he volgens mij heb ik een worm of iets dergelijks want er is een programma die elke keer opstart of ik dat nou uitzet of niet.
Het programma dat draait is genaamt smss32.exe en geeft anderen toegang via netbios tot mijn computer.
als ik via netstat kijk welke connecties er open staan dan zie ik dat meerdere mensen (toevallig allemaal van wanadoo) een connectie emt mijn pc hebben .
ik heb via HIJACK this een lijstje gemaakt.
Logfile of HijackThis v1.97.7
Scan saved at 19:22:13, on 10/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Winamp\winamp.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\lsrv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wserv32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.startpagina.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = mad_gertje's explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.wanadoo.nl:8080
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [ClamWin] C:\Program Files\ClamWin\bin\ClamTray.exe --logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Ad-watch] "C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [GSICONEXE] gsicon.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [Microsoft Update] smss32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] smss32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.startpagina.nl
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB0EE82A-8F1E-4126-9795-11FC60F05830}: NameServer = 194.134.5.5,194.134.5.55,194.159.73.135,194.159.73.136,62.58.50.5,62.58.50.6
en voor dat jullie zeggen dat smss32.exe van windows update is, het is dus niet van windows dat ding schuilt daaronder.
als ik zone alarm(wat er niet meer opstaat) uitschakel dan komt die ook al weer en als ik me pc op start dan maakt ie automatisch een browers scherm open.
ik heb met ad aware gescand en met CWS shredder maar die vinden niks dus dat is het niet.
heeft iemand anders hier ervaring mee?
als je geen ervaring er mee hebt mag je tuurlijk ook posten
PS. hij laat ook lsass.exe vaak crashen zodat mijn pc zich weer afsluit
Het programma dat draait is genaamt smss32.exe en geeft anderen toegang via netbios tot mijn computer.
als ik via netstat kijk welke connecties er open staan dan zie ik dat meerdere mensen (toevallig allemaal van wanadoo) een connectie emt mijn pc hebben .
ik heb via HIJACK this een lijstje gemaakt.
Logfile of HijackThis v1.97.7
Scan saved at 19:22:13, on 10/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Winamp\winamp.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\lsrv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wserv32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.startpagina.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = mad_gertje's explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.wanadoo.nl:8080
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [ClamWin] C:\Program Files\ClamWin\bin\ClamTray.exe --logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Ad-watch] "C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [GSICONEXE] gsicon.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [Microsoft Update] smss32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] smss32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.startpagina.nl
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB0EE82A-8F1E-4126-9795-11FC60F05830}: NameServer = 194.134.5.5,194.134.5.55,194.159.73.135,194.159.73.136,62.58.50.5,62.58.50.6
en voor dat jullie zeggen dat smss32.exe van windows update is, het is dus niet van windows dat ding schuilt daaronder.
als ik zone alarm(wat er niet meer opstaat) uitschakel dan komt die ook al weer en als ik me pc op start dan maakt ie automatisch een browers scherm open.
ik heb met ad aware gescand en met CWS shredder maar die vinden niks dus dat is het niet.
heeft iemand anders hier ervaring mee?
als je geen ervaring er mee hebt mag je tuurlijk ook posten
PS. hij laat ook lsass.exe vaak crashen zodat mijn pc zich weer afsluit
:strip_icc():strip_exif()/u/14/wildhagen60x60.jpg?f=community)