Services.exe - Privacy en beveiliging

dinsdag 7 juli 2009 13:55

Acties:

Topicstarter

Hallo.

Ik heb een pc waar ik een virus op heb gekregen. Bij het opstarten van windows xp krijg ik gelijk een melding van Services.exe en dan sluit die de pc af binnen 1 minuut. Deze melding komt de ene keer wel en de anderen keer niet.

Groeten,

Maikel

dinsdag 7 juli 2009 13:56

Acties:

Ryan_

Wat is je vraag?

dinsdag 7 juli 2009 13:59

Acties:

Splinter Cell

Glasvezel MASTER RACE

Ziet het er (ongeveer) zo uit?

Afbeeldingslocatie: http://www.adamsdvds.co.uk/tutorials/windowsxp/infections/shutdown.jpg

dinsdag 7 juli 2009 14:05

Acties:

ItsmeMaikel

Topicstarter

Ja het ziet er inderdaad zo uit. En mijn vraag is hoe krijg ik dit weg?

dinsdag 7 juli 2009 14:06

Acties:

Herby

Stalknecht

shutdown -a ,maar ik zou is op zoek gaan naar de oorzaak.

Compromis? Hoezo heb ik het mis dan?! | Geluk = gelul met een K | з=(•̪●)=ε

dinsdag 7 juli 2009 14:12

Acties:

ItsmeMaikel

Topicstarter

Ik zou zelf ook graag de oorzaak willen weten. Maar omdat deze pc van een familie lid is weet ik niet wat die gene gedaan heeft.

dinsdag 7 juli 2009 14:13

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Je wilt http://gathering.tweakers...&where=Dit+forum#hitstart en http://gathering.tweakers...&where=Dit+forum#hitstart even doorlezen. Dat en natuurlijk met een goede en uptodate vscanner scannen, alle Windows- en applicatieupdates hebben gedraaid en je event log (en de output van hijackthis etc) goed bekijken.

Laat ons dan even weten wat waar je twijfelt in je logs, dan kijken we graag mee. Maar met alleen hetgeen je scrhijft kunnen we niet zoveel

Edit: oeh. een fam-apparaat. Bij al te vervuilde machines kan je ook vanaf 0 beginnen - en natuurlijk na backup & format & installatie & beveiliging & updateb & restore zorgen dat de beveiliging de volgende keer hoger staat (geen adminrechten, wel updates) en de familie snapt dat ze niet zomaar moeten klikken.

[ Voor 19% gewijzigd door F_J_K op 07-07-2009 14:15 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 7 juli 2009 14:16

Acties:

_Apache_

For life.

maak een .bat bestand op het bureaublad - of een ander plek waar je het snel kunt starten - met de tekst "shutdown -a" en start het bestand elke keer je dat scherm ziet.

Ga ondertussen aan de slag met ad-ware/troep schoning.

Laat aan het einde graag weten wat het probleem was, dan hebben ander mensen er baat bij als je dat meldt.

Zero SR/S 17.3kWh / 2.7 kWP PV / Xtend WP 5kW + HRSolar zonneboiler

dinsdag 7 juli 2009 14:54

Acties:

ItsmeMaikel

Topicstarter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:43:19, on 7-7-2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINDOWS\system32\hphmon04.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\CA\eTrustITM\realmon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\CA\SharedComponents\Alert\ALERT.EXE
C:\Program Files\CA\SharedComponents\ThirdParty\Tomcat\5.5\Bin\Tomcat5.exe
C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Program Files\CA\SharedComponents\iTechnology\igateway.exe
C:\Program Files\CA\eTrustITM\InoNmSrv.exe
C:\Program Files\CA\eTrustITM\InoRpc.exe
C:\Program Files\CA\eTrustITM\InoRT.exe
C:\Program Files\CA\eTrustITM\InoTask.exe
C:\Program Files\CA\eTrustITM\inoweb.exe
C:\Program Files\CA\SharedComponents\PPRealtime\bin\ITMRTSVC.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\CA\eTrustITM\ppcl.exe
C:\Program Files\CA\eTrustITM\ppcl.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\system32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Program Files\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Realtime Monitor] "C:\Program Files\CA\eTrustITM\realmon.exe" -s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [Administrator] C:\Documents and Settings\Administrator\Administrator.exe /i
O4 - HKCU\..\Policies\Explorer\Run: [ofof] "C:\Mijn documenten\Mijn afbeeldingen\foto 2007\ofof.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [java_sun] Java (Sun)
O16 - DPF: {2d8ed06d-3c30-438b-96ae-4d110fdc1fb8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microso...eb_site.cab?1193127366031
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://cache.hyves.nl/statics/Aurigma/ImageUploader4.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{45E119C7-3868-48CC-BC70-3AF002127AE6}: NameServer = 213.174.139.72,192.168.1.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{5DA14ACC-D7D0-4F8C-AEF9-B3AE94178BCC}: NameServer = 213.174.139.72,192.168.1.254
O23 - Service: Alert Notification Server - CA, Inc. - C:\Program Files\CA\SharedComponents\Alert\ALERT.EXE
O23 - Service: Apache Content Server (ApacheContentServer) - Apache Software Foundation - C:\Program Files\CA\eTrustITM\Apache\Bin\Apache.exe
O23 - Service: Apache Tomcat Application Server (ApacheTomcatApplicationServer) - Apache Software Foundation - C:\Program Files\CA\SharedComponents\ThirdParty\Tomcat\5.5\Bin\Tomcat5.exe
O23 - Service: Autodata Limited License Service - Unknown owner - C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Intelligente achtergrondsoverdrachtservice (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: iTechnology iGateway 4.2 (iGateway) - CA, Inc. - C:\Program Files\CA\SharedComponents\iTechnology\igateway.exe
O23 - Service: eTrust ITM Server Service (InoNmSrv) - CA - C:\Program Files\CA\eTrustITM\InoNmSrv.exe
O23 - Service: eTrust ITM RPC Service (InoRPC) - CA - C:\Program Files\CA\eTrustITM\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Service (InoRT) - CA - C:\Program Files\CA\eTrustITM\InoRT.exe
O23 - Service: eTrust ITM Job Service (InoTask) - CA - C:\Program Files\CA\eTrustITM\InoTask.exe
O23 - Service: eTrust ITM Web Access Service (InoWeb) - CA - C:\Program Files\CA\eTrustITM\inoweb.exe
O23 - Service: CA Pest Patrol Realtime Protection Service (ITMRTSVC) - CA, Inc. - C:\Program Files\CA\SharedComponents\PPRealtime\bin\ITMRTSVC.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\system32\HPHipm11.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Automatische updates (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 8876 bytes

dinsdag 7 juli 2009 14:59

Acties:

ItsmeMaikel

Topicstarter

_Apache_ schreef op dinsdag 07 juli 2009 @ 14:16:
maak een .bat bestand op het bureaublad - of een ander plek waar je het snel kunt starten - met de tekst "shutdown -a" en start het bestand elke keer je dat scherm ziet.

Ga ondertussen aan de slag met ad-ware/troep schoning.

Laat aan het einde graag weten wat het probleem was, dan hebben ander mensen er baat bij als je dat meldt.

Ik heb de pc al gescant met Malwarebytes. en AVG beide programma's vonden dingen maar niet het virus waar door deze pc zich afsluit.

dinsdag 7 juli 2009 15:00

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

En wat zijn nu volgens jou verdachte regels / welke processen kan je niet thuisbrengen? Pak er eventueel een hijackthis analyzer bij. Ook: wat zegt nu dus je event log rond de tijden dat het fout gaat?

offtopic:
We denken graag mee, maar het lijkt op deze manier nogal of je alleen maar wat over de muur gooit en achteroverleunt tot er een antwoord komt. Dat is niet zo, maar laat dus even wat eige inbreng zien. Dat werkt een stuk prettiger en sneller voor iedereen

Edit:
Toch even kort en snel gekeken. Draai je bewust Apache en Tomcat?

pinopro schreef op dinsdag 07 juli 2009 @ 14:59:
Ik heb de pc al gescant met Malwarebytes. en AVG beide programma's vonden dingen maar niet het virus waar door deze pc zich afsluit.

Het is dus nog niet zeker dat het een virus is. Een fatsoenlijk gebouwd virus sluit een PC niet af, al is natuurlijk niet ieder virus fatsoenlijk te noemen

[ Voor 32% gewijzigd door F_J_K op 07-07-2009 15:02 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 7 juli 2009 15:05

Acties:

ItsmeMaikel

Topicstarter

Edit:
Toch even kort en snel gekeken. Draai je bewust Apache en Tomcat?

Ik heb daar geen flauw idee van want zoals ik eerder zei is deze pc niet van mijn. Maar van een familie lid.

dinsdag 7 juli 2009 15:06

Acties:

weerdo

Tip: draai hijackthis eens onder een andere bestandsnaam (dus 'klooi.exe' ipv hijackthis.exe en kijk dan eens opnieuw naar de uitvoer. Ik denk dat er een proces zichzelf verbergt.

Andere optie: slechte drivers, rotte programmatuur?

dinsdag 7 juli 2009 15:08

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Dat wil je dus even uitzoeken. Kijk eens wat er op draait.

OTOH, als je familie geen PC weet te gebruiken zonder besmet te raken is de kans groot dat het dus niet de bedoeling was en iemand anders de PC heeft overgenomen. Als dat zo is, zou ik gewoon backuppen en formatteren

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Pagina: 1

Reageer