krijg worm wa6.vbs (Gdooey Mae.bmp) niet weg? - Privacy en beveiliging

maandag 17 november 2008 15:15

Acties:

Topicstarter

middag.

ik probeer bovengenoemde worm te verwijderen.
ding is niet echt gevaarlijk, maar wel zeer irri...

heb de handleiding gevolgt die ik op de volgende site gevonden heb:
http://answers.yahoo.com/...qid=20080825010856AA2ivAq

echter, ding komt steeds weer terug...????
tevens mcafee op die pc geinstalleerd, en een scan eroverheen gehaalt.
Pc was geinfecteerd met meerdere zooi, alles is verwijderdt.
Hierna mcafee weer geupdate, en opnieuw een scan gedraaid voor de zekerheid.
Alles was schoon.

Wanneer ik na een restart, vanuit savemode, de schijven probeer te benaderen, krijg ik de melding dat de c:\wa6.vbs niet gevonden kan worden... logisch, heb hem verwijdert.

Waar kan ik de verwijzingen naar die script weer ongedaan maken?
Zodat ik met dubbel clicken in de locale schijven kan komen?
Kan de schijven wel benaderen als ik via rechter muisknop en dan openen kies.

Voor "normaal" windows gebruik is dit natuurlijk niet echt te doen...

Worm lijkt geheel verdwenen te zijn...

gebruikte systeem: windows xp pro, engelse versie.
alle updates geinstalleerd.

Hijack Thiis log (pc wordt ãlleen voor muziek productie gebruikt, en af en toe internetten):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:15:49, on 17-12-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programas\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\DeltTray.exe
C:\Programas\QuickTime\qttask.exe
C:\Programas\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\V0410Mon.exe
C:\Programas\McAfee\Common Framework\UdaterUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programas\McAfee\Common Framework\FrameworkService.exe
C:\Programas\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe
C:\Programas\McAfee\Common Framework\McTray.exe
C:\Programas\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Programas\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Programas\Initio\Initio SATA RAID Manager v1.05\iniRaid.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programas\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programas\Winamp Toolbar\winamptb.dll
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programas\Winamp Toolbar\winamptb.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programas\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programas\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programas\McAfee\VirusScan Enterprise\Scriptcl.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programas\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programas\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [M-Audio Delta Taskbar Icon] C:\WINDOWS\System32\DeltTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programas\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programas\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [V0410Mon.exe] C:\WINDOWS\V0410Mon.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programas\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programas\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Live! Cam Manager] "C:\Programas\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIÇO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Serviço de rede')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programas\Ficheiros comuns\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Initio SATA RAID Manager.lnk = ?
O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programas\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/s...e/su2/ocx/15106/CTPID.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programas\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHEI~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programas\Ficheiros comuns\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programas\Ficheiros comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programas\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programas\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programas\McAfee\VirusScan Enterprise\VsTskMgr.exe

--
End of file - 6505 bytes

[ Voor 74% gewijzigd door fcs op 17-11-2008 15:20 . Reden: hijack this log toegevoegd ]

maandag 17 november 2008 15:21

Acties:

RiCkY82

Waarschijnlijk staat er een autorun.inf op je c:\ schijf met daarin de verwijzing naar dat .vbs bestand.
Je moet dan hidden en systeembestanden vanuit explorer aanzetten, zodat je het bestand kan vinden.

Je kunt het beste al je schijven even bekijken of daar het bestand autorun.inf bestaat en verwijderen.

