[XP]Skin verandert willekeurig na scareware - Privacy en beveiliging

zaterdag 26 maart 2011 13:12

Acties:

Topicstarter

Goedemiddag,

de skin van Windows verandert hier om de haverklap. De normale skin staat aan, maar Windows verandert willekeurig de skin naar die van Windows classic, met hetzelfde kleurenschema als in Veilige Modus. Sommige vensters zijn wel beïnvloed, sommige niet, en dat is ook al willekeurig. Zojuist was IE nog in classic, nu niet meer, maar de taakbalk is dat wel.

Ik heb de afgelopen dagen last gehad van een scareware programma die zich voordeed als MSE, maar die is nu verwijderd. Sindsdien heb ik last van "Generic Host Process for Wìn Services" errors, rare dll bestanden die opduiken. MBAM eroverheen gedaan, die vond niets. Nu ben ik RootkitRevealer en Hijackthis aan het uitvoeren.

Ehm, dus is dit probleem makkelijk op te lossen, of wordt het weer Windows helemaal opnieuw installeren?

Edit: Och jee, nu gebruikt een proces genaamd u.exe 50% van de CPU.
nvm, was rootkit revealer

[ Voor 5% gewijzigd door ikt op 26-03-2011 13:18 ]

zaterdag 26 maart 2011 14:20

Acties:

alt-92

ye olde farte

ikt schreef op zaterdag 26 maart 2011 @ 13:12:

Ik heb de afgelopen dagen last gehad van een scareware programma die zich voordeed als MSE, maar die is nu verwijderd. Sindsdien heb ik last van "Generic Host Process for Wìn Services" errors, rare dll bestanden die opduiken.

En als je nou in je Services console gaat kijken, dan zie je ook dat je Theme Service onder svchost draait.
Precies dat proces wat bij jou errors geeft.

Tel uit je winst.

>> B&V

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 26 maart 2011 14:36

Acties:

ikt

Topicstarter

En.... Hoe los ik dit op? Via Google kom ik uit op antwoorden uit 2008 die me aanbevelen eenhotfix te installeren. Lukt niet, want mijn Windows is nieuwer.

HijackThis log:

code:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:31:03, on 26-3-2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Microsoft Security Client\msseces.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\ikt\UniKey\UniKey.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\ikt\Local Settings\Application Data\Google\Google Talk Plugin\googletalkplugin.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0413&s=0&o=xpp&d=0809&m=veriton_7700g
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {08E94B82-176E-E92F-1AAC-DE6E365DD30D} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - D:\Programs\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - D:\Programs\Mega Manager\MegaIEMn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [MSC] "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [QuickTime Task] "D:\ikt\Media.Convert.Master.v9.0.1.2050-YPOGEiOS\Media Convert Master\codec\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UniKey] D:\ikt\UniKey\UniKey.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download de Link met Mega Manager... - D:\Programs\Mega Manager\mm_file.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {3D3B42C2-11BF-4732-A304-A01384B70D68} (UploadListView Class) - http://picasaweb.google.nl/s/v/61.03/uploader2.cab
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O20 - Winlogon Notify: cryptnet32 - cryptnet32.dll (file missing)
O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AMService - Unknown owner - C:\WINDOWS\TEMP\qukn\setup.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: wsgqjikbuduib - Unknown owner - C:\DOCUME~1\ikt\LOCALS~1\Temp\DATB41.tmp.exe (file missing)

--
End of file - 7795 bytes

maandag 28 maart 2011 07:44

Acties:

Rupie

O20 - Winlogon Notify: cryptnet32 - cryptnet32.dll (file missing)

O23 - Service: AMService - Unknown owner - C:\WINDOWS\TEMP\qukn\setup.exe (file missing)
O

O23 - Service: wsgqjikbuduib - Unknown owner - C:\DOCUME~1\ikt\LOCALS~1\Temp\DATB41.tmp.exe (file missing)

De benodigde bestandjes missen, maar dit soort processen et cetera lijken mij niet helemaal de bedoeling. Hoe groot acht je de kans dat jij je systeem volledig schoon gaat krijgen? Denk je niet dat het sneller en veiliger is om het systeem een keer opnieuw te installeren?

Desktop | Server | Laptop

maandag 28 maart 2011 11:15

Acties:

ikt

Topicstarter

Rupie schreef op maandag 28 maart 2011 @ 07:44:
[...]

[...]

[...]

De benodigde bestandjes missen, maar dit soort processen et cetera lijken mij niet helemaal de bedoeling. Hoe groot acht je de kans dat jij je systeem volledig schoon gaat krijgen? Denk je niet dat het sneller en veiliger is om het systeem een keer opnieuw te installeren?

Goed idee. Windows is inmiddels opnieuw geïnstalleerd en werkt weer als een trein. IE8 doet het nog steeds trouwens niet, handmatig Windows Update werkt ook niet omdat de Windows Update pagina niet laadt als IE het wel een keer doet.

Dit is een legitieme Windows XP, dus het is niet een van de vele botnet versies. Dat kan het probleem ook al niet zijn.

Weer precies dezelfde foutmelding als in de eerste post. Ik vrees dat de hele drive helemaal gewiped moet worden, want dit gaat niet goed komen zo.

De dualboot oplossing werkte trouwens ook niet meer, Windows 7 kon bij het booten een bestand niet verifiëren. Dit probleem ligt wat dieper dan je gemiddelde virus denk ik.

Edits: DBAN erover.

[ Voor 15% gewijzigd door ikt op 31-03-2011 13:43 ]