[SpyWare] Random popups - Privacy en beveiliging

woensdag 29 oktober 2008 23:41

Acties:

0 Henk 'm!

Topicstarter

Ik schaam me dood hier dit topic te moeten posten. Maargoed...

Ik heb sinds kort regelmatig popus met reclame uit het niets... Ik heb geen flauw idee waar het vandaan komt...
* Scan je PC aan de hand van deze handleiding: Spyware scannen en opruimen
Check. CCleaner, hitmanpro en Spybot SD gedraait. (en zijn up-to-date)

* Zoek op Google en een site als http://www.liutilities.co...intaskspro/processlibrary of er iets bekend is over je proces. (Let er op in welke directory het staat).
Afbeeldingslocatie: http://xs232.xs.to/xs232/08443/taskmanager666.jpg

Afbeeldingslocatie: http://xs232.xs.to/xs232/08443/taskmanager666.jpg

Enkel obtmved7.exe baart mij zorgen, kan er niets over vinden. Komt niet terug in register/msconfig...

HijackThis Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:19:51 PM, on 10/29/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Microsoft IntelliType Pro\dpupdchk.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
D:\VMware Workstation\vmware-authd.exe
C:\Documents and Settings\Henk\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\obtmveD7.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Mozilla Firefox 3 Beta 3\firefox.exe

F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Microsoft Web Test Recorder 9.0 Helper - {E31CE47F-C268-41ba-897B-B415E613947D} - D:\Microsoft Visual Studio 9.0\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO90.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O10 - Unknown file in Winsock LSP: d:\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: d:\vmware workstation\vsocklib.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - D:\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

--
End of file - 3307 bytes

Staat niets in dat ik apart vind... Buiten de "C:\WINDOWS\system32\obtmveD7.exe"... Ik vind deze file niet terug op internet, in mijn register of msconfig... Ik heb hem nu gekilled, maar ik weet niet of hij terug gaat komen...

Ik kan mijn pc opzich wel formatteren, maar misschien weet iemand hier een oplossing... De popups openen ook in IE, terwijl FF mijn standaard browser is..

woensdag 29 oktober 2008 23:45

Acties:

0 Henk 'm!

Jejking

It's teatime, doctor!

Dat zijn van die onzinprocessen die niet echt zijn, oftewel malware. Ik zou eens Spybot S&D in combinatie met mbam.exe door je systeem halen. Dat hielp heul erg bij mij enkele weken terug

Edit: sowieso zie ik dingen die je niet gebruikt. GoogleUpdate.exe

[ Voor 16% gewijzigd door Jejking op 29-10-2008 23:47 ]

woensdag 29 oktober 2008 23:47

Acties:

0 Henk 'm!

418O2

Topicstarter

oke, nog nooit van gehoord maar ik ga het doen, bedankt.

Ben echt iemand ie heeeeel goed oplet wattie doet, maar er is nu toch wat doorheen geslopen, helaas.

Edit: Hij vond inderdaad iets wat er op leek qua filename (een dll in de system32). Hoorah and cookies for you!

Googleupdate is door de notifier gestart ofzo denk ik, die staat uit in mijn msconfig.

[ Voor 39% gewijzigd door 418O2 op 29-10-2008 23:50 ]

donderdag 30 oktober 2008 18:42

Acties:

0 Henk 'm!

418O2

Topicstarter

Hmmm... dat MalwareBytes had iets gevonden, maar dat obtmveD7.exe draait nog steeds...

donderdag 30 oktober 2008 19:55

Acties:

0 Henk 'm!

Verwijderd

Scan eens met Prevx CSI, misschien geeft die wat meer info over het bestand. Ze hebben in ieder geval een gigantische database met informatie. Misschien is dat bestand wel bekend in de database maar dan gewoon met een andere naam. Dan kun je met Google inderdaad niets vinden.

donderdag 30 oktober 2008 23:27

Acties:

0 Henk 'm!

Sassie

418O2 schreef op donderdag 30 oktober 2008 @ 18:42:
Hmmm... dat MalwareBytes had iets gevonden, maar dat obtmveD7.exe draait nog steeds...

Ook een scan in de veilige modus geprobeerd?
En stond er nog wat (bestandsnamen) in de log van mbam?

donderdag 30 oktober 2008 23:42

Acties:

0 Henk 'm!

CasioMan468

Misschien domme opmerking van mij, maar je weet nu toch waar het programma staat? C:\WINDOWS\system32\obtmveD7.exe

Kun je het niet een andere naam geven en dan rebooten?

Ik ben wel nieuwsgierig eigenlijk.

Je kunt het ook opzoeken, rechtermuisklik en dan eigenschappen en dan zie je er ook info over. Als het je niet aanstaat: prullenbak!

vrijdag 31 oktober 2008 04:16

Acties:

0 Henk 'm!

pasta

Ondertitel

code:

1	F2 - REG:system.ini: UserInit=userinit.exe,

Die staat er bij mij niet in, dus ik zou het even scannen op Jotti's online malware scan

, ook zou ik obtmveD7.exe even scannen bij Jotti. Als een virusscanner die herkent als malware dan zou ik even een trial downloaden van die virusscanner en daarmee een volledige scan uitvoeren (evt. in veilige modus).

Signature

vrijdag 31 oktober 2008 15:35

Acties:

0 Henk 'm!

418O2

Topicstarter

CasioMan468 schreef op donderdag 30 oktober 2008 @ 23:42:
Misschien domme opmerking van mij, maar je weet nu toch waar het programma staat? C:\WINDOWS\system32\obtmveD7.exe

Kun je het niet een andere naam geven en dan rebooten?

Ik ben wel nieuwsgierig eigenlijk.

Je kunt het ook opzoeken, rechtermuisklik en dan eigenschappen en dan zie je er ook info over. Als het je niet aanstaat: prullenbak!

Heb ik nu gedaan, aangezien MBAM daar een fout opgaf en ik het liet fiksen dacht ik dat het weg was, maar dat was het niet...

vrijdag 31 oktober 2008 15:38

Acties:

0 Henk 'm!

Ventrigo

Het is zeker mijn tube !

laat je je computer wel scannen in veilige modus?

Self reflection is the school of wisdom