Toon posts:

IE en win explorer quitten op alles wat "vi-rus" bevat.

Pagina: 1
Acties:

maandag 26 april 2004 14:03

Acties:

Verwijderd

Topicstarter
Ik heb vermoedelijk een virus gekregen waar ik niet vanaf geraak met volgende symptomen :

1) MCafee virus scanner of virus shield starten niet meer. Ik heb gepoogd een nieuwe versie (7) te installeren. De installer vroeg of hij de oude versie mocht verwijderen en dat heeft hij gedaan waarna de installer er ook de brui aan gaf => geen virusscanner meer. Elke poging om mcafee te installeren aborts vlak na de netopsystems FEOD optimizer. In safe mode installeren lukt niet bij gebrek aan windows installer.

2) Windows explorer quit telkens je een directory probeert te accessen die het woord "virus" bevat.

3) Internet explorer quit op elke pagina die het woord "virus" bevat. (ik typ deze post in safe mode zodat 't virus niet actief is want anders quit ie als ik op deze forums klik)

4) Als ik ctrl-alt-del druk en probeer de processlist te zien krijg ik alleen een grijs vlak. Als ik net opgestart heb en inlog en dan onmiddelijk naar processlist ga zie ik wel heel even de processlijst, maar dan verdwijnt hij zonder dak kan zien welk process erbij gekomen is.

Een online scan "in safe mode weerom" met housecall.trendmicro.com vindt en cleaned enkel "malware.BKDR_IRCFLOOD" wat blijkbaar een false positive is volgens enkele forums.
Ik heb het "stinger.exe" tooltje van mcafee geprobeerd (in safe mode want anders start het niet) maar ook dit vind geen virus.
Ik heb verder wat gelezen in de beschrijvingen van recente virussen maar geen gevonden dat mijn symptomen geeft.
Google en deze fora gezocht op "explorer quits on word virus" maar niks relevant gevonden.

Iemand enig idee welk virus dit kan zijn en hoe ik er vanaf kan geraken ?

maandag 26 april 2004 14:05

Acties:

Verwijderd

Titel klein beetje aangepast, aangezien de titel in de titlebar komt te staan, wat waarschijnlijk ook ten gevolg heeft dat je IE er mee kapt. :)

Zou je eens je HijackThis log kunnen posten?
Zie ook de stickies van BV.

maandag 26 april 2004 14:06

Acties:

Verwijderd

Welke versie van windows heb je?
Klink als een re-instal

maandag 26 april 2004 14:07

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

Probeer eens het te controleren met HiJack This, misschien dat die iets verdacht vind. Post voor de zekerheid ook je log hier (tussen [code] tags) en geef zelf aan wat je verdacht vind. Heb je overigens ook een andere virusscanner al geprobeerd?

Signature

maandag 26 april 2004 15:17

Acties:

Verwijderd

Topicstarter
Bedankt voor de reakties tot hiertoe !

Hier de verdere info :-) Let op het wordt leuk hoor (alle voor mij wel niet echt :( maar 't lijkt mij een verdomd knap virus)

1) operating system is windows 2000 regelmatig geupdate en gepatched.
2) "vi-rus" in titel veranderen is niet nodig : in normale mode kom ik zelfs niet in dit subforum. Alle andere gaan perfect (videoplanken, non-windows, enz...) maar als ik op "beveiliging en virussen" klik => quit.
3) Het hijackthis verhaal dan. Ik heb hijackthis gedowned en geunzipped naar directory "HijackThis", dit alles in "safe mode" (zat daar nog in na lezen vorige posts). HijackThis eens gerunned in safe mode als referentie (zie log onder).
Dan gereboot in normale mode, en via win explorer naar hijackthis directory willen gaan => win explorer quit.
Directory en file hijackthis.exe gerenamed naar controlthis. Kan directory nu accessen zonder quit, maar hijackthis runt gewoon niet. (ik kan soms heeeel even het hijack this venster zien verschijnen maar dit verdwijnt onmiddelijk)

Het virus triggert dus ook op hijackThis blijkbaar :(((

een andere virusscanner dan mcafee heb ik niet ter beschikking (heb wel al online virusscan geprobeerd zoals in 1e post vermeld)

Iemand nog suggesties ? als dit een virus is (wat mij hoogst waarschijnlijk lijkt) moeten er toch nog mensen zijn met deze symptomen ?

Excuses als de opmaak van mijn posts soms niet alles is, 't is verdomd lastig posten in "safe mode" met 640/480 en 16 kleuren :((

hier volgt de hijack this log met win2000 in "safe mode"
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58

Logfile of HijackThis v1.97.7
Scan saved at 13:51:06, on 26/04/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mtm.kuleuven.ac.be/
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - c:\lotus\organize\iehelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EnsoniqMixer] C:\WINNT\SYSTEM32\starter.exe
O4 - HKLM\..\Run: [CreateCD50] "C:\Program Files\Common Files\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System321\NvCp1l.dll,NvStartup1
O4 - HKLM\..\Run: [nwiz] nwiz1.exe /install
O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Common Files\CMEII\CMESys1.exe"
O4 - HKLM\..\Run: [SysInit] wininit32.exe -services
O4 - HKLM\..\Run: [WinProfile] iexpIore.exe
O4 - HKLM\..\RunServices: [SysInit] wininit32.exe -services
O4 - HKLM\..\RunServices: [WinProfile] iexpIore.exe
O4 - HKCU\..\Run: [SysInit] wininit32.exe -drivers
O4 - Startup: Webshots.lnk = D:\Pers\Webshots\WebshotsTray.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Web Entry (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .ssc: C:\WINNT\Downloaded Program Files\Ubizen\SmartStart\NPSmartStart32.dll
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://www.negativebeats.com/mp3.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/7d90ae05585062/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Program Files\AutoCAD LT 2000i\AcDcToday.ocx
O16 - DPF: {94B964F0-45CC-11D4-9F1D-0060085C7782} (Version Class) - https://internetbanking.argenta.be/multisecure/smartstart/Win32/SmartStartSetup.cab
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (NOXLATE) - file://C:\Program Files\AutoCAD LT 2000i\InstFred.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Program Files\AutoCAD LT 2000i\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFD9C847-1DC8-49CE-9C1E-8E2315154364}: NameServer = 134.58.60.1,134.58.126.3,134.58.127.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = mtm.kuleuven.ac.be
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = mtm.kuleuven.ac.be
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = mtm.kuleuven.ac.be

maandag 26 april 2004 15:20

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Deze hoort er niet, zou je die eens willen mailen?

code:
1

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe


Hetzelfde geld voor deze,die wil ik ook graag hebben :)

code:
1
2
3
4

O4 - HKLM\..\Run: [SysInit] wininit32.exe -services
O4 - HKLM\..\Run: [WinProfile] iexpIore.exe
O4 - HKLM\..\RunServices: [SysInit] wininit32.exe -services
O4 - HKLM\..\RunServices: [WinProfile] iexpIore.exe

Virussen? Scan ze hier!

maandag 26 april 2004 15:26

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

code:
1
2
3
4
5
6

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe
O4 - HKLM\..\Run: [SysInit] wininit32.exe -services
O4 - HKLM\..\Run: [WinProfile] iexpIore.exe
O4 - HKLM\..\RunServices: [SysInit] wininit32.exe -services
O4 - HKLM\..\RunServices: [WinProfile] iexpIore.exe
O4 - HKCU\..\Run: [SysInit] wininit32.exe -drivers
Deze vertrouw ik ook niet helemaal, gezien het feit als ik hierop google ook gelijk bij Virusbeschrijvingen uitkom. Deze bijvoorbeeld. Ik denk dat Schouw deze ook wel leuk zal vinden, kan je ze ook naar hem mailen? Zie zn sig voor emailadres. :)

[ Voor 17% gewijzigd door pasta op 26-04-2004 15:27 ]

Signature

maandag 26 april 2004 16:12

Acties:

Verwijderd

Ik zou de genoemde files ook graag willen zien, zie sig voor mail.
Niet nu al de entries deleten via HT, dat kan niet leuke gevolgen hebben nml.

Wild gokje is dat het hier om een Optix gaat. :P

vrijdag 30 april 2004 16:20

Acties:

Verwijderd

Topicstarter
Probleem opgelost. wininit32.exe was de boosdoener. Ik heb de file opgestuurd naar mcafee (hun scanner vond er niks mis in). Volgens mcafee gaat het om een nieuwe variant van w32.sdbot.worm.gen. Ze zullen de signature opnemen in toekomstige DAT releases.

Na desactivatie van de worm kreeg ik mijn netwerkkaart wel niet meer aan de praat (de worm wijzigt verschillende zaken in het registry). Een win2000 herinstallatie is uiteindelijk nodig geweest om de netwerkkaart terug aan de praat te krijgen.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq