OK,
Ik zit met een nogal naar en onbekend stuk software/proces dat ik maar niet verwijderd krijg. Het proces wordt niet herkend door enige virus of malware scanner en heet Ubq2WpDP.exe.
Deze zoekterm geeft bij mij in Google 0 resultaten.
Ik heb het volgende gedaan:
twee maal system scan met Spybot, eerste keer vond deze toch wel 75 problemen. Die zijn nu opgelost en spybot geeft geen probleemmeldingen meer na de laatste scan. helaas blijft er wel degelijk nog een zeer nasty proces verschijnen na enige tijd waar ik ondertussen redelijk leip van wordt. Ik krijg het niet van mn systeem verwijderd.
Ik heb zojuist nogmaals een scan met spybot gedaan en ik zie dat er weer dingen op staan die eerst verwijderd waren, waaronder virtumonde.dll Blijkbaar installeert het proces deze troep.
Het proces start pas na enkele minuten dat de pc opgestart is. Het proces kan gekilled worden maar start na enige tijd gewoon weer. Wanneer het proces draait zorgt het ervoor dat de focus van het actieve venster gestolen wordt voor zo'n 5-10 seconden, das dus vervelend als je iets aan het typen ben in thunderbird of in je browser.
Wat opvalt is dat ondanks dat ik nooit internet explorer gebruik het proces wel continu actief is. Kill ik dit proces wordt het direct weer gestart. Ik heb heb alle updates van MS geinstalleerd, zelfs de laatste versie IE geinstalleerd maar alle MS updates maken niet dat dit virus(?) de nek omgedraaid kan worden. Ik heb IE inmniddels weer verwijderd van mn systeem (voor zover mogelijk).
Wat verder opvalt is dat de security instellingen van 'internet opties' aangepast worden naar 'custom'. Dit is terug te zetten maar wordt door het onbekende proces vanzelf weer aangepast.
Het gelazer is ontstaan toen ik een gedownload programma probeerde te installeren dat ik niet gescant heb op virussen. Het betrof het programma Soundforge 10. De installatie bestanden heb ik helaas niet meer maar ik weet nog goed dat het programma een of andere C++ library wilde installeren en dat ook gedaan heeft.IK vermoed dat het mijn explorer.exe ook gemodificeerd heeft want die blijft hangen met pc afsluiten en crasht af en toe.
Zoeken naar het proces levert 1 exemplaar in C:\Documents and Settings\All Users\Application Data
en ook een prefetch bestand. Verwijderen van dit bestand lost het probleem niet op. Bij een volgende boot is het bestand er gewoon weer.
Voordat ik spybot geïnstalleerd heb waren de problemen groter, ik ben ervan overtuigd dat dit proces meer troep op mn pc geinstalleerd heeft waaronder een zeer irritant ding dat mijn google zoekresultaten redigeerde naar kansloze scamsites. De problemen leken door spybot redelijk opgelost maar ik zie dus nu dat er weer troep op mn pc staat.
Ik ben inmiddels aan het eind van mn latijn met deze taaie rakker weet niet meer wat ik kan proberen om dit uit mn systeem te verwijderen. Ik zou graag een originele versie van explorer.exe terug zetten op mn systeem maar weet niet of dat mogelijk is.
Ik heb geprobeerd de problematiek zo helder mogelijk proberen te omschrijven mochten er zaken onduidelijk zjin dan hoor ik dat graag.
Ik hoop echt dat iemand hier ideeën heeft over hoe ik dit verder kan aanpakken want het is geen werken zo!
Hier nog even de logfile van Hijack:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 9:17:21, on 29-6-2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\hdspmix.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\hdspmix .exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
***********
C:\Documents and Settings\All Users\Application Data\Ubq2WpDP.exe
***********
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {03ADE27F-D060-4BB9-B3C4-D8D42F36EEB9} - C:\WINDOWS\system32\uerwhhhx.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0BD59B70-BE6F-4415-B2F9-AEA0DDC2931B} - c:\windows\system32\pdfjkih.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CCAB - {C6A91056-83E0-4C6E-8DCC-43FC0DFE7A0A} - C:\WINDOWS\system32\4Arm8SCh.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [HDSPTray1] hdsp32.exe
O4 - HKLM\..\Run: [HDSPTray2] hdspmix.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10e.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10e.exe (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.c...eb_site.cab?1255748944596
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: cbssreg - C:\Documents and Settings\All Users\Documents\Settings\cbss.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
Ik zit met een nogal naar en onbekend stuk software/proces dat ik maar niet verwijderd krijg. Het proces wordt niet herkend door enige virus of malware scanner en heet Ubq2WpDP.exe.
Deze zoekterm geeft bij mij in Google 0 resultaten.
