Spookradiostations? - Privacy en beveiliging

woensdag 15 december 2010 12:44

Acties:

Topicstarter

Ik lijk een zeer vreemd virus te pakken te hebben...

Ik start mijn pc op, en nadat alles goed geboot is beginnen verschillende onbekende radio stations door elkaar te spelen.

Na wat googlen vind ik dat explorer.exe iexplorere.exe wel eens geinfecteerd willen zijn, maar iexplorere.exe is helemaal niet actief, en het beeindigen van explorer.exe laat het geluid niet stoppen.
Verder zie ik geen onbekende processen in de taskmanager, ik zie niets vreemds bij msconfig, en heb recentelijk geen niewue software geinstalleerd.

Een system restore (een maand terug) heeft ook niets uit gehaald.
En MSE vindt ook al niets na een full scan...

Iemand een idee? want dit is echt om gek van te worden.

http://marc.schattorie.nl

woensdag 15 december 2010 12:46

Acties:

Releases

Ja maar!

Wellicht een nieuw setje speakers gekocht wat brak is?
Doe even een scan met Anti malware bytes en kijk of die er wat uitvist.

[ Voor 40% gewijzigd door Releases op 15-12-2010 12:48 ]

woensdag 15 december 2010 12:51

Acties:

FireDrunk

Bij windows 7 kan je zien welk programma het geluid produceert, maar als je xp hebt zul je MBAM moeten draaien of iets dergelijks (Ad-Aware werkt ook)

Even niets...

woensdag 15 december 2010 13:24

Acties:

SparkyRih

Topicstarter

stdrt.exe
Ik had nog een process browser van Microsoft waar ik opeens aan dacht, daar kwam ik stdrt.exe met een mooi vista logotje tege... als ik deze suspend stopt het geluid, ik kan hem ook gewoon kille... Ik heb het pad opgezocht (Windows\temp\mrtD292.tmp\stdrt.exe, die folder kon ik prima verwijjderen...

Na een reboot blijft het geluid weg, mijn cpu loopt weer normaal... maar het process is nog aanwezig?
Ik draai trouwens Windows 7 (32) op deze machine...
Zal dat malware tooltje van jouw (Releases) het process ook weg kunne krijgen?

http://marc.schattorie.nl

woensdag 15 december 2010 14:11

Acties:

Verwijderd

Kopieer die stdrt.exe naar een andere locatie en test het bestand daarna op www.virustotal.com

Waarschijnlijk zullen een aantal anti-virus/anti-malware programma's het wel detecteren.
Kies dan 1 van die programma's om je systeem helemaal mee te scannen.

woensdag 15 december 2010 14:15

Acties:

Petervanakelyen

Volgens een aantal bronnen zou MBAM het inderdaad moeten kunnen wegkrijgen. Kijk overigens ook eens of je een bestand "regsrv.exe" hebt zitten in C:\Windows\system. Zo ja, is het best dat bestand ook eens te laten scannen.

[ Voor 49% gewijzigd door Petervanakelyen op 15-12-2010 14:19 ]

Somewhere in Texas there's a village missing its idiot.

woensdag 15 december 2010 14:17

Acties:

Afvalzak

Zet jij mij even buiten?

http://www.computer-suppo...taakinfo/31103/stdrt.exe/ dus

Last.fm | Code Talks

woensdag 15 december 2010 14:24

Acties:

Releases

Ja maar!

SparkyRih schreef op woensdag 15 december 2010 @ 13:24:
stdrt.exe
Ik had nog een process browser van Microsoft waar ik opeens aan dacht, daar kwam ik stdrt.exe met een mooi vista logotje tege... als ik deze suspend stopt het geluid, ik kan hem ook gewoon kille... Ik heb het pad opgezocht (Windows\temp\mrtD292.tmp\stdrt.exe, die folder kon ik prima verwijjderen...

Na een reboot blijft het geluid weg, mijn cpu loopt weer normaal... maar het process is nog aanwezig?
Ik draai trouwens Windows 7 (32) op deze machine...
Zal dat malware tooltje van jouw (Releases) het process ook weg kunne krijgen?

Anti malwarebytes haalt vaakt in de praktijk de meeste rotzooi weg.

woensdag 15 december 2010 14:42

Acties:

SparkyRih

Topicstarter

Malwarebytes vind hem, maar kan hem niet verwijderen...

En dat ik daarstraks geen geluid meer had kwam simpelweg doordat het internet er even uit lag... Hij zit er dus nog steeds volledig in...

Edit: Als ik in System32 kjik, zie ik een regsrv32.exe (dateerd uit 2009) maar ik zie ook een regw2.exe die op 18 november 2010 gelaatst is, en hij heeft het zelfde logotje als de stdrt.exe...

[ Voor 34% gewijzigd door SparkyRih op 15-12-2010 14:47 ]

http://marc.schattorie.nl

woensdag 15 december 2010 14:46

Acties:

SpamLame

niks

veilige modus geprobeerd?

woensdag 15 december 2010 14:48

Acties:

SparkyRih

Topicstarter

SpamLame schreef op woensdag 15 december 2010 @ 14:46:
veilige modus geprobeerd?

alle strdt.exe's gezocht, verwijderd... maar hiij komt fijn weer terug...

http://marc.schattorie.nl

woensdag 15 december 2010 14:50

Acties:

Releases

Ja maar!

Dan is er registry persistance toegevoegd aan desbetreffende virus.
Probeer even de ESET online scan.

woensdag 15 december 2010 14:58

Acties:

SparkyRih

Topicstarter

In het register vind ik een key met de tata "stdrt.exe" in: HKLM\Software\Microsoft\DirectDrwa\MostRecentApplication, key heet: Name

Edit: en in HKLM\Software\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications\strtd.exe (hier staan ook alle andere wel bekende processen omheen)
Edit 2: Heel ver in de HKEY_USERS zit ook een strdt.exe verstopt, het pad heeft folders als Audio, en Internet explorer erin zitten (heel lang pad)...

[ Voor 58% gewijzigd door SparkyRih op 15-12-2010 15:05 ]

http://marc.schattorie.nl

woensdag 15 december 2010 15:15

Acties:

Releases

Ja maar!

Allebei even deleten, en kijken of die dan nog via het register opstart, maak van te voren wel even een herstel punt.

woensdag 15 december 2010 15:27

Acties:

SparkyRih

Topicstarter

Ik heb mijn pc nu al 2 maal ge-reboot, en het process lijkt niet meer terug te komen!

Voor mensen die het zelfde probleem hebben ljikt dit de oplossing te zijn:
1. Download Microsoft Process Explorer: (http://technet.microsoft.com/en-us/sysinternals/bb896653)
2. Zoek in dit tooltje naar de strtd.exe, kill dit proces.
3. Laat windows verkenner je systeemschijf doorzoeken voor strtd.exe, hij vind er minimaal één in de tmep folder (het kunenn er meer zijn), allemaal verwijderen.
4. Navigeer in verkenner naar: Windows\System32, hier had ik een regw2.exe staan, deze heb ik verwijderd (gaf geen problemen, gewoon deleten).
5. ga het register in, en laat het register zoeken naar strtd.exe, hij vond bij mij 3 keys op verschillende plekken, allemaal verwijderen.

Dit zou de oplossing moeten zijn, tenminste, tot nog toe heb ik het niet meer terug gezien.

http://marc.schattorie.nl

woensdag 15 december 2010 20:25

Acties:

Petervanakelyen

Ik zou die regw2.exe nog eens scannen op VirusTotal, want die is voor 99% zeker een onderdeel van de besmetting. Als hij geinfecteerd is, kan je die gewoon verwijderen (het is geen Windows-process) en ben je toch nog net iets cleaner

Somewhere in Texas there's a village missing its idiot.

woensdag 15 december 2010 22:28

Acties:

SparkyRih

Topicstarter

Petervanakelyen schreef op woensdag 15 december 2010 @ 20:25:
Ik zou die regw2.exe nog eens scannen op VirusTotal, want die is voor 99% zeker een onderdeel van de besmetting. Als hij geinfecteerd is, kan je die gewoon verwijderen (het is geen Windows-process) en ben je toch nog net iets cleaner

4. Navigeer in verkenner naar: Windows\System32, hier had ik een regw2.exe staan, deze heb ik verwijderd (gaf geen problemen, gewoon deleten).

http://marc.schattorie.nl