Mogelijk virus in logbestand

donderdag 31 december 2009 10:56

Acties:

0 Henk 'm!

Topicstarter

Besten,

Ik heb laatst een groot probleem met windows XP.
Het komt namelijk voor dat de schijf heel snel vol raakt zonder dat ik iets op de pc doe. Ik heb ontdekt met behulp van TuneUp Utilities 2009, dat er een *.log bestand in de map C:\Documents and Settings\NetworkService\Mijn documenten zit, die enorm groot kan worden. Het bestand blijft groeien tot de schijf vol zit.

Verwijderen lukt op de normale manier niet, maar met TuneUp Shredder wel. Ik zou graag willen weten welk programma of virus het veroorzaakt en of het te stoppen is.

Hier is het bestand te zien. (Het 2^de bestand)
Afbeeldingslocatie: http://i48.tinypic.com/2ex8qad.jpg

Afbeeldingslocatie: http://i48.tinypic.com/2ex8qad.jpg

donderdag 31 december 2009 10:58

Acties:

0 Henk 'm!

ik222

Wat staat er in het logbestand? Dit lijkt mij namelijk geen virus maar gewoon een applicatie die je hebt geinstalleerd die iets continu aan het loggen is.

De inhoud kan je waarschijnlijk meer vertellen over welk programma dat is.

[ Voor 20% gewijzigd door ik222 op 31-12-2009 10:58 ]

donderdag 31 december 2009 11:01

Acties:

0 Henk 'm!

PetervMeijgaard

Topicstarter

Ik kan het bestand niet openen met kladblok, omdat het in gebruik is. Ook kan het niet omdat het een te groot bestand is.

donderdag 31 december 2009 11:03

Acties:

0 Henk 'm!

Matis

Rubber Rocket

Probeer eens op te starten in veilige modus en het bestand uit te lezen, of gebruik een Live-cdtje met een Linux distributie erop.

If money talks then I'm a mime
If time is money then I'm out of time

donderdag 31 december 2009 11:04

Acties:

0 Henk 'm!

pven

Installeer Unlocker eens, dan kan je a) het bestand unlocken en eventueel verwijderen en b) zien wat het gelocked houdt.

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

donderdag 31 december 2009 11:04

Acties:

0 Henk 'm!

Verwijderd

En met bijvoorbeeld handle kijken welk process die bestanden open heeft. Het lijkt mij ook geen virus maar logbestanden of zoiets.
Handle: http://technet.microsoft....ysinternals/bb896655.aspx

En iemand met hetzelfde probleem:
http://www.techsupportfor...folder-starting-cagc.html

donderdag 31 december 2009 11:06

Acties:

0 Henk 'm!

PetervMeijgaard

Topicstarter

Maar als kladblok het bestand te groot vind om te lezen... dan lukt dat toch niet? Of zorgt de veilige modus ervoor dat het juist WEL kan.

donderdag 31 december 2009 11:06

Acties:

0 Henk 'm!

Petervanakelyen

Je zou moeten kunnen achterhalen welk programma dat logfile ligt weg te schrijven.
Wat gebeurd er als je het 4KB logbestand wil openen ? Ook in gebruik ?

Somewhere in Texas there's a village missing its idiot.

donderdag 31 december 2009 11:08

Acties:

0 Henk 'm!

PetervMeijgaard

Topicstarter

Hartelijk bedankt voor de snelle reacties. Het grote bestand is al verwijderd met tuneup, maar ik zal de volgende keer kijken wat het probleem is. Het bestand wordt om de 2 dagen weer "vol gepompt".

Dat bestand kan ik gewoon openen. Er staat "Module address ranges" en een hele lijst met *.dll bestanden.
En dit:
Zelf heb ik geen idee wat dit betekend...

Exception pointers: 04cdf1a4

Call stack:
At 7c9101b3 in module at 7c900000
At 1000df44 in module at 10000000
At 1000df66 in module at 10000000
At 1000b5da in module at 10000000

Exception:

Dumping exception record 04cdf298
Exception code: c0000005
Exception flags: 00000000
Exception address: 7c9101b3
Parameter count: 2
Parameter 0: 00000001
Parameter 1: 1001649a

[ Voor 15% gewijzigd door PetervMeijgaard op 31-12-2009 11:10 ]

donderdag 31 december 2009 11:09

Acties:

0 Henk 'm!

Verwijderd

Je kan toch aan de hand van al die .dll bestanden wel achterhalen welke applicatie deze bestanden aanmaakt?

donderdag 31 december 2009 11:10

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Inderdaad. Open trouwens niet met kladblok (dan is het 'even' bezig) maar bijvoorbeeld met een Windows-versie van tail.

Ook: kijk met bijv process explorer welk proces naar het bestand schrijft: http://windowsxp.mvps.org/processlock.htm

Los daarvan: als je denkt dat het een virus is, wil je natuurlijk de standaardacties doen om naar virussen te zoeken

Edit: ik ben traag. Inderdaad een errorlog. En idd kan je naast met bovenstaande process explorer of unlocker ook een patroon in de dll'en ontdekken (als het geen standaard dll's zijn dan).

[ Voor 21% gewijzigd door F_J_K op 31-12-2009 11:12 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 31 december 2009 11:16

Acties:

0 Henk 'm!

pm1

SoLiD-Killer

netwerkservice is een als ik me niet vergis een account in windows.

kijk eens bij gebruikersaccounts of er geen ASP.net machine staat ofzo, de meeste mensen hebben deze account niet nodig dus kan je die gewoon verwijderen met bestanden en al, waarschijnlijk loopt er iets mis in die account.

(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.

donderdag 31 december 2009 11:19

Acties:

0 Henk 'm!

PetervMeijgaard

Topicstarter

pm1 schreef op donderdag 31 december 2009 @ 11:16:
netwerkservice is een als ik me niet vergis een account in windows.

kijk eens bij gebruikersaccounts of er geen ASP.net machine staat ofzo, de meeste mensen hebben deze account niet nodig dus kan je die gewoon verwijderen met bestanden en al, waarschijnlijk loopt er iets mis in die account.

Nee, er is geen ASP.net machine.

donderdag 31 december 2009 11:23

Acties:

0 Henk 'm!

pm1

SoLiD-Killer

er zou toch op je pc een account moeten bijgemaakt zijn, normaal staat in je documents en settings enkel de accounts die jijzelf gebruikt.

drastische manier dan maar:

rechtermuisklik op "deze computer"-> beheren -> lokale gebruikers en groepen -> gebruikers -> screenshot als het kan

of via configuratiescherm -> systeembeheer -> computerbeheer -> ...

[ Voor 10% gewijzigd door pm1 op 31-12-2009 11:24 ]

(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.

donderdag 31 december 2009 11:24

Acties:

0 Henk 'm!

Petervanakelyen

Coolepeter schreef op donderdag 31 december 2009 @ 11:19:
[...]

Nee, er is geen ASP.net machine.

En hoe heb je dat gechecked ? Voer eens "control userpasswords2" uit

Overigens nog een tool om te verwijderen: KillBox.

Maar ik zou eerst eens de andere suggesties proberen (Process Explorer is bv. een hele goeie).

Somewhere in Texas there's a village missing its idiot.

donderdag 31 december 2009 11:27

Acties:

0 Henk 'm!

iisschots

Heb de titel wat verduidelijkt

Hackerspace in Friesland | www.frack.nl | Bezig met opzetten, help mee!

donderdag 31 december 2009 11:31

Acties:

0 Henk 'm!

PetervMeijgaard

Topicstarter

pm1 schreef op donderdag 31 december 2009 @ 11:23:
er zou toch op je pc een account moeten bijgemaakt zijn, normaal staat in je documents en settings enkel de accounts die jijzelf gebruikt.

drastische manier dan maar:

rechtermuisklik op "deze computer"-> beheren -> lokale gebruikers en groepen -> gebruikers -> screenshot als het kan

of via configuratiescherm -> systeembeheer -> computerbeheer -> ...

*ahum* sorry, maar ik had niet goed gekeken. Er is WEL een ASPNET account op de pc. (zie afbeelding)
Afbeeldingslocatie: http://i45.tinypic.com/2vsrndv.jpg

Wat is een ASP.net account eigenlijk?

