[malware] Windows XP heel traag, taskmgr gaat niet open e.d. - Privacy en beveiliging

zondag 22 augustus 2004 18:44

Acties:

Topicstarter

hallo,

mijn pc (amd 2400+) is sinds een weekje heel traag geworden.het probleem is echter dat ik de taskmanager niet kan bekijken omdat de pc niet reageert op ctrl alt del of crtl shift esc of taskmgr.exe.
Dus ik kan geen procesinformatie bekijken. Wel blijft het systeem de hele tijd door ratelen. Mijn virusscanner heeft niks gevonden en ook heb ik ad-aware en haijckthis al gedraaid. Het opstarten van winXP is ook heel traag.

Wie kan me helpen?

Bedankt!

check de homepage button> ICT portal: techtuts.host.sk

zondag 22 augustus 2004 18:47

Acties:

Mike Jarod

Klinkt toch best wel fout als je die programma's niet kan starten

Post eens je HT log, zit er helemaal niks tussen wat in jouw ogen verdacht is?

Kijk ook eens bij de event viewer (eventvwr.msc) of je foutmeldingen ziet waar je iets mee kan? Welke virusscanner heb je gebruikt om te scannen?

zondag 22 augustus 2004 18:55

Acties:

saxion

Topicstarter

ook lijkt het systeem soms te bevriezen. heel kort (30sec)
De windows map kan ik ook niet bekijken want dan zit hij heel lang te zoeken en er komt niks op het scherm.....

[ Voor 98% gewijzigd door saxion op 22-08-2004 18:59 ]

check de homepage button> ICT portal: techtuts.host.sk

zondag 22 augustus 2004 18:57

Acties:

saxion

Topicstarter

saxion schreef op 22 augustus 2004 @ 18:55:
ik gebruik norton 2003 en heb online met panda gescanned. Heeft echter niks gevonden. De event viewer heeft ook geen rare fouten ontdekt volgens mij.
Mijn HT log ziet er als volgt uit:

Logfile of HijackThis v1.98.2
Scan saved at 18:55:09, on 08/22/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\RemotelyAnywhere\RaMaint.exe
C:\Program Files\RemotelyAnywhere\RemotelyAnywhere.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\RemotelyAnywhere\RAGui.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Messenger Plus! 3\MsgPlus1.exe
C:\Program Files\Common Files\Logitech\QCDriver\LVCOMS.EXE
C:\HP\KBD\KBD.EXE
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Program Files\ATI Multimedia\RemCtrl\ATIX10.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\mmc.exe
C:\Tuning\Hackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.home.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/MS-Connect/Portal/portal.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1629.0\nl\msntb.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus1.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Common Files\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [RemotelyAnywhere GUI] "C:\Program Files\RemotelyAnywhere\ragui.exe"
O4 - HKCU\..\Run: [Microsoft Works Update Detection] c:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [ATI Remote Control] C:\Program Files\ATI Multimedia\RemCtrl\ATIX10.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus1.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://start.home.nl/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.../MineSweeper.cab28578.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn...rStatsClient.cab28578.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.co...an/2,0,0,4387/mcfscan.cab
O16 - DPF: {EFAEF0E4-F044-4D57-9900-1C3FF18524C9} (AV Class) - http://www.pcpitstop.com/antivirus/PitPav.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn...aireShowdown.cab28578.cab
O20 - AppInit_DLLs: rainit.dll

check de homepage button> ICT portal: techtuts.host.sk

zondag 22 augustus 2004 18:58

Acties:

Mike Jarod

Zet alles eens uit bij msconfig?

Die laatste regel is vermoedelijk niet ok, ik zoek even info

edit: Kijk even hier: [rml]Mike Jarod in "[ Malware] NAV: backdoor.trojan infectie ..."[/rml]

edit2: Oftewel:

http://www.computercops.u...ums&file=download&id=2041 <- klik om een .zip te downloaden

Extract the batch file (hiving.bat) and run it. If you have script blocking enabled you will get a warning. Please allow this to run. The script is just producing a message box. Double click on the batch to run it. After a reboot the super hidden nasty file will no longer be loaded and should be visible.

Restart into Safe mode and find this file:
C:\WINDOWS\System32\JOUWDLLFILE.DLL

Use the security tab on log.dll and take ownership.
Change the 'everyone special' to
'you> with Admin rights-> FULL control
Then try to delete it, if that fails try to rename
it first to different name+ext.
Example:
log.dll>bleh.txt
bleh.txt > badfile.111

Once you have successfully deleted the file restart into Regular Windows mode.

Run HijackThis again and that O20 entry should be gone.

[ Voor 100% gewijzigd door Mike Jarod op 22-08-2004 19:01 ]

zondag 22 augustus 2004 19:01

Acties:

saxion

Topicstarter

Mike Jarod schreef op 22 augustus 2004 @ 18:58:
Zet alles eens uit bij msconfig?

Die laatste regel is vermoedelijk niet ok, ik zoek even info

ik ga nu het systeem opnieuw opstarten met de optie diagnostisch opstarten...

check de homepage button> ICT portal: techtuts.host.sk

zondag 22 augustus 2004 19:01

Acties:

janklp

FortyTwo Capital

Zoiets heb ik ook een keer gehad. Toen heb ik de pc meer even gecleaned en alles was weer okee. Maarja alles eraf halen gaat niet bij iedereen even makkelijk

zondag 22 augustus 2004 19:02

Acties:

elevator

Officieel moto fan :)

Ik ga even je topic verplaatsen naar Beveiliging & Virussen - het lijkt inderdaad wel erg veel op iets 'malicious' :-)

Windows Operating Systems >> Beveiliging & Virussen

zondag 22 augustus 2004 19:05

Acties:

Mike Jarod

saxion,

Als bovenstaande tip nou werkt, maak dan even een reservekopie van die rainit.dll ergens anders op je harde schijf voordat je 'm definief verwijdert. Gooi 'm dan even door http://virusscan.jotti.dhs.org en laat ons even weten welk virus er gevonden wordt

edit:

code:

1	MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Je hebt niet alle updates

Ga dat eens heel snel doen

[ Voor 21% gewijzigd door Mike Jarod op 22-08-2004 19:07 ]

zondag 22 augustus 2004 20:20

Acties:

saxion

Topicstarter

ik kan het bestand rainit.dll niet vinden...jammer genoeg..als ik in de map windows ga zoeken is die heeel lang aan het zoeken...is er een andere manier? ook in veilige modus wil dit niet....
zou het hardware zijn?

check de homepage button> ICT portal: techtuts.host.sk

zondag 22 augustus 2004 20:21

Acties:

Mike Jarod

Heb je wel die file gedownload uit mijn vorige post?

zondag 22 augustus 2004 20:22

Acties:

saxion

Topicstarter

ja gedownload en uitgevoerd...

check de homepage button> ICT portal: techtuts.host.sk

zondag 22 augustus 2004 20:29

Acties:

Mike Jarod

Kan je die file helemaal niet vinden of duurt het gewoon te lang?

Doe anders eens in een dosprompt:

code:

1 2	cd\ dir rainit.dll /s/p/a

zondag 22 augustus 2004 20:34

Acties:

saxion

Topicstarter

het duurt gewoon heel lang en dan blijft de computer maar zoeken...maar er komt niks tevoorschijn. heel gek ik kan wel gewoon C:\windows\system32\rainit.dll laden.. als ik deze locatie intyp in de explorer. Maar kan niet C:\windows\system32 laden want dan blijft deze gewoon de hele tijd zoeken. Ik heb trouwens de file rainit.dll gescanned online en deze is ok....ik heb dat op de manier gedaan dat ik gewoon de juiste locatie in één keer heb in getypt.

check de homepage button> ICT portal: techtuts.host.sk

zondag 22 augustus 2004 20:36

Acties:

saxion

Topicstarter

he ik heb nu rainit.dll gevonden in de map program files\remotely anywhere
moet ik deze ook verwijderen?

check de homepage button> ICT portal: techtuts.host.sk

zondag 22 augustus 2004 20:45

Acties:

Mike Jarod

Hernoem 'm maar. Zou die file nou echt bij Radmin horen en dat ik helemaal verkeerd loop te denken? Zoeken naar die file op Google geeft extreem weinig hits en wat ik vind heeft met malware te maken...

Was er een vooruitgang toen je alles uitzette bij msconfig? Heb je nog bij eventvwr.msc gekeken? Heb je Windows Update nog gedraaid?

zondag 22 augustus 2004 20:55

Acties:

saxion

Topicstarter

ik heb de update gedaan, er zijn geen fouten bijgekomen in de logboeken en op zich werkt het systeem goed als ik ben ingelogd in winxp, maar als ik bv. het configuratescherm open bevriest het systeem even en taskmgr.exe werkt niet....allemaal zulke vage dingentjes...windows mappen kunnen ook niet worden geopend.

check de homepage button> ICT portal: techtuts.host.sk

zondag 22 augustus 2004 21:01

Acties:

Mike Jarod

Je zei in je startpost dat je hd continue ratelde? Is dat nog steeds zo?

http://www.sysinternals.com/ntw2k/utilities.shtml

Hier kan je de tool filemon eens downloaden, geeft aan wat er allemaal gebeurt op je schijf. Waarschijnlijk zal je wel eea moeten filteren omdat er erg veel over je scherm zal vliegen.

Edit: ik zie je nog steeds niet zeggen of alles uitzetten bij msconfig iets hielp en of alles op dit moment nog steeds uitgeschakeld staat

[ Voor 19% gewijzigd door Mike Jarod op 22-08-2004 21:02 ]

zondag 22 augustus 2004 21:07

Acties:

saxion

Topicstarter

ik heb 2 keer alles uitgeschakeld in msconfig...maar dit hielp helaas niet...
de schijf is rustig geworden maar als ik de map windows open blijft deze rattelen. Bij het opstarten van windows lijkt het ook net of windows opstarten bevriest....ik heb met knoppix geprobeerd de windows schijf te benaderen maar deze liep direct helemaal vast.....heel raar!

check de homepage button> ICT portal: techtuts.host.sk

zondag 22 augustus 2004 21:10

Acties:

Mike Jarod

saxion schreef op 22 augustus 2004 @ 21:07:
ik heb met knoppix geprobeerd de windows schijf te benaderen maar deze liep direct helemaal vast.....heel raar!

Goeie zet

Kijk even hier voor test tooltjes: OM FAQ / Beleid

maandag 23 augustus 2004 00:23

Acties:

Pendaco

Vogon Poetry FTW!

Loop d.m.v. onderstaande url alle bestanden/sleutels na die zijn gemarkeerd met een uitroepteken of vraagteken, typ ze in google in en loop de resultaten na.

http://www.hijackthis.de/...7e7f8fee1a2405ad5d89.html

Want ik zie die RemotelyAnywhere er ook constant tussen staan?
zie ook hier
heb je dit programma bewust draaien? Zo niet dan kan iemand opzettelijk misbruik van je pc maken (het wordt nog wel eens door trojaantjes gebruikt als toegangspoort).

edit:
draai ook eens een online virusscan, van Mcafee bijv.

[ Voor 10% gewijzigd door Pendaco op 23-08-2004 00:26 ]

Pagina: 1

Reageer