Toon posts:

[Malware] NAV: backdoor.trojan infectie - AppInit_DLL *

Pagina: 1
Acties:
  • 129 views sinds 30-01-2008
  • Reageer

zondag 18 juli 2004 16:14

Acties:

Verwijderd

Topicstarter
Krijg vandaag elke keer als ik een venster of programma open een trojan waarschuwing van norton: "backdoor.trojan in C:\WINDOWS\SYSTEM32\HLPPP.DLL".
Heb hier op t forum dus even rondgekeken en twee Trojan Scanners gedownload (Tauscan en Trojan Hunter), maar beide scanners detecteerden de trojan niet.
Toen besloot ik om het bestand dan maar even handmatig op te zoeken (en evt. verwijderen), kon ik het niet eens vinden, nu ben ik dus zo'n btje ten einde raad en wilde ik even zeggen: HELP!?!

Heeft iemand enig idee?

zondag 18 juli 2004 16:27

Acties:

Verwijderd

Niet te vinden onder windows, probeer het eens onder MS-Dos...
File gevonden --> copy to floppy, daarna delete je de file.
Start dan terug op in windows. Werkt alles nog zoals voorheen, dan
moet je deze file niet terug plaatsen. ( hoe de floppy een week of 2 bij, je weet maar nooit )

Hlppp.dll..... niets op google niet bij Norton en niets over te vinden op dll-files.com......lijkt mij geen nutig bestand. Als ik het zo versta probeert de file wel
contact met de buitenwereld te maken (zoals een goede trojan dit doet ), en dit activeerd norton firewall.

zondag 18 juli 2004 16:35

Acties:

Verwijderd

Een trojan is niet noodzakelijk een backdoor, hoewel dat in dit geval wel het geval lijkt. :P
Een goede firewall is zo goed als hij geconfigureerd is, dll protection staat standaard niet aan..

Als Norton nog loopt, dan kunnen andere programma's die file niet meer benaderen..
Had je NAV(tijdelijk) uitgezet?
Heb je show hidden files/system files en dergelijke aanstaan? Zo nee, zet dat eerst eens aan.

Het is raadzaam om eerst te bekijken wát voor backdoor het is, voordat er(nog meer)vervelende dingen gebeuren.
Als je de file gevonden hebt, scan hem dan eens hier: http://www.kaspersky.com/scanforvirus.html

Titel wat aangepast. :)

zondag 18 juli 2004 16:53

Acties:

Verwijderd

Topicstarter
Bruza-Q: ben nu wel een stap verder, kon hlppp.dll nu wel vinden, kon em helaas niet verwijderen (toegang geweigerd).

Schouw: had tijdens beide scans norton uitgeschakeld (had t gelezen in een andere thread hier). Had tijdens het zoeken naar t bestand ook de verborgen bestanden ed. op weergeven gezet, maar kon em in windows helaas niet vinden. (nadat ik een opdrachtprompt had geopend op aanraden van Bruza-Q, en zo had gezocht en gevonden, geeft ie em nu wel weer in windows trouwens :| btje vreemd)
Heb ook geprobeerd het bestand te submitten op die online virus scan, maar krijg dan de melding: "Please insert a file name for scanning and try again. "

Andere ideeen?

PS: Nog iets leuks trouwens, kan de viruswaarschuwing niet eens meer wegkrijgen, kan zo vaak op ok drukken als ik wil, maar blijft steeds terugkomen. :?

[ Voor 12% gewijzigd door Verwijderd op 18-07-2004 16:54 ]

zondag 18 juli 2004 16:56

Acties:

Verwijderd

Je moet NAV tijdelijk uitschakelen om dat ding online te kunnen laten scannen..
Loop Beveiliging en Virussen - Nieuw topic starten ook eens door. :)

zondag 18 juli 2004 17:09

Acties:

Verwijderd

Topicstarter
Heb NAV uitgeschakeld, (compleet afgesloten zelfs, werd btje gek van die waarschuwing), maar kan em nog steeds niet submitten :?

Als ik hlppp.dll probeer te openen geeft ie trouwens weer het bestand niet te kunnen vinden :X.

zondag 18 juli 2004 17:11

Acties:

Verwijderd

Kun je de file kopiëren naar bijv. je desktop?

zondag 18 juli 2004 17:12

Acties:
  • Mike Jarod
  • Registratie: Januari 2002
  • Niet online

Mike Jarod

Maak er eens een kopie van (CTRL+C / CTRL+V), of probeer 'm te uploaden in de Veilige Modus met Netwerkmogelijkheden (oid).

Als alternatief kan je 'm ook nog hier scannen http://virusscan.jotti.dhs.org :)

zondag 18 juli 2004 17:20

Acties:

Verwijderd

Topicstarter
Kan het bestand niet kopieeren, krijg de waarschuwing: "controleer of de schijf vol of tegen schrijven is beveiligd of dat het bestand momenteel in gebruik is."
Voor zover ik weet is geen van de aspecten van de waarschuwing van toepassing.

Kon het bestand trouwens wel scannen, met die scanner van Mike, maar er werd niks gevonden.

zondag 18 juli 2004 17:26

Acties:
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 01-12 20:09

lordgandalf

zijn de bestand eigenschappen soms toevallig read-only ???

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

zondag 18 juli 2004 17:38

Acties:

Verwijderd

Topicstarter
zou t wel willen controleren, maar op een of andere manier kan ik het bestand wederom niet zien via windows :|, kan em in een opdrachtprompt echter nog wel zien.

zondag 18 juli 2004 17:39

Acties:
  • Mike Jarod
  • Registratie: Januari 2002
  • Niet online

Mike Jarod

Ik vind het zeer verdacht dat NAV hier wel een virus in zou zien en Jotti's online scan niet, tenzij NAV een false positive (valse virusmelding) geeft, maar dat lijkt me sterk met zo'n filenaam.

Anyway, start op in de veilige modus. Maak een kopie van die file. Start weer normaal op en ram 'm nogmaals door de genoemde pagina's. Je kan ook naar de VM met netwerkmogelijkheden gaan, dan hoef je niet extra te rebooten.

Daarna, lees dit door: [rml][ Howto] Spyware scannen en opruimen[/rml] , voornamelijk het deel over het programma HijackThis. Download ook dat programma en haal adhv die Howto alle onzin weg. Ik vermoed dat jouw .dll in de BHO sectie staat.

Suc6 :)

zondag 18 juli 2004 17:53

Acties:
  • Jordi
  • Registratie: Januari 2000
  • Niet online

Jordi

#1#1

Verwijderd schreef op 18 juli 2004 @ 17:20:
Kon het bestand trouwens wel scannen, met die scanner van Mike, maar er werd niks gevonden.
Er werd niks gevonden. Gaf ie aan "OK"? Of "Ready for upload"? Het zou niet de eerste keer zijn dat iets op jouw machine verhindert dat je dergelijke bestanden uploadt. Ik kan een bestand met de naam HLPPP.DLL namelijk niet terugvinden in de scanlog. Het zou kunnen dat dat exacte bestand al eens eerder is gescand (dan geeft ie ook aan dat resultaten niet opgeslagen worden!), maar gezien het feit dat ik de hele database 2 dagen geleden leeggemieterd heb om met een schone lei te beginnen, lijkt die kans erg klein.
Ik zou Mike Jarods stappen eventjes doorlopen. Zorg eerst dat het ding niet meer in de weg loopt, dan kan je altijd nogmaals een scan proberen. Succes ermee!

Het zal wel niet, maar het zou maar wel.

zondag 18 juli 2004 18:37

Acties:

Verwijderd

Topicstarter
het bestand was in VM op onverklaarbare wijze verdwenen, bij terugkeer naar normale modus was ie echter op even onverklaarbare wijze weer terug.
HijackThis leek t even op te lossen (zit in AppInit_DLLs), maar t komt na t fixen steeds weer terug :X.

Blijkt overigeens geen read-only te zijn.
Die scanner gaf OK weer, en meldde inderdaad dat het bestand al eerder gescand was, en dat ie de resultaten dus niet op ging slaan.

zondag 18 juli 2004 18:46

Acties:
  • Mike Jarod
  • Registratie: Januari 2002
  • Niet online

Mike Jarod

Post eens je HijackThis log hier? (scan -> save log)

Geef ook even aan welke dingen je al verwijderd had maar die terugkwamen :)

zondag 18 juli 2004 18:56

Acties:

Verwijderd

Topicstarter
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\Program Files\Norton Internet Security\NISUM.EXE
D:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\IP Insight\ARMon32a.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\IP Insight\ARUpld32.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Joost\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft Hardware\Mouse\point32.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn...rStatsClient.cab27571.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn...aireShowdown.cab27571.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{95971A4D-ADBE-4F40-B5D0-F80E4BFC1D59}: NameServer = 195.121.1.34 195.121.1.66
O20 - AppInit_DLLs: C:\WINDOWS\System32\hlppp.dll

De laatste regel is degene die ik verwijderde, voor de rest heb ik nog niks verwijderd.

Heb helaas nu elders verplichtingen, dus mijn volgende post zal morgen verschijnen (als t dan nog niet opgelost is :|)

[ Voor 3% gewijzigd door Verwijderd op 18-07-2004 19:06 ]

zondag 18 juli 2004 19:42

Acties:
  • Mike Jarod
  • Registratie: Januari 2002
  • Niet online

Mike Jarod

Gaaf probleem :P

Je log lijkt mij schoon op de laatste entry na. Ik vind hier een draadje waar het probleem hetzelfde lijkt, maar geen oplossing. Ik zoek nog even verder naar een oplossing :)



edit: bovenstaand draadje had meerdere pagina's 8)7 :+

Probeer dit eens:

http://www.computercops.u...ums&file=download&id=2041 <- klik om een .zip te downloaden

interessante batch file trouwens, wist niet dat dat allemaal kon op die manier :P
Extract the batch file (hiving.bat) and run it. If you have script blocking enabled you will get a warning. Please allow this to run. The script is just producing a message box. Double click on the batch to run it. After a reboot the super hidden nasty file will no longer be loaded and should be visible.

Restart into Safe mode and find this file:
C:\WINDOWS\System32\JOUWDLLFILE.DLL

Use the security tab on log.dll and take ownership.
Change the 'everyone special' to
'you> with Admin rights-> FULL control
Then try to delete it, if that fails try to rename
it first to different name+ext.
Example:
log.dll>bleh.txt
bleh.txt > badfile.111

Once you have successfully deleted the file restart into Regular Windows mode.

Run HijackThis again and that O20 entry should be gone.

[ Voor 70% gewijzigd door Mike Jarod op 18-07-2004 19:59 ]

zondag 18 juli 2004 20:19

Acties:

Verwijderd

Even nog een extra titelaanpassing voor de search, kan nog wel eens van pas komen. :)

Idee © MJ :P

zondag 18 juli 2004 20:29

Acties:
  • backupdevice
  • Registratie: November 2000
  • Laatst online: 12:00

backupdevice

No Risk , Full Push

Ik heb ook zoiets wazigs, maar dan met MSL.DLL. Norton C8.0 draait vanaf vanmorgen helemaal dol. Ik krijg steeds deze melding. Ik heb via Housecall een systemscan gedaan, niks gevonden. Vanuit veilige modus een scan gedaan, niks gevonden. Ik kan heel het file niet vinden. Norton noemt het een bacdoor.trojan met de naam MSL.DLL. Ik heb adawre en S&D gedraait, nada.

Google zegt niks. Ben nu via symantec.com aan het scannen.

Edit

18682 files scanned, 0 file(s) infected on your disk drives.


No viruses were detected in memory.


Ik zet Norton CE weer aan , meteen melding

[ Voor 17% gewijzigd door backupdevice op 18-07-2004 20:32 ]

"This is it....This is it " | Gianpiero Lambiase | Lap 54 12-12-2021

zondag 18 juli 2004 20:32

Acties:

Verwijderd

Blue_White_Army: Gelieve dan een eigen topic te openen..
Volg wel alvast de tips uit dit topic en vermeld of ze gewerkt hebben.

Als we in een topic (verschillende)problemen van verschillende users gaan behandelen wordt het een onoverzichtelijk zooitje. :)

zondag 18 juli 2004 20:34

Acties:
  • hufkes
  • Registratie: Maart 2000
  • Laatst online: 01-12 01:14

hufkes

nee, daar staat niet hufter!

Mike Jarod schreef op 18 juli 2004 @ 19:42:
interessante batch file trouwens, wist niet dat dat allemaal kon op die manier :P
wel geinig ja, maar in plaats van die ping naar 1.1.1.1 had hij volgens mij ook best gewoon een pause kunnen gebruiken :P

Bovendien is de loop
code:
1
2
3
4

:one

PING 1.1.1.1 -n 2 -w 1000 >NUL
if not exist backup.hiv goto one
nogal lullig, want wanneer er iets mis gaat met het schrijven van de file in de regel erboven komt hij er natuurlijk nooit meer uit en probeert hij zelfs ook nooit overnieuw te schrijven.

(zelfde natuurlijk met de loops die nog volgen)

[ Voor 5% gewijzigd door hufkes op 18-07-2004 20:35 ]

Onderstaande signature is al >20jr oud ***hoe dan***
---
Het internet is een veelbelovend medium
....dat maar heel weinig van zijn beloftes nakomt.
Wat weg is... raak je nooit meer kwijt :P

zondag 18 juli 2004 21:12

Acties:
  • Mike Jarod
  • Registratie: Januari 2002
  • Niet online

Mike Jarod

@Hypnos:

Mocht bovenstaande methode nou werken (hier blijkbaar wel), wil je 'm dan aub eerst even door http://virusscan.jotti.dhs.org gooien voordat je 'm definitief verwijdert? Zo weten we namelijk ook hoe andere fabrikanten 'm noemen :)

maandag 19 juli 2004 18:02

Acties:

Verwijderd

Topicstarter
Dat hiving dingetje heeft em idd uitgeschakeld, heb toen gereboot, maar voor ik em kon uploaden kreeg ik alweer een waarschuwing van Norton en die heeft em toen automatisch verwijderd. :X
Iedereen hartstikke bedankt!!! _/-\o_ _/-\o_ _/-\o_

[ Voor 3% gewijzigd door Verwijderd op 19-07-2004 18:03 ]

maandag 19 juli 2004 18:06

Acties:

Verwijderd

Norton heeft hem nog in quarantine staan als het goed is..
Dus scannen zou evengoed nog kunnen. :P

Zou wel handig zijn om te weten wat dit nu precies is, your choice iig. :)

dinsdag 20 juli 2004 00:08

Acties:
  • BoGhi
  • Registratie: Juli 2002
  • Laatst online: 21-09 10:42

BoGhi

Volgens mij is dit een CWS variant geweest. Zegt de Jotti-scan daar wel wat van?

Programmers don't die. They GOSUB without RETURN

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq