt je Windows installatie wel jouw Windows installatie en als je Windows defect raakt of langzamer raakt wil je hem het liefste houden. Zeker als je van die dingen hebt van sites zoals GiveAwayOfTheDay.com, Dit is trouwens ook de vermoedelijke oorzaak van de besmetting :)

Maar reinstall is het beste ja. Deze Windows installatie vond ik toch al zo brak.. Als je op Opnieuw opstarten klikte sloot het systeem af, Help en Ondersteuning en Systeemherstel deed het niet meer, hij deed 6 minuten bij het afsluiten van Windows en 2 minuten bij het opstarten. En dat zijn nog maar een paar van de alledaagse problemen dat de installatie had :P

Maar bedankt iig :)

[Te koop: 3D printers] [Website] Agile tools: [Return: retrospectives] [Pokertime: planning poker]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq