Toon posts:

[Virus]Virus op andere computer in het netwerk

Pagina: 1
Acties:

zondag 4 april 2004 16:08

Acties:
  • Icingdeath
  • Registratie: Augustus 2001
  • Laatst online: 01-12 20:43

Icingdeath

Topicstarter
Ik ging mijn vaders computers scannen vanaf mijn computer aangezien de computer van mijn vader geen virus scanner heeft 8)7

10 verschillende virussen of trojans was het resultaat KAV kon ze helaas niet allemaal disinfecten of verwijderen omdat bepaalde processen op die computer dat voorkwamen. kav zei dat ie moest rebooten om ze te verwijderen helaas kan je niet hij niet via het netwerk die computer laten rebooten.

Op die computer kan ik niet in taakbeheer komen of in het register :/ dus die processen kan ik niet uitschakelen :(

HijackThis log
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45

Logfile of HijackThis v1.97.7
Scan saved at 16:06:35, on 4-4-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\WUAUMQR.EXE
C:\Program Files\Common Files\CMEII\CMESys.exe
C:\Program Files\PrecisionTime\PrecisionTime.exe
C:\Program Files\Date Manager\DateManager.exe
C:\Program Files\Common Files\GMT\GMT.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\wuauclt.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Winsock2 driver] WUAUMQR.EXE
O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Common Files\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [kdiesyd] rundll32 C:\WINDOWS\System32\kdiesyd.dll,Init 1
O4 - HKLM\..\RunOnce: [*kdiesyd] rundll32 C:\WINDOWS\System32\kdiesyd.dll,Init 1
O4 - HKCU\..\RunOnce: [Winsock2 driver] WUAUMQR.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
O4 - Global Startup: PrecisionTime.lnk = C:\Program Files\PrecisionTime\PrecisionTime.exe
O4 - Global Startup: Date Manager.lnk = C:\Program Files\Date Manager\DateManager.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab

Als er echt geen goede oplossing is dan zit er niks anders op dan formateren :/

Dank bij voorbaat :)

Edit: dit is niet zo'n passende topic titel

Houd kav trouwens nog een log bij welke virussen het heeft gevonden want dan kan ik dat ff melden?

[ Voor 5% gewijzigd door Icingdeath op 04-04-2004 16:12 ]

zondag 4 april 2004 16:12

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Je kan als het goed is via jouw bak ook de registry van die besmette bak benaderen (als je tenminste admin bent daar, en de Remote Registry-service draait).

Dit moet iig weg, op de een of andere manier:

ADS-virus:

code:
1

O4 - HKLM\..\RunOnce: [*kdiesyd] rundll32 C:\WINDOWS\System32\kdiesyd.dll,Init 1


Draai het volgende op die PC vanaf een command prompt:

code:
1

rundll32 C:\WINDOWS\System32\kdiesyd.dll, Uninstall


GMX.EXE, dat was toch Spyware? Weg ermee dus.

WUAUMQR.EXE, da's Spybot. Kill it.

CMESys.exe is onderdeel van Gator, Spyware, get rid of it.

Virussen? Scan ze hier!

zondag 4 april 2004 16:14

Acties:

Verwijderd

C:\WINDOWS\System32\kdiesyd.dll

Die file wil ik _heel_ graag zien.
Wat is filesystem? NTFS of FAT?
Dit is dus geen ADS virus wildhagen... :P

Meer als ik dadelijk weer achter eigen comp zit. :)

Edit:
Houd kav trouwens nog een log bij welke virussen het heeft gevonden want dan kan ik dat ff melden?
Yup, moet je view report doen.

[ Voor 28% gewijzigd door Verwijderd op 04-04-2004 16:16 ]

zondag 4 april 2004 16:16

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Verwijderd schreef op 04 april 2004 @ 16:14:

Dit is dus geen ADS virus wildhagen... :P
Whoops, geen : maar een \, niet gezien, sorry :)

Ik wil die file ook wel graag hebben, Herr Stuhl? :)

Virussen? Scan ze hier!

zondag 4 april 2004 16:32

Acties:
  • Icingdeath
  • Registratie: Augustus 2001
  • Laatst online: 01-12 20:43

Icingdeath

Topicstarter
Ik heb hem nu gemailt naar bijde ik heb een vrij trage mailserver dus het kan een kwartier duren. Maar hoe mail je hem password protected :? zodat de mailserver hem niet ziet als een virus???

zondag 4 april 2004 16:33

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Herr Stuhl schreef op 04 april 2004 @ 16:32:
Ik heb hem nu gemailt naar bijde ik heb een vrij trage mailserver dus het kan een kwartier duren. Maar hoe mail je hem password protected :? zodat de mailserver hem niet ziet als een virus???
Inpakken met WinZip (of een andere compressor met optie voor passwords) en daar een password aanhangen :)

Tnx voor de mail, ik zie hem wel komen :)

Virussen? Scan ze hier!

zondag 4 april 2004 16:44

Acties:

Verwijderd

Kaspersky: kdiesyd.dll INFECTED Backdoor.Afcore.af
Volgens mij behoort die normaal in ADS te zitten, maar niet helemaal zeker.
Welk Filesystem wordt er nou gedraaid?(FAT32 / NTFS)

Heb je de tips van wildhagen opgevolgd?

zondag 4 april 2004 16:54

Acties:
  • Icingdeath
  • Registratie: Augustus 2001
  • Laatst online: 01-12 20:43

Icingdeath

Topicstarter
Verwijderd schreef op 04 april 2004 @ 16:44:
[...]

Volgens mij behoort die normaal in ADS te zitten, maar niet helemaal zeker.
Welk Filesystem wordt er nou gedraaid?(FAT32 / NTFS)

Heb je de tips van wildhagen opgevolgd?
Fat32 en ik ben momenteel bezig met de tips van wildhagen :)
Edit: Het is gelukt volgens mij is het wel verstandig om de boel te formateren.

[ Voor 11% gewijzigd door Icingdeath op 04-04-2004 17:35 ]

zondag 4 april 2004 18:22

Acties:
  • Icingdeath
  • Registratie: Augustus 2001
  • Laatst online: 01-12 20:43

Icingdeath

Topicstarter
Backdoor.spyboter.gen krijg ik niet weg:
Afbeeldingslocatie: http://home.quicknet.nl/qn/prive/a.stoel/spyboter.jpg

zondag 4 april 2004 18:26

Acties:

Verwijderd

Dat komt(zeer waarschijnlijk)omdat je via netwerk hebt gescand.
Ga even naar www.sysinternals.com, haal daar de processviewer, kill daarmee het proces, probeer het daarna opnieuw. :)

zondag 4 april 2004 18:59

Acties:
  • Icingdeath
  • Registratie: Augustus 2001
  • Laatst online: 01-12 20:43

Icingdeath

Topicstarter
Verwijderd schreef op 04 april 2004 @ 18:26:
Dat komt(zeer waarschijnlijk)omdat je via netwerk hebt gescand.
Ga even naar www.sysinternals.com, haal daar de processviewer, kill daarmee het proces, probeer het daarna opnieuw. :)
Hij wil het niet openen :/
Het netsky virus staat er ook op :(
I-Worm.NetSky.b
Backdoor.afcore.af

[ Voor 13% gewijzigd door Icingdeath op 04-04-2004 19:14 ]

zondag 4 april 2004 19:07

Acties:

Verwijderd

Herr Stuhl schreef op 04 april 2004 @ 18:59:
[...]

Hij wil het niet openen :/
Het netsky virus staat er ook op :(
I-Worm.NetSky.b
Wat wil niet openen? Wordt de process-explorer ook gesloten of wat bedoel je?

zondag 4 april 2004 19:09

Acties:
  • Icingdeath
  • Registratie: Augustus 2001
  • Laatst online: 01-12 20:43

Icingdeath

Topicstarter
Verwijderd schreef op 04 april 2004 @ 19:07:
[...]

Wat wil niet openen? Wordt de process-explorer ook gesloten of wat bedoel je?
De process-explorer word gesloten

zondag 4 april 2004 19:12

Acties:

Verwijderd

Herr Stuhl schreef op 04 april 2004 @ 19:09:
[...]

De process-explorer word gesloten
Rename eens process-explorer en/of taskmanager naar blaat.
Wel eerst naar een andere directorie kopiëren.(bureaublad/temp dir etc)

zondag 4 april 2004 21:37

Acties:
  • Icingdeath
  • Registratie: Augustus 2001
  • Laatst online: 01-12 20:43

Icingdeath

Topicstarter
Verwijderd schreef op 04 april 2004 @ 19:12:
[...]

Rename eens process-explorer en/of taskmanager naar blaat.
Wel eerst naar een andere directorie kopiëren.(bureaublad/temp dir etc)
Thnx ik heb nu een virus scanner kunnen instaleren en hij draait weer goed
nog ff de spyware verwijder met spybot search and destroy (Komt door mijn zus die bonzai buddy en gator en dat soort troep zo schattig vind :@)

Bedankt voor de reacties en dit topic kan op slot :)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq