Toon posts:

Krijg Virus/Spyware MSI332.exe en Runner3.exe er niet af.

Pagina: 1
Acties:

maandag 6 september 2004 15:40

Acties:

Verwijderd

Topicstarter
Sinds een week of iets langer merkte ik dat mijn games lagde. Ik heb toen DU meter geinstalleerd en gekeken of er upload was. Hierna heb ik steeds services gekilled totdat het uploaden ophielt, en kwam ik er achter dat MSI332.exe steeds naar het internet aan het sturen was. Ik heb het register onderzocht en daar de verwijzing verwijderd maar nog steeds start het programma op.

Tot mijn verbazing zette ik mijn computer vandaag op en kwam er dit in beeld:

Afbeeldingslocatie: http://home.planet.nl/~dijkg037/virus1.JPG

Ook zat mijn computer vandaag weer helemaal vol spyware. Ik heb alles al geprobeerd upgedate mcafee virusscanner, online virusscan, alle adware scanners (upgedate). Ook heb ik mijn services bekijken maar daar kon ik ook niet voorkomen dat MSI332.exe altijd meestartte.

Mijn vraag is nu, wat kan ik hiertegen beginnen? Een search op got en google leverde mij niks op behalve een Hijagthis log van iemand op googlegroups. (Waar geen oplossing in vermeld werd).

Edit:

Ik gebruik de windows firewall en ook de firewall van mijn Wl-500.

[ Voor 6% gewijzigd door Verwijderd op 06-09-2004 15:41 ]

maandag 6 september 2004 15:56

Acties:
  • Hans.Solo
  • Registratie: November 2000
  • Laatst online: 17-11 16:46

Hans.Solo

Tank n00bje :P

Booten in safe mode, HiJackthis draaien en alles wat je niet bekend voorkomt killen, post anders het log hiero ff, Spybot draaien, Ad-Aware draaien en alles killen wattie vind.

Zonodig herhalen :)

99 bugs in the code , 99 bugs in the code
Take on down and patch it up...
117 bugs in the code.

maandag 6 september 2004 15:59

Acties:
  • Cool_Willy
  • Registratie: November 2001
  • Laatst online: 17-11-2012

Cool_Willy

Googlen op msi332.exe levert idd niet zoveel op, behalve veel logs en vragen van mensen wat het voor executable is (kijk eens bij de eigenschappen ervan).
Verder wil ik je HT log wel ff zien, misschien staat er nog meer troep in.
Ik neem aan dat je Win XP draait en alles geüpdate hebt, zo niet, dan zou ik dat eerst maar ff gaan doen.
Daarnaast zijn er nog wel meer anti-spywaretools die je op je pc kunt loslaten (zie de FAQ daarvoor).

Hoi neefje :)

maandag 6 september 2004 16:31

Acties:

Verwijderd

Kun je die MSI332.exe eens door je Jotti Scan gooien?
http://virusscan.jotti.dhs.org/

Misschien levert het extra info op.

maandag 6 september 2004 16:31

Acties:

Verwijderd

Topicstarter
Bedankt voor alle reacties. Ik heb even Hijackthis weer gedraaid om hier te posten (alle register verwijzingen die ik had verwijderd zijn weer terug, maar safe mode had ik nog niet geprobeerd zal ik even doen).

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58

Logfile of HijackThis v1.98.2
Scan saved at 16:28:47, on 6-9-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Program Files\D-Tools\daemon.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
c:\program files\mcafee.com\agent\mcagent.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Program Files\Messenger\msmsgs.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\MAURIT~1\LOCALS~1\Temp\Rar$EX00.172\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.tweakers.net/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - E:\PROGRA~1\FlashFXP\IEFlash.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [WindowsRegKey%$ update] msi332.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [WindowsRegKey%$ update] msi332.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WindowsRegKey%$ update] msi332.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab


Lol Coolwilly dat je me net op got moet zien als een noob met spyware op z'n computer :P

maandag 6 september 2004 16:39

Acties:

Verwijderd

Het gaat dus om de volgende regels:
code:
1

51 O4 - HKLM\..\Run: [WindowsRegKey%$ update] msi332.exe
en
code:
1

53 O4 - HKLM\..\RunServices: [WindowsRegKey%$ update] msi332.exe
en
code:
1

57 O4 - HKCU\..\Run: [WindowsRegKey%$ update] msi332.exe

Denk erom, dat je deze regels niet verwijderd, vóórdat je weet wat ze doen.
Je zou eens met een onbruikbaar systeem komen te zitten ;)

Eerst kijken met de Jotti scan (zie vorige post).

maandag 6 september 2004 16:45

Acties:
  • Hans.Solo
  • Registratie: November 2000
  • Laatst online: 17-11 16:46

Hans.Solo

Tank n00bje :P

Regel 38,39,41? WTF zijn dat??

edit:
Stuff die door ^^^ al gespot waren

[ Voor 52% gewijzigd door Hans.Solo op 06-09-2004 16:46 ]

99 bugs in the code , 99 bugs in the code
Take on down and patch it up...
117 bugs in the code.

maandag 6 september 2004 16:51

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 06 september 2004 @ 16:39:


Eerst kijken met de Jotti scan (zie vorige post).
Het enige bestand op mijn computer is MSI332.EXE-0404E54A.pf en daar geeft ie niks over aan. Ik denk dat het virus een andere naam als bestandsnaam heeft. Dat de service op google nauwelijks hits geeft is voor mij al genoeg om het gewoon af te stempelen als niet zinvol. Maar eraf krijg ik het dus nog niet.

maandag 6 september 2004 16:56

Acties:

Verwijderd

Regels 38, 39 en 41 worden ook al genoemd i.v.m. spy- en adware.
Zie hier bijvoorbeeld.
Verwijderd schreef op 06 september 2004 @ 16:51:
[...]


Het enige bestand op mijn computer is MSI332.EXE-0404E54A.pf en daar geeft ie niks over aan. Ik denk dat het virus een andere naam als bestandsnaam heeft. Dat de service op google nauwelijks hits geeft is voor mij al genoeg om het gewoon af te stempelen als niet zinvol. Maar eraf krijg ik het dus nog niet.
Dat bestand heeft dus een dubbele extensie, per definitie virale activiteiten dus :)

[ Voor 63% gewijzigd door Verwijderd op 06-09-2004 16:58 ]

donderdag 9 september 2004 20:20

Acties:

Verwijderd

Topicstarter
Om toch nog even de afloop van het topic aan te geven. Helaas konden de tips hierboven me niet helpen het virus eraf te krijgen, totdat ik vandaag mijn computer opstartte en dit scherm kreeg:

Afbeeldingslocatie: http://home.planet.nl/~dijkg037/msii.JPG


Het virus was bijzonder lastig van m'n computer af te krijgen en meerdere online scans hebben ook niet geholpen. Ik neem aan dat de updates vandaag dit verholpen hebben, anders weet ik ook niet precies waarom nu ineens het wel lukt.

donderdag 9 september 2004 22:23

Acties:

Verwijderd

Verwijderd schreef op 09 september 2004 @ 20:20:
Het virus was bijzonder lastig van m'n computer af te krijgen en meerdere online scans hebben ook niet geholpen. Ik neem aan dat de updates vandaag dit verholpen hebben, anders weet ik ook niet precies waarom nu ineens het wel lukt.
Mja online scanners...ik ben er geen fan van.
Locaal - met systemrechten - scannen is sowieso een stuk betrouwbaarder.
Gisteren was het woendag - goh :P - en dus heeft mcafee toen nieuwe virusdefs uitgebracht, waardoor mcafee nu eindelijk wél de betreffende files detecteerde.. :)

donderdag 9 september 2004 22:30

Acties:
  • Occy74
  • Registratie: September 2000
  • Laatst online: 16-11 19:01

Occy74

Verwijderd schreef op 06 september 2004 @ 16:56:
Regels 38, 39 en 41 worden ook al genoemd i.v.m. spy- en adware.
Zie hier bijvoorbeeld.

[...]

Dat bestand heeft dus een dubbele extensie, per definitie virale activiteiten dus :)
Niet dus, dit bestand is door windows zelf aangemaakt en heeft betrekking tot het prefetch (vandaar de extensie .pf) om ervoor te zorgen dat het de volgende keer sneller opstart.
Kijk maar eens in je C:\WINDOWS\Prefetch dan zul je zien dat jij er heel wat "virussen" op hebt staan.. :)

Heb vandaag ook een pc moeten cleanen met die Sdbot.
Kijk hier maar even.

Systeem Specs

vrijdag 10 september 2004 00:22

Acties:

Verwijderd

Ik wilde net kijken in die map "prefetch", blijkt dat ie helemaal weg is :?

Iets nieuws van SP2 zeker ;)

vrijdag 10 september 2004 00:25

Acties:
  • blackd
  • Registratie: Februari 2001
  • Niet online

blackd

Verwijderd schreef op 10 september 2004 @ 00:22:
Ik wilde net kijken in die map "prefetch", blijkt dat ie helemaal weg is :?
Iets nieuws van SP2 zeker ;)
Nee hoor, dat zat er al in.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq