Tot voor kort geen vscan: vele popups, spyware, etc * - Privacy en beveiliging

zaterdag 5 april 2008 14:11

Acties:

Verwijderd

Topicstarter

Hallo,

Een paar maanden geleden een nieuwe PC gekocht en zo stom geweest om de eerste maanden zonder virusscan te werken

. Pas geleden AVG gedownload en een scan gedraaid. Verschillende bestanden verwijdert maar nu heb ik ontzettend veel last van spyware: veel pop-ups en openen van nieuwe pagina's tijdens het internetten. Als ik HijackThis draai krijg ik de volgende output:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:22:17, on 4-4-2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Windows\System32\VTTimer.exe
C:\Windows\System32\VTTrayp.exe
C:\Windows\SOUNDMAN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Grisoft\AVG7\avgcc.exe
C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [VModes] VModes AttachToDesktop
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe"
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\Eigenaar\AppData\Local\Temp\qOiiGaaA.dll,#1
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Eigenaar\AppData\Local\Temp\awTjGvtq.dll,c
O4 - HKCU\..\Run: [BMf3507a58] Rundll32.exe "C:\Users\Eigenaar\AppData\Local\Temp\gbreyuhp.dll",s
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O20 - Winlogon Notify: avgwlntf - C:\Windows\SYSTEM32\avgwlntf.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

--
End of file - 4984 bytes

Weet iemand welke processen deze spyware veroorzaken ??

Alvast bedankt!

Pim

zaterdag 5 april 2008 14:17

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Ik zie geen letterlijk levensgevaar, dus pas de titel even aan zodat het niet schreeuwerig maar juist wel informatief is: 'HELP: een spyware probleempje' is precies andersom

Daarnaast gaan we er hier van uit dat je zelf ook even meedoet. Welke files verdenk je en wat zeggen bijv. webbased scanners? Ik heb eerlijk gezegd weinig zin om zo'n lap text door te nemen als je daar zelf geen zin in hebt

Zie ook de vele andere topics (en de 'sticky topics' bovenaan het subforum) met tips over hoe en wat.
Maar processen die vanuit een Temp directory draaien lijken me (bijna) nooit goed.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zaterdag 5 april 2008 14:17

Acties:

Borromini

Mislukt misantroop

Verwijderd schreef op zaterdag 05 april 2008 @ 14:11:

O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\Eigenaar\AppData\Local\Temp\qOiiGaaA.dll,#1
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Eigenaar\AppData\Local\Temp\awTjGvtq.dll,c
O4 - HKCU\..\Run: [BMf3507a58] Rundll32.exe "C:\Users\Eigenaar\AppData\Local\Temp\gbreyuhp.dll",s

Dit lijken me de voor de hand liggende dingen?

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

zaterdag 5 april 2008 14:20

Acties:

lennartbee

Als je een paar maanden zonder virusscan hebt gewerkt is een complete reinstall van windows ook geen overbodige luxe denk ik zo..

zaterdag 5 april 2008 22:47

Acties:

Sassie

Als je die .dll's die Borromini noemt nog kunt vinden dan zou je ze evt nog kunnen uploaden en latne analyseren @ http://virusscan.jotti.org dan kom je er wellicht achter wat het is.
Ze zijn iig inderdaad verdacht te noemen.

Wat heb je trouwens allemaal al precies gedaan om die spyware te verijderen (welke programma's heb je gedraaid bijv)?

dinsdag 8 april 2008 16:36

Acties:

Verwijderd

Topicstarter

Hey,

Ik heb alle .dll bestanden uit mijn TEMP map gescand via http://virusscan.jotti.org. Bij ieder bestand gaf één van de scanners wel een melding. Ik heb alle .dll bestanden ff in een aparte map gezet. Vanaf toen (of na opnieuw opstarten) heb ik geen last meer van die vervelende pop-up en reclame. Als dit zo blijft, en ik geen andere problemen ondervindt delete ik alle .dll bestanden die ik in de aparte map heb gezet.

In ieder geval bedankt voor de reacties!

Groeten,

Pim

dinsdag 8 april 2008 18:36

Acties:

Sassie

Als ik jou was zou ik zeker nog even een complete scan doen met een van de virusscanners op jotti.org die (een van) die .dlls herkenden. Dit om te kijken of er nog niet ergens anders iets achter is gebleven.