[ Voor 3% gewijzigd door PetervMeijgaard op 31-12-2009 11:33 ]

donderdag 31 december 2009 11:38

Acties:

0 Henk 'm!

joey129

Het is een account dat aangemaakt word wanneer je het .net framework installeert. Kan gebruikt worden door IIS om ASP.net zaken lokaal op de machine te kunnen doen

donderdag 31 december 2009 11:41

Acties:

0 Henk 'm!

PetervMeijgaard

Topicstarter

Ok, ik heb het account verwijderd. Zal nu het log probleem zijn op opgelost?

donderdag 31 december 2009 11:42

Acties:

0 Henk 'm!

Petervanakelyen

Coolepeter schreef op donderdag 31 december 2009 @ 11:41:
Ok, ik heb het account verwijderd. Zal nu het log probleem zijn op opgelost?

Computer herstarten en controleren of in de map "C:\Documents and Settings\NetworkService\Mijn Documenten" nog steeds logfiles worden gemaakt.

Wat is een ASP.net account eigenlijk?

Kijk eens op je eigen screenshot

[ Voor 12% gewijzigd door Petervanakelyen op 31-12-2009 11:43 ]

Somewhere in Texas there's a village missing its idiot.

donderdag 31 december 2009 11:44

Acties:

0 Henk 'm!

joey129

Coolepeter schreef op donderdag 31 december 2009 @ 11:41:
Ok, ik heb het account verwijderd. Zal nu het log probleem zijn op opgelost?

Ik zou zowieso even kijken of die .dll files te verwijderen zijn.

donderdag 31 december 2009 11:46

Acties:

0 Henk 'm!

PetervMeijgaard

Topicstarter

Petervanakelyen schreef op donderdag 31 december 2009 @ 11:42:
[...]

Computer herstarten en controleren of in de map "C:\Documents and Settings\NetworkService\Mijn Documenten" nog steeds logfiles worden gemaakt.

[...]

Kijk eens op je eigen screenshot

Zal ik doen. Allemaal bedankt voor de tips en hulp. Ik zal, als het probleem nog niet verholpen is, kijken welk bestand de log-bestanden aan maakt.

donderdag 31 december 2009 11:53

Acties:

0 Henk 'm!

PetervMeijgaard

Topicstarter

joey129 schreef op donderdag 31 december 2009 @ 11:44:
[...]

Ik zou zowieso even kijken of die .dll files te verwijderen zijn.

Dit zijn de dll bestanden. Ik weet niet of het slim is om ze te verwijderen

Ik heb het log bestand van 4kb op skydrive gezet.
http://cid-b9e5a96ccbc6dc...6ee8e0000000c.log?lc=1043

donderdag 31 december 2009 12:05

Acties:

0 Henk 'm!

DiedX

Module address ranges

65c00000 - 65ca5000 : nmsrvc.exe
7c900000 - 7c9b8000 : ntdll.dll
7c7d0000 - 7c8d0000 : kernel32.dll
770e0000 - 7716b000 : OLEAUT32.dll
77f40000 - 77feb000 : ADVAPI32.dll
77da0000 - 77e32000 : RPCRT4.dll
77f10000 - 77f21000 : Secur32.dll
77e40000 - 77e89000 : GDI32.dll
7e390000 - 7e421000 : USER32.dll
77be0000 - 77c38000 : msvcrt.dll
774a0000 - 775dd000 : ole32.dll
77e90000 - 77f0c000 : SHLWAPI.dll
7c9c0000 - 7d1e2000 : SHELL32.dll
76330000 - 7634d000 : IMM32.DLL
77390000 - 77493000 : comctl32.dll
5b190000 - 5b1c8000 : uxtheme.dll
77bd0000 - 77bd8000 : version.dll
76bf0000 - 76c1e000 : Wintrust.dll
77a40000 - 77ad6000 : CRYPT32.dll
77ae0000 - 77af2000 : MSASN1.dll
76c50000 - 76c78000 : IMAGEHLP.dll
68000000 - 68036000 : rsaenh.dll
00a00000 - 00d34000 : xpsp2res.dll
76970000 - 76a25000 : userenv.dll
6ff20000 - 6ff75000 : netapi32.dll
76580000 - 76593000 : cryptnet.dll
76bb0000 - 76bbb000 : PSAPI.DLL
72240000 - 72245000 : SensApi.dll
4d580000 - 4d5d9000 : WINHTTP.dll
76f20000 - 76f4d000 : WLDAP32.dll
750d0000 - 750e3000 : Cabinet.dll
68190000 - 68241000 : nmsrvclb.dll
71a30000 - 71a47000 : WS2_32.dll
71a20000 - 71a28000 : WS2HELP.dll
76f90000 - 7700f000 : CLBCATQ.DLL
77010000 - 770dd000 : COMRes.dll
66a20000 - 66ab8000 : nmagnt.dll
66d50000 - 670b7000 : nmcore.dll
71aa0000 - 71ab2000 : MPR.dll
78480000 - 7850e000 : MSVCP90.dll
78520000 - 785c3000 : MSVCR90.dll
456d0000 - 457f8000 : urlmon.dll
41340000 - 41385000 : iertutil.dll
40ca0000 - 40d71000 : WININET.dll
01250000 - 01259000 : Normaliz.dll
471e0000 - 471f4000 : wlanapi.dll
72fa0000 - 72fb0000 : WZCSAPI.DLL
76e40000 - 76e4e000 : rtutils.dll
72f70000 - 72f96000 : WINSPOOL.DRV
76d20000 - 76d39000 : iphlpapi.dll
67180000 - 67238000 : nmrasv.dll
74e70000 - 74e78000 : wbemprox.dll
75210000 - 75247000 : wbemcomn.dll
74e50000 - 74e5e000 : wbemsvc.dll
75620000 - 75696000 : fastprox.dll
76020000 - 76085000 : MSVCP60.dll
76750000 - 76763000 : NTDSAPI.dll
76ee0000 - 76f07000 : DNSAPI.dll
74a50000 - 74a58000 : powrprof.dll
75580000 - 7561c000 : netcfgx.dll
76d60000 - 76d72000 : CLUSAPI.dll
778e0000 - 779d7000 : SETUPAPI.dll
76d00000 - 76d18000 : MPRAPI.dll
77c90000 - 77cc2000 : ACTIVEDS.dll
76dd0000 - 76df5000 : adsldpc.dll
76ad0000 - 76ae1000 : ATL.DLL
71b80000 - 71b93000 : SAMLIB.dll
10000000 - 10021000 : CtxLsp.dll
719d0000 - 71a10000 : mswsock.dll
61200000 - 61259000 : hnetcfg.dll
71a10000 - 71a18000 : wshtcpip.dll
029f0000 - 02a0a000 : CtxNsp.dll
16080000 - 160a5000 : mdnsNSP.dll
76f80000 - 76f86000 : rasadhlp.dll
03810000 - 03842000 : 11.2.09195.1.nmcorePS.dll
67ea0000 - 67f4d000 : upnpgw.dll
7d1f0000 - 7d4ac000 : msi.dll
68610000 - 68621000 : 11.2.09195.1.nmctxtPS.dll
76f70000 - 76f78000 : winrnr.dll
765a0000 - 765bd000 : cscdll.dll
506a0000 - 5072e000 : wuapi.dll
50640000 - 5064a000 : wups.dll

Exception pointers: 025bfb74

Call stack:
At 02475d39 in module at 02470000

Exception:

Dumping exception record 025bfc68
Exception code: c0000005
Exception flags: 00000000
Exception address: 02475d39
Parameter count: 2
Parameter 0: 00000000
Parameter 1: 0247a860

Klinkt mij meer als Windows zelf...

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

donderdag 31 december 2009 12:06

Acties:

0 Henk 'm!

pm1

SoLiD-Killer

mmm kijk je logboek eens na het lijkt precies op memory dumps ?

(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.

donderdag 31 december 2009 12:11

Acties:

0 Henk 'm!

PetervMeijgaard

Topicstarter

pm1 schreef op donderdag 31 december 2009 @ 12:06:
mmm kijk je logboek eens na het lijkt precies op memory dumps ?

Bedoel je met logboek computer--> beheren --> prestatielogboeken en signalen? Ik kan daar niet inkomen...
Ik krijg de error: Kan deze service niet starten omdat deze is uitgeschakeld of omdat het geen ingeschakelde apparaten met zich heeft verbonden... Komt dat door het verwijderen van ASP.net?

donderdag 31 december 2009 13:48

Acties:

0 Henk 'm!

Petervanakelyen

Gewoon "Start" --> "Uitvoeren" --> "eventvwr" --> "OK"

Somewhere in Texas there's a village missing its idiot.

donderdag 31 december 2009 14:11

Acties:

0 Henk 'm!

pm1

SoLiD-Killer

Petervanakelyen schreef op donderdag 31 december 2009 @ 13:48:
Gewoon "Start" --> "Uitvoeren" --> "eventvwr" --> "OK"

de andere manier werkte ook hoor

maar niet prestatielogboek het gewone logboek het eerste.
en daar moet je eens kijken bij alle tabs die er zijn of er nergens rode kruisjes staan

(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.

donderdag 31 december 2009 14:15

Acties:

0 Henk 'm!

Verwijderd

Als je naaam van de eerste file (nmsrvc.exe) door google haalt, zie je dat dat geen Windows bestand is:
http://www.file.net/process/nmsrvc.exe.html

donderdag 31 december 2009 16:38

Acties:

0 Henk 'm!

leuk_he

1. Controleer de kabel!

F_J_K schreef op donderdag 31 december 2009 @ 11:10:
kijk met bijv process explorer welk proces naar het bestand schrijft: http://windowsxp.mvps.org/processlock.htm

Dat lijkt me een goede tip.

Andere optie is de map waarin de file(s) geschreven worden met windows file securty read-only te maken voor alle users, dan heb je wellicht het symptoom tijdelijk bestreden.

[ Voor 13% gewijzigd door leuk_he op 31-12-2009 16:39 ]

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

donderdag 31 december 2009 18:10

Acties:

0 Henk 'm!

PetervMeijgaard

Topicstarter

pm1 schreef op donderdag 31 december 2009 @ 14:11:
[...]

de andere manier werkte ook hoor

maar niet prestatielogboek het gewone logboek het eerste.
en daar moet je eens kijken bij alle tabs die er zijn of er nergens rode kruisjes staan

Ik heb gekeken in het logboek en er waren een heleboel rode kruizen:
- bij toepassing: MsiInstaller, ESENT en Application Error
- bij systeem: Service Control Manager, DCOM, Print en Dhcp

Laatst heb ik trouwens Cisco Network Magic Pro geïnstalleerd. Zou dit de oorzaak zijn?
http://www.computer-suppo...aakinfo/13246/nmsrvc.exe/

[ Voor 14% gewijzigd door PetervMeijgaard op 31-12-2009 18:16 ]

donderdag 31 december 2009 20:21

Acties:

0 Henk 'm!

alt-92

ye olde farte

Ik snap niet zogoed waarom er gelijk met 'adviezen' als accounts weggooien wordt gesmeten als het toch al vrij duidelijk is dat er één of andere app daar debugging info in weg loopt te krassen?

Inderdaad, je kan met een windows-port van tail live meekijken wat er wordt weggeschreven, en met process monitor achterhalen welk proces dat doet.
Over het algemeen zal een legitieme app ook een duidelijk herkenbare signatuur (bekijk de eigenschappen van het bestand) hebben die herleidbaar is naar de software bakker in kwestie.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 1 januari 2010 21:39

Acties:

0 Henk 'm!

MSoft06

Volgens mij is het sowieso niet slim om accounts te verwijderen maar beter om deze te disablen.

Probeer de cisco software te verwijderen om te zien of dit het probleem oplost.

[ Voor 0% gewijzigd door MSoft06 op 01-01-2010 21:39 . Reden: Spelfout ]

Pagina: 1

Reageer

Onderwerpen