Succes

maandag 17 november 2008 15:29

Acties:

soulrider

heb je een spaanse of een engelse windows ? want het lijkt met nogal een mengelmoes van benamingen.

volgende dingen zou ik weggooien (en die met vraagtekens even verder opzoeken via google):

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
wat niet bekend is of geen bestand meer heeft hoeft niet meer in je reg. te staan
F2 - REG:system.ini: UserInit=userinit.exe,
waarom wordt hier nog een userinit.exe opgestart ?
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
is dit voor een favorieten/links balk in IE ?
?? O4 - HKLM\..\Run: [V0410Mon.exe] C:\WINDOWS\V0410Mon.exe ??
deze mag je zelf opzoeken dus
O12 - Plugin for .spop: C:\Programas\Internet Explorer\Plugins\NPDocBox.dll
en ook deze zou ik weggooien als ik niet weet vanwaar ie komt - ev. via google opzoeken

[ Voor 70% gewijzigd door soulrider op 17-11-2008 15:32 . Reden: effe wat comment bij lijstje ]

maandag 17 november 2008 15:40

Acties:

fcs

Topicstarter

RiCkY82: autorun.inf heb ik er niet meer op staan.
met find kan ik hem niet vinden, en zelf op zoeken vind ik hem ook niet, ookniet met systeem mappen unhidden. Tevens is het een engelse xp, met pt instellingen. vandaar die verwijzingen

soulrider: thx voor je input. zal daar nog naar kijken. namen zeiden mij idd ff niks. Die favo link is idd op de desktop gedropt. Denk dat hij dat makkelijker vond

Naar die O2 en F2 zal ik ook ff kijken.

Die R0 is idd ook vaag. maar goed, schijnbaar heb ik nog niet alles opgeschoond???
zal hier zo mijn acties planten

thx beide.

edit:

NPDocBox.dll: is een plug in voor adobe en netware. Schijnt nodig te zijn voor de samewerking.. die heb ik verwijdert, aangezien hij geen netware heeft...
V0410Mon.exe: is nodig als men een creative webcam heeft.
Weet niet of dit het geval is, dus laat ik die nog ff staan. Zodra ik weet of hij een cam heeft, wordt ie verwijdert of blijft ie staan. de rest kijk ik zo..
vaag: userinit.exe zit zowel in de system32 map als op de volgende locatie: C:\WINDOWS\SoftwareDistribution\Download\3e9bd59040dea6b27a8730682cad1433
zal beide del doen en ook reg verwijderen.
Mmmmm.... userinit bijlft maar terug komen.. ff in safemode rebooten..

[ Voor 36% gewijzigd door fcs op 17-11-2008 16:06 ]

woensdag 19 november 2008 19:29

Acties:

Petervanakelyen

fcs schreef op maandag 17 november 2008 @ 15:40:
RiCkY82: autorun.inf heb ik er niet meer op staan.
met find kan ik hem niet vinden, en zelf op zoeken vind ik hem ook niet, ookniet met systeem mappen unhidden. Tevens is het een engelse xp, met pt instellingen. vandaar die verwijzingen

soulrider: thx voor je input. zal daar nog naar kijken. namen zeiden mij idd ff niks. Die favo link is idd op de desktop gedropt. Denk dat hij dat makkelijker vond
Naar die O2 en F2 zal ik ook ff kijken.

Die R0 is idd ook vaag. maar goed, schijnbaar heb ik nog niet alles opgeschoond???
zal hier zo mijn acties planten
thx beide.

edit:

NPDocBox.dll: is een plug in voor adobe en netware. Schijnt nodig te zijn voor de samewerking.. die heb ik verwijdert, aangezien hij geen netware heeft...
V0410Mon.exe: is nodig als men een creative webcam heeft.
Weet niet of dit het geval is, dus laat ik die nog ff staan. Zodra ik weet of hij een cam heeft, wordt ie verwijdert of blijft ie staan. de rest kijk ik zo..
vaag: userinit.exe zit zowel in de system32 map als op de volgende locatie: C:\WINDOWS\SoftwareDistribution\Download\3e9bd59040dea6b27a8730682cad1433
zal beide del doen en ook reg verwijderen.
Mmmmm.... userinit bijlft maar terug komen.. ff in safemode rebooten..

Userinit.exe is een essentieel bestand van Windows XP !!
Niet verwijderen dus !!

Soulrider doelde er alleen op dat userinit.exe geen tweemaal moet worden opgestart, dus dat het voldoende is om gewoon een vinkje voor deze entry in HijackThis te zetten en te klikken op 'Fix checked'.

Somewhere in Texas there's a village missing its idiot.