Sys32sdv.exe Is dit een virus?

Weet iemand of 'sys32sdv.exe' een virus bestandje is? Dit bestand zit in de map: c:\windows\system32.

Mijn NAV 2004 wordt door een of ander programma tegengewerkt, iedere keer als ik een NAV en NIS wil opstarten wordt deze uitgeschakeld.

Ik heb rondgesnuffeld in de map c:\windows\system32 en vond een bestand dat was aangemaakt rond het tijdstip dat mijn nis opeens werd uitgeschakeld. Ik vond 2 bestandjes: c:\windows\system32\sys32sdv.exe en het bestand c:\windows\svc32nt.exe.

ik heb met hijackthis een log gemaakt:

Logfile of HijackThis v1.97.7
Scan saved at 22:00:35, on 15-2-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Supervisor\Mijn documenten\nordin\Nieuwe map\WinRAR.exe
C:\Documents and Settings\Supervisor\Mijn documenten\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nieuws.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.4mbo.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.ams.chello:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.4mbo.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: TurboIRC 2004 (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.4mbo.de
O16 - DPF: ChatSpace Full Java Client 2.1.0.84 - http://about.chatspace.com/Java/cs4fs084.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedi...wave/cabs/director/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec....ontent/vc/bin/AvSniff.cab
O16 - DPF: {2F29658D-FB92-4A4F-8FFF-0D1BC1BA52C5} (GlassRoomVoice Control) - http://207.44.234.32/hosts/grh618/GlassRoomVoice.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net...in/QuickTimeInstaller.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.../MessengerStatsClient.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec....tent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://sc.communities.msn.com/controls/chat/msnchat45.cab


Kan iemand me hiermee helpen S.V.P ?

Verwijderd schreef op 15 februari 2004 @ 22:29:
sys32sdv.exe

Stuur maar, ik kijk wel of het malware is.
Zie sig voor mail(yahoo adres dus).

Edit:
Slecht gelezen, svc32nt.exe mag je natuurlijk ook meesturen.

Ik probeerde de bestandjes via hotmail te sturen op een andere pc, maar hotmail herkent deze als een virus (en Grisoft die ik op een andere pc heb herkent ze ook als een backdoortrojan!!!!!!!)

NAV 2004 is baggerrrrrrrrrrr!!!! herkent ze niet eens en AVG wel !

hoe kan ik ze alsnog sturen zonder dat hotmail ze als virus herkent?

Verwijderd schreef op 15 februari 2004 @ 23:04:
mirc32.rar/MIRC32.EXE Infected TrojanNotifier.Win32.Delf.c
SVC32NT.rar/SVC32NT.EXE Infected TrojanNotifier.Win32.Delf.c

_{Dit is al 5 maanden oud}

Zorgt er dus voor dat de master weet dat server(jij dus)online is.

Je moet, om file te kunnen passwordprotecten het volgende doen:
rechtermuisknop, add to archive.., tabblad advanced, set password doen.(Rest spreekt voor zich lijkt me).

Het lukt ook niet op die manier, Grisoft weigert de toegang
maar als het al 5 maanden oud is vind ik het wel raar dat norton antivirus 2004 dit bestand niet herkent.

Is er een ander manier om dit bestand te sturen?
en hoe kom af van deze trojans af?

Verwijderd schreef op 15 februari 2004 @ 23:27:
Draai je twee AVs tegelijkertijd??
Dat is NIET aan te raden..

Schakel AVG even uit dan, password protect die file, en zet hem dan weer aan.
Norton mist nog wel eens wat, elke scanner, maar 5 dagen laat zijn is wat anders dan 5 maanden..

Eerst kijken wat de maincomponent doet, dan kunnen we pas zeggen wat je moet doen om er vanaf te komen.
Maar het feit dat je ook die notifiers op je bak hebt staan, geeft eigenlijk best wel een zekerheid dat er iemand op afstand aan je heeft gezeten..en waarschijnlijk nog steeds zal willen zitten.

Ik heb geen 2 AV's draaien ben geconnected met een router, ik zit op een andere pc (op deze pc heb ik AVG grisoft) op die ander pc waar die virus op zit heb ik NAV, maar is het wel slim om hier die avg uit te schakelen zonder dat ik die trojan ook hierop krijg?

Verwijderd schreef op 15 februari 2004 @ 23:34:
[...]

Kun je de file niet vanaf de geïnfecteerde pc sturen?

jaah als het goed is heb je hem in je mail staan.

Verwijderd schreef op 15 februari 2004 @ 23:53:
[...]

KAV: Backdoor.Optix.Pro.13

Ook niet echt het nieuwste van het nieuwste..
Zal morgen er naar kijken, wil toch echt zo gaan slapen.

ok ik ga ook naar bed,

Alvast bedankt en Slaap lekker

Verwijderd schreef op 16 februari 2004 @ 17:39:
[...]

Alleen AV.
Ik raad je aan hem eerst te trialen.
Place to trial: http://kasperskylab.co.uk/files/homeuser/
Place to buy: www.kasperskylab.nl

/spam

ik heb nu dus verschillende anti trojan, housecall etc. erop geprobeerd.............maar die trojan schijnt al deze scanners tegen te werken.
Als ik dus een anti trojan wil installeren dan krijg ik telkens een melding dat het 'geen geldige win 32 toepassing' is.

Heeft iemand een ander manier hoe ik dit kan oplossen?

Verwijderd schreef op 16 februari 2004 @ 21:25:
Ik raad een format aan eigenlijk.
Your system has been compromised..

Daarnaast:
Anti Trojan is niet echt geweldig..
Probeer dan TDS eens.

TDS lukt ook niet zelfde verhaal als ik de install setup wil uitvoeren krijg ik zelfde geen geldige win 32 toepassing.

Helpt het niets als ik die bestanden van sys32sdv.exe uit register verwijderen, of zit er niets anders op dan C: schijf formatteren?

Verwijderd schreef op 16 februari 2004 @ 21:38:
[...]

Je kan natuurlijk die regentries proberen te verwijderen, maar het veiligste is toch een format..

helpt een recovery cd ook niet?

Dan zit er niets anders op dan format c:, *zucht*.
Zodra de pc weer ready to run is laat ik alleen norton personal firewall en douw ik de kapersky erop om hem uit te proberen, hopelijk detecteert die de trojans beter!
Heb je trouwens nog tips om dit soort dingen te voorkomen (voor zover ze te voorkomen zijn)?????

Volgens mij weet ik al ongeveer hoe het is gekomen.
Een aantal dagen geleden kreeg ik steeds een indringingsdetectie van NIS. De boosdoener zou windows messenger zijn die zomaar probeert te connecten via een poort (ik weet niet meer welke poort, iets met 3310, maar ik denk dat het 3410 was.)
Ik heb daarna meteen windows messenger eraf geflikkerd en een complete scan uitgevoerd, niets gevonden, ik dacht dat het misschien mijn zus was die onder een kind account messenger probeerde te gebruiken, maar deze werd geblokkeerd omdat zij een beperkt account heeft en geen supervisoraccount heeft bij de NIS.

Volgens mij was toen al de schade aangericht en was ik toen 'Officially RAPED', maar ik dacht weer dat het loos alarm was .


Maar goed, van iedere fout moet men leren, ik vertrouwde teveel op NIS, had ik niet moeten doen