PWS-luys.dll hoe te verwijderen? - Privacy en beveiliging

donderdag 17 juni 2004 14:38

Acties:

Topicstarter

Hee, ik heb een vraag of iemand dit virus kent, en zo ja wat ik er aan kan doen. Er is een bestand genaamd ka.exe. Dit staat in C:\Program Files\Internet Explorer\. McAfee flipt zo rond de 10minuten. Ik krijg dan te zien dat C:\Program Files\Internet Explorer\ka.exe\00018470.EXE iets wil doen. De 2e exe is elke keer verschillend. Mcafee benoemt het virus als PWS-lyus.dll

Nu had ik goed gezocht op google, maar ik krijg alleen maar een japanse site, en daar kan ik natuurlijk niets van maken. Uiteraard heb ik ook al geprobeerd het proces te stoppen, en het bestand te verwijderen, maar dit lukt ook niet. Kortom: ik word gek. Spyware removers enzo herkennen het ook niet. Ik heb ad-aware geprobeerd, en ook spybot search&destroy.

Ik had wel begrepen uit die japanse site dat het een low-risk virus is, dat probeer pw's van online bankieren enzo te versturen. En dat vind ik eng, want ik doe dat namelijk, en daarnaast wil ik gewoon niet iets hebben draaien op mijn comp wat ik niet ken.

Kan iemand mij helpen?

donderdag 17 juni 2004 15:19

Acties:

lordgandalf

mcafee met dat file 4354 zouw hem moeten kunnen herkennen en waarschijnlijk ook verwijderen

btw die japanse site is van mcafee mischien vindt je op de engelse site wat info erover ???

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

donderdag 17 juni 2004 15:21

Acties:

0xDEADBEEF

Als je wilt weten wat het is, upload het dan es ( als het lukt met McAfee ) bij http://virusscan.jotti.dhs.org

[ Voor 18% gewijzigd door 0xDEADBEEF op 17-06-2004 15:24 ]

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

donderdag 17 juni 2004 15:43

Acties:

cutter

Wannabe i7 fanboy

PWSteal.Trojan (Symantec)
Win32.Reign.N (CA)

Zijn aliassen voor het virus, stond in de Japanse site.

donderdag 17 juni 2004 16:24

Acties:

jmschot

Topicstarter

Ok, ik heb hem upgeload by die jotti. Maar die vind niets

Raar. IK heb de laatste versie van de dat files gedowned, maar nog steeds kan hij hem niet verwijderen. Het vage is: ik heb ook dat hijack this geprobeerd, maar ik zie niets wat niet hoort. Ik dump hem hier wel ff. Maar dan nog, waarom kan ik dan niet ka.exe verwijderen??

==================================================

StartupList report, 17-6-2004, 16:22:34
StartupList version: 1.52
Started from :
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\sstray.exe
C:\Program Files\AnalogX\FastCache\fc.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Virtua Mount\virtuamount.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\IE New Window Maximizer\iemaximizer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\McAfee\McAfee VirusScan\VsMain.exe
C:\Program Files\McAfee\McAfee VirusScan\AlogServ.exe
C:\Documents and Settings\*blablabla*\Bureaublad\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten]
Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
iTouch-configuratie (2).lnk = C:\Program Files\Logitech\iTouch\iTouchcf.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

nForce Tray Options = sstray.exe /r
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
FastCache = C:\Program Files\AnalogX\FastCache\fc.exe
nwiz = nwiz.exe /install
Logitech Utility = Logi_MwX.Exe
SunJavaUpdateSched = C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
zBrowser Launcher = C:\Program Files\Logitech\iTouch\iTouch.exe
NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
HekkoVirtualCD = C:\Program Files\Circle\VirtualCD\HvcdUI.exe
VirtuaMount = "C:\Program Files\Virtua Mount\virtuamount.exe" /M
MessengerPlus3 = "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

ctfmon.exe = C:\WINDOWS\System32\ctfmon.exe
IE New Window Maximizer = C:\Program Files\IE New Window Maximizer\iemaximizer.exe
MessengerPlus3 = "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
msnmsgr = "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\Program Files\Dragon Systems\NaturallySpeaking\Program\web_ie.dll - {2843DAC1-05EF-11D2-95BA-0060083493D6}
(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

--------------------------------------------------

Enumerating Download Program Files:

[CryptoRSA Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\CRYPTO~1.OCX
CODEBASE = https://www.p3.postbank.nl/sesam/CAX.cab

[{03F998B2-0E00-11D3-A498-00104B6EB52E}]
CODEBASE = https://components.viewpo...nstallers/MetaStream3.cab

[Shockwave ActiveX Control]
InProcServer32 = C:\WINDOWS\system32\Macromed\Director\SwDir.dll
CODEBASE = http://download.macromedi...wave/cabs/director/sw.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedi...ve/cabs/flash/swflash.cab

[Hotmail Attachments Control]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\HMAtchmt.ocx
CODEBASE = http://by10fd.bay10.hotmail.msn.com/activex/HMAtchmt.ocx

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll
UPnPMonitor: C:\WINDOWS\System32\upnpui.dll

[ Voor 3% gewijzigd door jmschot op 17-06-2004 16:27 ]

vrijdag 18 juni 2004 11:57

Acties:

jmschot

Topicstarter

*bump*