Ik heb het volgende gedaan:
twee maal system scan met Spybot, eerste keer vond deze toch wel 75 problemen. Die zijn nu opgelost en spybot geeft geen probleemmeldingen meer na de laatste scan. helaas blijft er wel degelijk nog een zeer nasty proces verschijnen na enige tijd waar ik ondertussen redelijk leip van wordt. Ik krijg het niet van mn systeem verwijderd.
Ik heb zojuist nogmaals een scan met spybot gedaan en ik zie dat er weer dingen op staan die eerst verwijderd waren, waaronder virtumonde.dll Blijkbaar installeert het proces deze troep.
Het proces start pas na enkele minuten dat de pc opgestart is. Het proces kan gekilled worden maar start na enige tijd gewoon weer. Wanneer het proces draait zorgt het ervoor dat de focus van het actieve venster gestolen wordt voor zo'n 5-10 seconden, das dus vervelend als je iets aan het typen ben in thunderbird of in je browser.
Wat opvalt is dat ondanks dat ik nooit internet explorer gebruik het proces wel continu actief is. Kill ik dit proces wordt het direct weer gestart. Ik heb heb alle updates van MS geinstalleerd, zelfs de laatste versie IE geinstalleerd maar alle MS updates maken niet dat dit virus(?) de nek omgedraaid kan worden. Ik heb IE inmniddels weer verwijderd van mn systeem (voor zover mogelijk).
Wat verder opvalt is dat de security instellingen van 'internet opties' aangepast worden naar 'custom'. Dit is terug te zetten maar wordt door het onbekende proces vanzelf weer aangepast.
Het gelazer is ontstaan toen ik een gedownload programma probeerde te installeren dat ik niet gescant heb op virussen. Het betrof het programma Soundforge 10. De installatie bestanden heb ik helaas niet meer maar ik weet nog goed dat het programma een of andere C++ library wilde installeren en dat ook gedaan heeft.IK vermoed dat het mijn explorer.exe ook gemodificeerd heeft want die blijft hangen met pc afsluiten en crasht af en toe.
Zoeken naar het proces levert 1 exemplaar in C:\Documents and Settings\All Users\Application Data
en ook een prefetch bestand. Verwijderen van dit bestand lost het probleem niet op. Bij een volgende boot is het bestand er gewoon weer.
Voordat ik spybot geïnstalleerd heb waren de problemen groter, ik ben ervan overtuigd dat dit proces meer troep op mn pc geinstalleerd heeft waaronder een zeer irritant ding dat mijn google zoekresultaten redigeerde naar kansloze scamsites. De problemen leken door spybot redelijk opgelost maar ik zie dus nu dat er weer troep op mn pc staat.
Ik ben inmiddels aan het eind van mn latijn met deze taaie rakker weet niet meer wat ik kan proberen om dit uit mn systeem te verwijderen. Ik zou graag een originele versie van explorer.exe terug zetten op mn systeem maar weet niet of dat mogelijk is.
Ik heb geprobeerd de problematiek zo helder mogelijk proberen te omschrijven mochten er zaken onduidelijk zjin dan hoor ik dat graag.
Ik hoop echt dat iemand hier ideeën heeft over hoe ik dit verder kan aanpakken want het is geen werken zo!
Hier nog even de logfile van Hijack:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 9:17:21, on 29-6-2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\hdspmix.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\hdspmix .exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
***********
C:\Documents and Settings\All Users\Application Data\Ubq2WpDP.exe
***********
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {03ADE27F-D060-4BB9-B3C4-D8D42F36EEB9} - C:\WINDOWS\system32\uerwhhhx.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0BD59B70-BE6F-4415-B2F9-AEA0DDC2931B} - c:\windows\system32\pdfjkih.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CCAB - {C6A91056-83E0-4C6E-8DCC-43FC0DFE7A0A} - C:\WINDOWS\system32\4Arm8SCh.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [HDSPTray1] hdsp32.exe
O4 - HKLM\..\Run: [HDSPTray2] hdspmix.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10e.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10e.exe (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.c...eb_site.cab?1255748944596
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: cbssreg - C:\Documents and Settings\All Users\Documents\Settings\cbss.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
/u/47968/avatargot.png?f=community){kind=avatar}
:strip_icc():strip_exif()/u/135404/crop586e284093763_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/65084/Ant-leaf_TNet.jpg?f=community)
:strip_icc():strip_exif()/u/61012/crop5c6ae71975602_cropped.jpeg?f=community)
, dit laatste is natuurlijk optioneel 
:strip_icc():strip_exif()/u/140237/ResuAvatar.jpg?f=community){kind=avatar}
:strip_icc():strip_exif()/u/63985/Image1.jpg?f=community)
/u/208006/Zagor%2520small.JPG?f=community)
:strip_icc():strip_exif()/u/94230/crop5de79aed1ebdd_cropped.jpeg?f=community)