[malware] [XP]Notepad.exe doet gek.. - Privacy en beveiliging

maandag 17 mei 2004 21:16

Acties:

Verwijderd

Topicstarter

Dit doet de standaart kladblok van windows de afgelopen dagen bij mij.

Bij het openen doet die er 2 min. over (normaal halve sec.)
Afsluiten = 5 min. (normaal ook niet meer dan halve sec.)

Afbeeldingslocatie: http://members.lycos.nl/jcproduction84/notepad01.jpg

.......Klik om te vergroten........

*Alt+F4 doet niks.
*Ctrl+.. Commands doen het niet (Ctrl-C, Ctrl-V e.d)
*Verplaatsen of vergroten kan niet zonder venster erom heen dus das ook onmogelijk

Ik kan er maar niet achterkomen waar het aan ligt en iedereen die ik het heb laten zien stond er stom verbaast bij te kijken omdat ze het nooit hadden mee gemaakt.

Afbeeldingslocatie: http://members.lycos.nl/jcproduction84/notepad02.jpg

Zo ziet het er op de startbalk uit.
*Geen document title of iets anders, gewoon leeg.
*Rechtermuis knop doet niks.
*Min/maximaliseren kan op geen een manier.

De enige manier om hem af te sluiten is Ctrl+Alt-Del en dan bij "Processen" [Notepad.exe] afsluiten, want bij toepasingen staat hij er niet eens bij.

Ik ging ook even bij de Eigenschappen van Notepad.exe kijken en dat duurde zeker 10 min voordat ik het eigenschappen venster eindelijk kreeg.
Heb daar even gekeken maar kon niks raars vinden.

Weet iemand waar het aan ligt? of hoe het verholpen kan worden.

Als ik iets vergeten ben te vermelden kun je het even vragen want ik von het niet echt noodzakelijk om mijn Spec's erbij te noemen.

[ Voor 132% gewijzigd door Verwijderd op 17-05-2004 21:49 ]

maandag 17 mei 2004 21:18

Acties:

sdomburg

Sinds wanneer treedt dit probleem op?

Bij de taskmanager kan je dit doen door te dubbelklikken in een leeg stukje grijs.

edit: en waarom maak je het plaatje weer layout verneukend groot terwijl je 'm net mooi gethumbnaild en clickable had?

[ Voor 86% gewijzigd door sdomburg op 17-05-2004 21:20 ]

maandag 17 mei 2004 21:19

Acties:

Mike Jarod

Ziet er idd maf uit

Doe eens een fatsoenlijke topicstart met info aub

Bedankt

_{trash me}

[ Voor 21% gewijzigd door Mike Jarod op 17-05-2004 21:39 ]

maandag 17 mei 2004 21:38

Acties:

Verwijderd

Topicstarter

sdomburg schreef op 17 mei 2004 @ 21:18:
Sinds wanneer treedt dit probleem op?

Bij de taskmanager kan je dit doen door te dubbelklikken in een leeg stukje grijs.

edit: en waarom maak je het plaatje weer layout verneukend groot terwijl je 'm net mooi gethumbnaild en clickable had?

Rustig aan mensen dit is mijn eerste keer dat ik plaatjes op een topic doe en ik ben er bijna uit hoe het moet maar begin niet gelijk te zueren want dan ga ik helemaal stressen

Dit probleem treed pas sinds 2 dagen op en heb er nooit eerder last van gehad, bij taken beheer kan je ook zo iets doen maar die ken ik wel.

maandag 17 mei 2004 21:42

Acties:

DutchTSE

al een gescanned op virussen/spyware/ als die andere zooi?

lijkt me misschien wel een virus

maandag 17 mei 2004 21:43

Acties:

sdomburg

Zet deze er eens overheen (in je windows directory dus):

http://www.xs4all.nl/~idomburg/NOTEPAD.EXE

Ik haal 'm met twee minuutjes weer weg, dus meld ff als je 'm binnen hebt.

_{Kan diegene boven me even die afschuwlijke fout uit z'n sig halen? You're != Your}

[ Voor 24% gewijzigd door sdomburg op 17-05-2004 21:46 ]

maandag 17 mei 2004 21:48

Acties:

sdomburg

Verwijderd schreef op 17 mei 2004 @ 21:46:
[...]

Heb hem.
ik heb hem in de windows map System32 gedaan en de oude overshreven maar hij blijft hetzelfde doen.

Hij hoort gewoon in de Windows root directory, niet in de System32 subdirectory volgens mij

edit: ik zie dat 'ie in beiden staat, zie het in Windows directory zelf met lowercase en in de system32 met uppercase. Beide zijn 67.072 byte groot, bij jou ook?

[ Voor 22% gewijzigd door sdomburg op 17-05-2004 21:51 ]

maandag 17 mei 2004 21:53

Acties:

Verwijderd

Topicstarter

sdomburg schreef op 17 mei 2004 @ 21:48:
[...]

Hij hoort gewoon in de Windows root directory, niet in de System32 subdirectory volgens mij

edit: ik zie dat 'ie in beiden staat, zie het in Windows directory zelf met lowercase en in de system32 met uppercase. Beide zijn 67.072 byte groot, bij jou ook?

My bad , my bad

Had in de system32 map een notepad.exe gezien en die in de windows map had ik nog niet gezien, maar hem die ook even verandert en het heeft ook niet geholpen.

Edit: ja ze zijn allebei zelfde grote.
Edit2: Virus scanner geeft groen aan dus geen virus of spyware (LiveUpdate gedaan voor het scannen dus)

[ Voor 14% gewijzigd door Verwijderd op 17-05-2004 21:56 ]

maandag 17 mei 2004 21:55

Acties:

Jimbolino

troep.com

ik had laatst een virus dat notepad.exe gebruikte om het systeem te besmetten, kijk eens in de eventlog of er recent nog meldingen staan van systeembestanden die zijn overschreven

edit: ok als het dat niet is, kijk eens of het aan je profiel ligt: maak een nieuwe user aan en log daarmee in

[ Voor 25% gewijzigd door Jimbolino op 17-05-2004 21:57 ]

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

maandag 17 mei 2004 21:55

Acties:

Johny58

Dat is dus iets dat heel erg vreemd is. Ik had 2 dagen terug een virus en die infecteerde notepad.exe in de system32 map (had overigens niet deze symptomen). Norton verwijderde die. Toen had ik geen notepad meer. Dus ik wil een tekstbestandje openen, opent notepad gewoon het tekstbestand. Blijkt dus dat er volgens mij in XP twee keer notepad.exe aanwezig is. De snelkoppeling in start>programmas>accesories verwijst standaard naar notepad in de system32 subdirectory terwijl explorer standaard degene in de windows map gebruikt om bestanden te openen. Je kan dus ipv het downloaden van de notepad.exe hierboven die iemand voor je hoste netzogoed gewoon notepad.exe van de windows map naar de system32 subdirectory kopieren.

Misschien dat iemand even kan kijken of normaal gesproken de twee notepad's precies hetzelfde zijn kwa bijvoorbeeld bestandsgrote.

edit:
TE LANG ZITTEN TYPEN

Dat brengt mij bij de volgende vraag: Waarom, in godsnaam, heeft windowsXP standaard 2 identieke progamma's?

Heb even kort gegoogled en de search gebruikt maar kan er niks over vinden. Zou er bijna een topic over openen in de HK om microsoft uit te lachen. Zou misschien gezien worden als een flame, maar dit lijkt erg amateuristisch...

[ Voor 23% gewijzigd door Johny58 op 17-05-2004 22:06 ]

"Hippopotomonstrosesquippedaliophobia" is the term used to describe the fear of long words.

maandag 17 mei 2004 22:06

Acties:

Verwijderd

Topicstarter

Jimbolino schreef op 17 mei 2004 @ 21:55:
ik had laatst een virus dat notepad.exe gebruikte om het systeem te besmetten, kijk eens in de eventlog of er recent nog meldingen staan van systeembestanden die zijn overschreven

edit: ok als het dat niet is, kijk eens of het aan je profiel ligt: maak een nieuwe user aan en log daarmee in

Ey ja, ben nou op een net gemaakte XP acount en hier doet hij het wel

Ik snap er echt nix van hoor.

maar toch, dat hij het hier wel doet betekent nog niet dat hij het daar wel doet dus ben zo terug..

Edit: ben ik weer

zonder resultaat...

Johny58 schreef op 17 mei 2004 @ 21:55:
[...]

Heb even kort gegoogled en de search gebruikt maar kan er niks over vinden. Zou er bijna een topic over openen in de HK om microsoft uit te lachen. Zou misschien gezien worden als een flame, maar dit lijkt erg amateuristisch...

Had ook geprobeerd te googlen maar vond van alles over andere notepadjes die je kon skinnen

haha dus niet wat ik zocht..

Hoe dan ook, moet er toch echt achter zien te komen waar het aan ligt hoor want dit is niet zomaar een fout

[ Voor 35% gewijzigd door Verwijderd op 17-05-2004 22:18 ]

maandag 17 mei 2004 22:26

Acties:

Johny58

Verwijderd schreef op 17 mei 2004 @ 22:06:
[...]
Had ook geprobeerd te googlen maar vond van alles over andere notepadjes die je kon skinnen haha dus niet wat ik zocht..

Hoe dan ook, moet er toch echt achter zien te komen waar het aan ligt hoor want dit is niet zomaar een fout

Ik open er wel even een nieuw topic voor, ik vraag me af om iemand hier een reden voor kan verzinnen.

Ik post zo wel een link naar het topic.

EDIT: [rml][ Windows XP] Waarom standaard 2x notepad[/rml]

[ Voor 7% gewijzigd door Johny58 op 17-05-2004 22:31 ]

"Hippopotomonstrosesquippedaliophobia" is the term used to describe the fear of long words.

maandag 17 mei 2004 22:32

Acties:

sdomburg

Johny58 schreef op 17 mei 2004 @ 22:26:
[...]

Ik open er wel even een nieuw topic voor, ik vraag me af om iemand hier een reden voor kan verzinnen.

Ik post zo wel een link naar het topic.

Doe eens normaal zeg, dat kan best in dit topic. Daarbij mag je best zelf 1 van twee verwijderen en kijken wat er gebeurt, ipv. meteen om zoiets lulligs ene topic te gaan openen.

Daarbij getuigt een voornemen een flame topic te openen in de hk (ja gek he, dat een groot softwarebedrijf ook wel eens een bug laat zitten, zeker als die zo wienig is voorgekomen dat er niets over te vinden is en dus waarschijnlijk nog door een 3rd party iets gegenereerd wordt) van weinig volwassenheid.

Johny58 schreef op 17 mei 2004 @ 22:38:
Wat er gebeurt als je 1 van de twee verwijdert weet ik al en zou jij ook weten als je mijn eerste post in dit topic had doorgelezen.

Daarnaast zei ik:
"Ik zou bijna..."

Wat dus betekent dat ik het niet doe.

Ik zou bijna zeggen dat je de grootste lul en klootzak bent die op deze aarde rondloopt_{, maar dat doe ik niet.}

Is dat geen verkapte flame dan?

[ Voor 121% gewijzigd door sdomburg op 17-05-2004 22:41 ]

maandag 17 mei 2004 22:38

Acties:

Johny58

Wat er gebeurt als je 1 van de twee verwijdert weet ik al en zou jij ook weten als je mijn eerste post in dit topic had doorgelezen.

Daarnaast zei ik:
"Ik zou bijna..."

Wat dus betekent dat ik het niet doe.

[ Voor 24% gewijzigd door Johny58 op 17-05-2004 22:39 ]

"Hippopotomonstrosesquippedaliophobia" is the term used to describe the fear of long words.

maandag 17 mei 2004 22:42

Acties:

danslo

Dat brengt mij bij de volgende vraag: Waarom, in godsnaam, heeft windowsXP standaard 2 identieke progamma's?

Heb even kort gegoogled en de search gebruikt maar kan er niks over vinden. Zou er bijna een topic over openen in de HK om microsoft uit te lachen. Zou misschien gezien worden als een flame, maar dit lijkt erg amateuristisch...

Back-up mss?
Ik weet iig wel dat hij die van sytem32 gebruikt en niet die van de /windows map

maandag 17 mei 2004 22:46

Acties:

Verwijderd

Topicstarter

cls schreef op 17 mei 2004 @ 22:42:
[...]

Back-up mss?
Ik weet iig wel dat hij die van sytem32 gebruikt en niet die van de /windows map

Backup? misschien wel maar waarom gooien ze dan niet gelijk een backup van Paint, Wordpad en alle andere MS programmatjes?

_{Edit: ik wil niet lullig doen maar dit topic is zomaar van ondewerp verandert terwijl ik nog steeds met het probleem zit..}

[ Voor 18% gewijzigd door Verwijderd op 17-05-2004 22:49 ]

maandag 17 mei 2004 22:52

Acties:

sdomburg

Verwijderd schreef op 17 mei 2004 @ 21:38:
[...]
probleem treed pas sinds 2 dagen op en heb er nooit eerder last van gehad, bij taken beheer kan je ook zo iets doen maar die ken ik wel.

Wat heb je gedaan vlak voordat het optrad? Het is niet zo dat kladblok denkt van hej, het is 6 mei, laat ik ermee ophouden. Er moet wat veranderd zijn voordat het probleem optrad. Software geïnstalleerd? Virus gehad en gecleant toen? Instellingen gewijzigd?

maandag 17 mei 2004 22:57

Acties:

eghie

Spoken words!

Laat eens een HijackThis log zien, mischien is het wel gewoon een virus, maar die niet wordt herkent of een soort van spy-/adaware.

maandag 17 mei 2004 23:07

Acties:

Verwijderd

Wat gebeurt er als je een kopie maakt van notepad.exe en die bijv. notepad2.exe noemt en die start ?
Als het venster dan wel goed is moet je eens op zoek gaan naar alle notepad vermeldingen op je PC misschien is er ergens een notepad shortcut pif of lnk file die vreemde eigenschappen geeft aan je standaard notepad.exe
Overigens is het vervangen van notepad.exe onder XP niet zo simpel als je zou denken. Mocht je toch een besmette versie hebben dan heb je hem ieg nog niet goed vervangen op de manier die je hierboven beschrijft. Zodra je hem nl. vervangt wordt hij direct teruggezet uit de dllcache map en als die versie daar ook besmet is ben je dus niets opgeschoten. Zie deze link voor het echt vervangen van notepad.exe http://www.notepad-replacements.com/notepadxp.html

maandag 17 mei 2004 23:10

Acties:

Jimbolino

troep.com

Verwijderd schreef op 17 mei 2004 @ 22:06:
[...]
Ey ja, ben nou op een net gemaakte XP acount en hier doet hij het wel
Ik snap er echt nix van hoor.
[...]

gewoon een foutje in je windows profiel dus, komt wel vaker voor als je pc een keer vastloopt of als de stroom uitvalt. Uitzoeken waar het precies zit kost je dagen, dan wel niet jaren de tijd.

oplossing: maak een nieuw profiel

om dit voor elkaar te krijgen moet je de map c:\documents and settings\[username] renamen naar c:\documents and settings\[username]_old oid

dit kan alleen als je ingelogd bent als een andere user dan [username]

veel suc6 ermee

ps. het is verstandig om belangrijke dingen (email settings, favorieten enz) vantevoren op te slaan. Deze kun je naderhand wel uit de _old map halen, maar vantevoren opslaan gaat een stuk makkelijker...

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

maandag 17 mei 2004 23:13

Acties:

Verwijderd

Topicstarter

sdomburg schreef op 17 mei 2004 @ 22:52:
[...]

Wat heb je gedaan vlak voordat het optrad? Het is niet zo dat kladblok denkt van hej, het is 6 mei, laat ik ermee ophouden. Er moet wat veranderd zijn voordat het probleem optrad. Software geïnstalleerd? Virus gehad en gecleant toen? Instellingen gewijzigd?

Enigste wat ik gedaan heb was Nvidia drivers geupdate maar dat was 4 dagen geleden en het probleem heb ik pas sinds 2 dagen.

Virus gehad 3 weken geleden maar heb ik kunnen oplossen na het met Norton en daarna nog hele pc opnieuw geinstaleerd
daarna geen last meer van gehad.

eghie schreef op 17 mei 2004 @ 22:57:
Laat eens een HijackThis log zien, mischien is het wel gewoon een virus, maar die niet wordt herkent of een soort van spy-/adaware.

Wat is dat precies ? een HijackThis Log..

maandag 17 mei 2004 23:17

Acties:

sdomburg

Verwijderd schreef op 17 mei 2004 @ 23:13:
[...]

Enigste wat ik gedaan heb was Nvidia drivers geupdate maar dat was 4 dagen geleden en het probleem heb ik pas sinds 2 dagen.[...]

Wat is dat precies ? een HijackThis Log..

Zie [rml][ Howto] Spyware scannen en opruimen[/rml]

maandag 17 mei 2004 23:25

Acties:

Verwijderd

Topicstarter

HijackThis Log:

Logfile of HijackThis v1.97.7
Scan saved at 23:22:33, on 17-5-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\JC Production®\Local Settings\Temporary Internet Files\Content.IE5\3G5975IM\HijackThis[1].exe
C:\Program Files\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/...ir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://nl.altavista.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/...ir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/...?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/...ir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Microsoft Update] svchostss.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunServices: [Microsoft Update] svchostss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update] svchostss.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 (HKLM)
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 (HKLM)
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell....stemprofiler/PROFILER.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m...uctl.CAB?38111.2464467593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab
O16 - DPF: {FE5D6722-826F-11D5-A24E-0060B0F1A5AE} (Tukati Launcher) - http://www.tukati.com/software/4/1.7.20.20/tukati.cab

Ik kom er niet veel wijser uit maar jullie wel toch? $_/-\o_$

maandag 17 mei 2004 23:27

Acties:

sdomburg

Wat is die Tukati Launcher?

maandag 17 mei 2004 23:37

Acties:

Verwijderd

Topicstarter

sdomburg schreef op 17 mei 2004 @ 23:27:
Wat is die Tukati Launcher?

Ik zou het niet weten maar ik heb gegoogled op tukati launcher en ik krijg heel veel verschillende forums waar ook een Hijack Log op staat en waar ook Tukati Launcher op staat

[http://]3dgamers.tukati.com/Tukati (omdat ik niet weet wat het is raad ik niet aan om er heen te gaan surfen)
ik kan je wel vertellen dat het er verdomd verd8 uitziet die site, het is een home directory zoals van lycos, op een 3dgamers server zo te zien, en er staan alleen zulke mappen in: 1.6.15.15/, 1.6.16.16/
in totaal 9 mappen met alleen nummers en in die mappen zit allemaal de bestand: Tukati.cab in of dat nou iets verkeert is of niet weet ik niet want ik kan er nix over vinden.

Edit: ben er in middels al achter wat het is, het is een download client van 3DGamers, komt omdat ik daar de demo van Farcry had gedownload maar dat was ook al ff geleden.
of het nou een spy/ad is weet ik nog niet, ben nog aan het zoeken..

[ Voor 14% gewijzigd door Verwijderd op 17-05-2004 23:43 ]

maandag 17 mei 2004 23:41

Acties:

Miki

code:

1	O4 - HKCU\..\Run: [Microsoft Update] svchostss.exe

Dit is hoogstwaarschijnlijk malware, gelieve deze even door deze scan te halen: http://virusscan.jotti.dhs.org/

Er bestaat namelijk alleen SVCHOST.EXE!!!

Mensen let op en laat je dus niet misleiden, vetrouw je het niet laat er dan door mensen naar kijken die er verstand van hebben. Veel van de genoemde oplossingen zijn lief bedoeld maar helemaal verkeerd.

Post ook even de uitslag van de online scan aub!

[ Voor 52% gewijzigd door Miki op 17-05-2004 23:43 ]

maandag 17 mei 2004 23:46

Acties:

Verwijderd

Topicstarter

Miki schreef op 17 mei 2004 @ 23:41:
code:
1
O4 - HKCU\..\Run: [Microsoft Update] svchostss.exe
Dit is hoogstwaarschijnlijk malware, gelieve deze even door deze scan te halen: http://virusscan.jotti.dhs.org/

Er bestaat namelijk alleen SVCHOST.EXE!!!

Mensen let op en laat je dus niet misleiden, vetrouw je het niet laat er dan door mensen naar kijken die er verstand van hebben. Veel van de genoemde oplossingen zijn lief bedoeld maar helemaal verkeerd.

Post ook even de uitslag van de online scan aub!

Je hebt gelijk, de virus waar ik het over had was een Sasser virus die ook een process opende die svchostss hete.........damzzz tog niet weer die virus!!!
had net zo veel moeite moetten doen om die virus weg te halen, heb nog Zonealarm geinstaleerd voor het geval dat mijn poort nog open stond.....ik ga bijna huile

Enne waar kan ik dit bestand eigenlijk vinden want hij stond vóór de virus op de System32 dir maar nou staat alleen de SVSHOST.EXE er en die is dus wel goed.

[ Voor 9% gewijzigd door Verwijderd op 17-05-2004 23:51 ]

maandag 17 mei 2004 23:49

Acties:

Verwijderd

Volgens mij is er geen Sasser-variant met de naam svchostss.exe - gooi hem dus toch maar eens door die scan...

maandag 17 mei 2004 23:59

Acties:

Miki

Verwijderd schreef op 17 mei 2004 @ 23:46:
[...]

Je hebt gelijk, de virus waar ik het over had was een Sasser virus die ook een process opende die svchostss hete.........damzzz tog niet weer die virus!!!
had net zo veel moeite moetten doen om die virus weg te halen, heb nog Zonealarm geinstaleerd voor het geval dat mijn poort nog open stond.....ik ga bijna huile

Enne waar kan ik dit bestand eigenlijk vinden want hij stond vóór de virus op de System32 dir maar nou staat alleen de SVSHOST.EXE er en die is dus wel goed.

Zoek is gewoon met de zoekfunctie van windows zelf, vermoed dat ie wel zo bovenwater komt.

dinsdag 18 mei 2004 00:00

Acties:

Verwijderd

Topicstarter

StartupList report, 17-5-2004, 23:58:51
StartupList version: 1.52
Started from : C:\Documents and Settings\JC Production®\Mijn documenten\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\JC Production®\Mijn documenten\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

Toch zie ik geen svchostss.exe runnen..

dinsdag 18 mei 2004 00:00

Acties:

elevator

Officieel moto fan :)

Windows Operating Systems >> Beveiliging & Virussen

dinsdag 18 mei 2004 00:11

Acties:

Verwijderd

Topicstarter

Miki schreef op 17 mei 2004 @ 23:59:
[...]

Zoek is gewoon met de zoekfunctie van windows zelf, vermoed dat ie wel zo bovenwater komt.

Al gedaan, ook op verborgen/systeem bestanden maar hij vind er echt niks over..raar hoor

Edit:Ben nou met SpyBot Search & Destroy aan het scannen

[ Voor 14% gewijzigd door Verwijderd op 18-05-2004 00:13 ]

dinsdag 18 mei 2004 00:15

Acties:

Miki

maak eens een nieuwe hijack this log en post de resultaten nog een keer, dit keer ook in de tags [*code*] log hijackthis [*/code*]

Dit natuurlijk zonder sterretjes

Oja, mocht svchostss.exe weer terugkomen, dan wordt het tijd voor een echte virusscanner

Maar eerst de log en dan gaan we verder....

[ Voor 10% gewijzigd door Miki op 18-05-2004 00:16 ]

dinsdag 18 mei 2004 00:23

Acties:

Verwijderd

Topicstarter

Ok hierbij dan met de codes

code:

Logfile of HijackThis v1.97.7
Scan saved at 0:29:11, on 18-5-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\JC Production®\Mijn documenten\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://nl.altavista.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 (HKLM)
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 (HKLM)
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38111.2464467593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FE5D6722-826F-11D5-A24E-0060B0F1A5AE} (Tukati Launcher) - http://www.tukati.com/software/4/1.7.20.20/tukati.cab

_{edit: ik weet niet hoe het kleiner moet hoor sorry}

[ Voor 6% gewijzigd door Verwijderd op 18-05-2004 00:29 ]

dinsdag 18 mei 2004 00:28

Acties:

Miki

code:

1	O4 - HKCU\..\Run: [Microsoft Update] svchostss.exe

Hij is er dus nog steeds

Deinstalleer je huidige virusscanner tijdelijk en installeer de trial van Kaspersky. Laat deze updaten met de extended base, moet duidelijk worden als je naar de update opties gaat kijken en laat KAV de computer scannen. De key die erbij zit geeft je 30 dagen de tijd om het programma te gebruiken.

http://www.kaspersky.com/...481750&downlink=147915277

Ps. ik ga nu slapen, morgen is het weer mijn genoegen om je verder te helpen. Mocht kaspersky wat vinden melt het dan ook even aub.. das leuk voor degene die dit soort malware interesant vinden.

[ Voor 18% gewijzigd door Miki op 18-05-2004 00:30 ]

dinsdag 18 mei 2004 00:30

Acties:

Verwijderd

Topicstarter

Miki schreef op 18 mei 2004 @ 00:28:
code:
1
O4 - HKCU\..\Run: [Microsoft Update] svchostss.exe
Hij is er dus nog steeds

Deinstalleer je huidige virusscanner tijdelijk en installeer de trial van Kaspersky. Laat deze updaten met de extended base, moet duidelijk worden als je naar de update opties gaat kijken en laat KAV de computer scannen. De key die erbij zit geeft je 30 dagen de tijd om het programma te gebruiken.

http://www.kaspersky.com/...481750&downlink=147915277

nee hij is er niet meer, had verkeerde logfile gekopieert sorry.
edit: Welterusten.....

[ Voor 3% gewijzigd door Verwijderd op 18-05-2004 00:34 ]