Toon posts:

Geen internet, veel upload verkeer.

Pagina: 1
Acties:

donderdag 16 september 2004 20:52

Acties:
  • Honnes
  • Registratie: December 2003
  • Laatst online: 16-11 23:03

Honnes

Topicstarter
Ik heb sinds paar dagen geleden problemen met mijn netwerkkaarten. Het probleem is als volgt:

- Zodra ik de pc aan doe geeft mijn upload/download meter aan dat ik rond de 200 kB/s upload (waarheen zou ik niet weten) en de download is 0,6 kB/s. Het internetten wil dan helemaal niet en het vreet veel van mijn cpu.

Wanneer ik de netwerk kaart uitschakel, dan gaat de hoge upload weg en is het cpu gebruik weer op normaal niveau.

Ik heb het ook geprobeerd op mijn andere netwerkkaart die in dezelfde pc zit en dat hielp ook niet, probleem is er nog steeds.

Op het moment heb ik mijn internet op een 2e pc van ons aangesloten en daar werkt alles vlekkeloos. Hierbij constateer ik dus dat het probleem niet aan internet ligt, maar ergens op of in mijn computer.

Het gewone netwerk werkt nog wel op beide kaarten, dus de kaarten zijn ook niet stuk of iets dergelijks.

Wel heb ik gescanned met Ad-Ware, Spybot Search and Destroy en MCAfee virusscan. Er waren enkele spyware dingen aanwezig die ik heb weg gehaald en er zit geen enkel virus op de pc.

Hieronder enkele computer gegevens die mischien van belang kunnen zijn:

Win XP Pro SP1
MCAfee virusscanner + firewall
2 Netwerkkaarten (10 Mbit en 1000 Mbit)

verder denk ik dat de snelheid etc. niet van belang is.

Internet: Chello (Plus)


Mijn vraag is nu hoe ik dit kan oplossen zonder mijn pc te hoeven formateren.

Alle hulp is welkom, alvast bedankt.

groeten,

Honnes

[ Voor 10% gewijzigd door Honnes op 16-09-2004 20:54 ]

donderdag 16 september 2004 20:53

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Ik zou eens gaan kijken met een sniffer zoals Ethereal wát voor verkeer je PC allemaal genereerd..

donderdag 16 september 2004 21:00

Acties:
  • Mr.Nobody
  • Registratie: Oktober 2001
  • Niet online

Mr.Nobody

post je hiaakthis log eens

http://mjc1.com/mirror/hjt/

Opensource delphi componenten (http://www.delphi-jedi.org)

donderdag 16 september 2004 21:19

Acties:

Verwijderd

post eens een netstat -a

donderdag 16 september 2004 21:22

Acties:
  • Honnes
  • Registratie: December 2003
  • Laatst online: 16-11 23:03

Honnes

Topicstarter
Ik heb nu net Ethereal even aangezet en heb hijackThis ook gedraaid.

Bij Ethereal krijg ik steeds deze lijnen die terug komen

Destination: ongeveer om en om is het --> 216.92.55.164 62.3.114.233
Info: 4507 > http [SYN] Seq=0 Ack=0 Win=64240 Len=0 MSS=1460

Het getal 4507 is steeds iets anders in de 4000 reeks. Ik denk dat dat het poort zal zijn.

---------

Hieronder het HijackThis log.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75

Logfile of HijackThis v1.97.7
Scan saved at 21:14:12, on 16-9-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
D:\Program Files\Logitech\iTouch\iTouch.exe
D:\Program Files\Logitech\MouseWare\system\em_exec.exe
D:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\system\csrss.exe
D:\Program Files\CursorXP\CursorXP.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
D:\Program Files\WinBar\WinBar.exe
d:\progra~1\winamp\winamp.exe
D:\Program Files\Ahead\Nero StartSmart\NeroStartSmart.exe
D:\Program Files\Ahead\nero\nero.exe
C:\Program Files\Ethereal\ethereal.exe
E:\Downloads\Apps\HijackThis - spyware -\HijackThis.exe
C:\PROGRA~1\mcafee.com\agent\mcupdate.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - D:\Program Files\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - D:\Program Files\DAP\DAPIEBar.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "D:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MPFTray] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [.TEXTCONV] C:\WINDOWS\system\csrss.exe
O4 - HKLM\..\RunServices: [Windows Explorer] explorer.exe
O4 - HKCU\..\Run: [CursorXP] D:\Program Files\CursorXP\CursorXP.exe
O4 - Startup: WinBar.lnk = D:\Program Files\WinBar\WinBar.exe
O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download Using &BitSpirit - D:\Program Files\BitSpirit\bsurl.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Onderzoek (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DAD15CC-53BC-4D6A-9634-4568FF878D0B}: NameServer = 212.142.28.66,212.142.28.130
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B60FB67-9089-454D-A22A-70BA9E5908D6}: NameServer = 212.142.28.66,212.142.28.130
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DAD15CC-53BC-4D6A-9634-4568FF878D0B}: NameServer = 212.142.28.66,212.142.28.130
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DAD15CC-53BC-4D6A-9634-4568FF878D0B}: NameServer = 212.142.28.66,212.142.28.130

donderdag 16 september 2004 21:27

Acties:

Verwijderd

O4 - HKLM\..\Run: [.TEXTCONV] C:\WINDOWS\system\csrss.exe
O4 - HKLM\..\RunServices: [Windows Explorer] explorer.exe
Scan die eens @ link in mijn sig - let op dat je de juiste file pakt, je zal er van elk twee moeten hebben.
100% zeker malware.

donderdag 16 september 2004 21:27

Acties:
  • Honnes
  • Registratie: December 2003
  • Laatst online: 16-11 23:03

Honnes

Topicstarter
Netstat -a post:

Afbeeldingslocatie: http://members.chello.nl/~a.vanmeekeren/1.JPG

donderdag 16 september 2004 21:30

Acties:
  • RSpliet
  • Registratie: Juni 2003
  • Laatst online: 27-11 15:44

RSpliet

*blink*

Het kan aan mij liggen hoor, maar wat is D:\Program Files\WinBar\WinBar.exe ? Google zegt dat t een trojan is... lijkt mij meer op Spyware, doet er verder niet toe, klinkt nl. nutteloos :).

Schrap dit, ik ben gewoon te paranoid als ik dat op google tegenkom :p

\/\/ Ja, klopt ja, zie ik ook net :p \/\/

[ Voor 26% gewijzigd door RSpliet op 16-09-2004 21:33 ]

Schaadt het niet, dan baat het niet

donderdag 16 september 2004 21:31

Acties:
  • Br@m
  • Registratie: Juli 2001
  • Niet online

Br@m

Seven of Nine schreef op 16 september 2004 @ 21:30:
Het kan aan mij liggen hoor, maar wat is D:\Program Files\WinBar\WinBar.exe ? Google zegt dat t een trojan is... lijkt mij meer op Spyware, doet er verder niet toe, klinkt nl. nutteloos :).
Winbar is Oké. Is een extra balk met info enzo.

Garmin NUVI 300 - ACER Aspire 5102WLMi

donderdag 16 september 2004 21:32

Acties:
  • japaveh
  • Registratie: Maart 2003
  • Laatst online: 07:38

japaveh

Jield BV

Seven of Nine schreef op 16 september 2004 @ 21:30:
Het kan aan mij liggen hoor, maar wat is D:\Program Files\WinBar\WinBar.exe ? Google zegt dat t een trojan is... lijkt mij meer op Spyware, doet er verder niet toe, klinkt nl. nutteloos :).

Schrap dit, ik ben gewoon te paranoid als ik dat op google tegenkom :p
Winbar is toch gewoon een veelgebruikt programma om info over de pc te tonen als extra balk op je scherm? Of moet dat ook tot spyware gerekend worden?

edit: spuit 1+10

Solo Database: Online electronic logbook and database system for research applications

donderdag 16 september 2004 21:38

Acties:

Verwijderd

Network Troubleshooting -> Beveiliging & Virussen

donderdag 16 september 2004 21:39

Acties:
  • Mr.Nobody
  • Registratie: Oktober 2001
  • Niet online

Mr.Nobody

C:\WINDOWS\system\csrss.exe die hoort in system32 :?

Opensource delphi componenten (http://www.delphi-jedi.org)

donderdag 16 september 2004 21:42

Acties:

Verwijderd

Mr.Nobody schreef op 16 september 2004 @ 21:39:
C:\WINDOWS\system\csrss.exe die hoort in system32 :?
Dat klopt, zoals ik al had aangegeven zijn die explorer.exe en csrss.exe entries niet ok. :)

donderdag 16 september 2004 22:03

Acties:
  • Honnes
  • Registratie: December 2003
  • Laatst online: 16-11 23:03

Honnes

Topicstarter
Probleem opgelost. Allemaal nog bedankt :Y) . Topic kan gesloten worden als het aan mij ligt.

donderdag 16 september 2004 22:07

Acties:

Verwijderd

Ehm, zou je ook nog willen delen hoe je het probleem opgelost hebt?
Als de malware via een exploit binnengekomen is, zit je binnen nu en niet al te lange tijd met hetzelfde probleem, dus om direct te zeggen dat alles opgelost is...twijfelachtig.

vrijdag 17 september 2004 11:33

Acties:
  • Honnes
  • Registratie: December 2003
  • Laatst online: 16-11 23:03

Honnes

Topicstarter
Ik heb die 2 waarden die van het HijackThis log niet goed waren gefixed en tot heden toe loopt alles nog prima.

Ik zou niet weten of het via een exploit is binnengekomen. Ik weet ook niet helemaal wat een exploit is, maar volgens mij moet dat een uitgevoerd script zijn die acties onderneemt.

vrijdag 17 september 2004 12:12

Acties:

Verwijderd

Honnes schreef op 17 september 2004 @ 11:33:
Ik heb die 2 waarden die van het HijackThis log niet goed waren gefixed en tot heden toe loopt alles nog prima.
Je weet nog niet eens wát het is.
Niet bijster verstandig eigenlijk.
Je hebt het gevolg nu (hopelijk) opgelost, maar van de oorzaak en wat gevolg precies deed, weet je niets.
Als je gebruik wordt als warezbak, dan kun je er redelijk zeker van zijn dat er nog wel iets opstaat dat HT niet ziet en dan heb je binnen nu en no time weer hetzelfde probleem.
Ik zou niet weten of het via een exploit is binnengekomen. Ik weet ook niet helemaal wat een exploit is, maar volgens mij moet dat een uitgevoerd script zijn die acties onderneemt.
Wat een exploit is kun je makkelijk opzoeken, maar het is niet wat jij denkt dat het is. ;)

vrijdag 24 september 2004 20:43

Acties:
  • Honnes
  • Registratie: December 2003
  • Laatst online: 16-11 23:03

Honnes

Topicstarter
Ik was een paar dagen even afwezig en lees dit nu net en inmiddels zitten, zoals je al zei, de 2 bestanden alweer op mijn computer.

namelijk de /system/crss.exe en de Runsevice [explorer.exe].

Ik heb weer met Ad-ware gescanned, maar desondanks vind ie iets wat slecht schijnt te zijn.

Ik heb wat meer informatie erover opgezocht en ben er achter dat die crss.exe onderdeel is van vele keyloggers en/of remote controls.

vrijdag 24 september 2004 22:49

Acties:
  • DeMoN
  • Registratie: Maart 2001
  • Laatst online: 28-11 19:51

DeMoN

Pastafari

Honnes schreef op 24 september 2004 @ 20:43:
Ik was een paar dagen even afwezig en lees dit nu net en inmiddels zitten, zoals je al zei, de 2 bestanden alweer op mijn computer.

namelijk de /system/crss.exe en de Runsevice [explorer.exe].

Ik heb weer met Ad-ware gescanned, maar desondanks vind ie iets wat slecht schijnt te zijn.

Ik heb wat meer informatie erover opgezocht en ben er achter dat die crss.exe onderdeel is van vele keyloggers en/of remote controls.
Ik heb laatst toevallig een keylogger 'getest' ;) En idd, csrss.exe werd toen ook gebruikt :)
Wat ik wil weten --> is jouw windows bak helemaal up to date?

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

zaterdag 25 september 2004 11:46

Acties:
  • Honnes
  • Registratie: December 2003
  • Laatst online: 16-11 23:03

Honnes

Topicstarter
Ik heb, mischien dat je dat gelezen hebt al, Windows XP met Sevice Pack 1. Ik heb vaak windows update gebruikt en zal dat zodadelijk weer even doen (bedankt dat je mij er aan herinnerd!)

Ik heb MCAfee als virusscan en firewall, die draaien regelmatig hun autoupdates.

Verder gebruik ik FireFox als internet browser, want die schijnt beter (?) beveiligd te zijn dan de MS Internet Explorer.

Ik zal mischien toch maar Service Pack 2 moeten installeren, al hoewel velen er problemen mee hebben met hun programma's, maar ik kan het beter zelf proberen denk ik.

Ik heb nu alweer een spyware killer erbij en heb gister met alles gescanned. (Ad-ware, Spybot S&D en SpyHunter (die laatste vond ook nog een paar onbekende dingen))

Ik weet niet wat ik verder nog moet doen om het van mijn pc af te krijgen.

Mijn upload is nu trouwens niet rond de 100 kB/s, zoals eerst het geval was, maar nu altijd rond de 10 kB/s. (de statistieken van het netwerk worden niet opgenomen)

Hieronder weer even een nieuw hijackthis log (waar ik een * achter zet vertrouw ik zelf niet helemaal)

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88

Logfile of HijackThis v1.97.7
Scan saved at 11:33:12, on 25-9-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
D:\Program Files\Logitech\iTouch\iTouch.exe
D:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\explorer.exe
D:\Program Files\CursorXP\CursorXP.exe
C:\program files\micore\runc.exe
C:\Apache\Apache2\bin\ApacheMonitor.exe
D:\Program Files\FlashFXP\flashfxp.exe
D:\Program Files\WinBar\WinBar.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
D:\Program Files\FlashFXP\flashfxp.exe
D:\Program Files\FlashFXP\flashfxp.exe
D:\Program Files\FireFox\firefox.exe
C:\program files\micore\micore.exe
D:\Program Files\FlashFXP\flashfxp.exe
D:\Program Files\FlashFXP\flashfxp.exe
E:\Downloads\apps\HijackThis - spyware -\HijackThis.exe
C:\PROGRA~1\mcafee.com\agent\mcupdate.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "D:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MPFTray] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AtiPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Windows Explorer] explorer.exe              ----?
O4 - HKLM\..\RunServices: [Windows Explorer] explorer.exe     *
O4 - HKCU\..\Run: [CursorXP] D:\Program Files\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [micore] \program files\micore\runc.exe           *
O4 - HKCU\..\Run: [Windows Explorer] explorer.exe             ----?
O4 - Startup: WinBar.lnk = D:\Program Files\WinBar\WinBar.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download Using &BitSpirit - D:\Program Files\BitSpirit\bsurl.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Onderzoek (HKLM)
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DAD15CC-53BC-4D6A-9634-4568FF878D0B}: Domain = chello.nl
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DAD15CC-53BC-4D6A-9634-4568FF878D0B}: NameServer = 212.142.28.66,212.142.28.130
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B60FB67-9089-454D-A22A-70BA9E5908D6}: Domain = chello.nl
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B60FB67-9089-454D-A22A-70BA9E5908D6}: NameServer = 212.142.28.66,212.142.28.130
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DAD15CC-53BC-4D6A-9634-4568FF878D0B}: Domain = chello.nl
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DAD15CC-53BC-4D6A-9634-4568FF878D0B}: NameServer = 212.142.28.66,212.142.28.130
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DAD15CC-53BC-4D6A-9634-4568FF878D0B}: Domain = chello.nl
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DAD15CC-53BC-4D6A-9634-4568FF878D0B}: NameServer = 212.142.28.66,212.142.28.130


runc.exe vertrouw ik dus niet, die Runservice [explorer.exe] kan ik ook wel 100x weghalen, maar die komt bij elke reboot weer terug.

Wat ook zeer vreemd is, en volgens mij niet zo hoord is waar ik ----? achter heb gezet. Hij wil 2x RUN [Windows Explorer] doen en 1 van de 2 lijkt mij ook overbodig of heb ik het nu mis?

Ik zou zelf niet meer weten wat ik nog moet weghalen sinds het allemaal zo bekend lijkt. die 2 van RUN [windows explorer] moet iig 1 van weg denk ik, maar welke.

Ik zie bij de running processes namelijk 1 in C:\WINDOWS\System32\explorer.exe staan en 1 in C:\WINDOWS\explorer.exe. Welke is nu de echte en welke kan in hijackthis weg ? Als ik 1 van beide wis, dan komt er in hijackthis wel 'missing file' bij te staan geloof ik.

Wat mischien, naar mijn weten, nog wel weg kan zijn die 2 toolbar gevallen en die DPF dingen ?

Als ik bij msconfig even kijk welke processen worden gestart bij boot van OS, dan zie ik 3x EXPLORER staan. Heb ze alle 3 weg gehaald, want normaal staat zoiets niet in opstartprocessen, maar eerder bij Services, toch ?

Ik zie ook 2 running processes van explorer.

Ik zie op andere forums staan dat de echte c:\windows\system32\explorer.exe is en c:\windows\explorer.exe nep is. Nu weet ik het ook niet meer.

Als ik explorer start, dan vreet mijn CPU ook weg en kan niks meer, hij slaat standaard al 30% aan wat ook niet klopt.

Ik denk dat de system32/explorer.exe fout is, want op mijn andere pc staat die in %systemroot%/explorer.exe

O4 - HKCU\..\Run: [Windows Explorer] explorer.exe heb ik gefixed, deze is namelijk HKCU en dat is, net zoals cursorXP, een opstart geval en de andere explorer is HKLM. (HKCU = HKEY_Current_User en die LM = Local_machine), vandaar mijn conclusie.

RUNC heb ik geuninstalleerd, scheen iets te zijn wat met software mee ging en kon je uninstalleren.

Zoals het nu lijkt, schijnt alles stabiel te zijn weer, maar hieronder even een frisse log nadat ik reboot had.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71

Logfile of HijackThis v1.97.7
Scan saved at 12:50:15, on 25-9-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
c:\program files\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
D:\Program Files\Logitech\iTouch\iTouch.exe
D:\Program Files\Messenger Plus! 3\MsgPlus.exe
D:\Program Files\CursorXP\CursorXP.exe
D:\Program Files\WinBar\WinBar.exe
D:\Program Files\FlashFXP\flashfxp.exe
D:\Program Files\FlashFXP\flashfxp.exe
D:\Program Files\FlashFXP\flashfxp.exe
D:\Program Files\FlashFXP\flashfxp.exe
C:\WINDOWS\explorer.exe
D:\Program Files\Winamp\winamp.exe
D:\Program Files\FireFox\firefox.exe
C:\WINDOWS\regedit.exe
E:\Downloads\Apps\HijackThis - spyware -\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\PROGRA~1\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [Jet Detection] "D:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MPFTray] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AtiPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [CursorXP] D:\Program Files\CursorXP\CursorXP.exe
O4 - Startup: WinBar.lnk = D:\Program Files\WinBar\WinBar.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download Using &BitSpirit - D:\Program Files\BitSpirit\bsurl.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Onderzoek (HKLM)
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DAD15CC-53BC-4D6A-9634-4568FF878D0B}: Domain = chello.nl
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DAD15CC-53BC-4D6A-9634-4568FF878D0B}: NameServer = 212.142.28.66,212.142.28.130
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B60FB67-9089-454D-A22A-70BA9E5908D6}: Domain = chello.nl
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B60FB67-9089-454D-A22A-70BA9E5908D6}: NameServer = 212.142.28.66,212.142.28.130
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DAD15CC-53BC-4D6A-9634-4568FF878D0B}: Domain = chello.nl
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DAD15CC-53BC-4D6A-9634-4568FF878D0B}: NameServer = 212.142.28.66,212.142.28.130
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DAD15CC-53BC-4D6A-9634-4568FF878D0B}: Domain = chello.nl
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DAD15CC-53BC-4D6A-9634-4568FF878D0B}: NameServer = 212.142.28.66,212.142.28.130


Ziet iemand hier nog fouten in en/of weet iemand wat ik nu eigenlijks op mijn pc had, want het waren denk ik meerdere. Zelf kom ik op veel varianten uit, maar wat die explorer.exe nou deed weet ik zelf nog niet.

alvast bedankt voor de hulp.

[ Voor 50% gewijzigd door Honnes op 25-09-2004 12:51 ]

zaterdag 25 september 2004 20:17

Acties:

Verwijderd

O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode <--

die rundll32.exe zou ik ook even door een virusscanner halen, volgens mij is die ook niet helemaal jofel

zaterdag 25 september 2004 20:20

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

RUNDLL32.EXE is van Windows zelf, en die .DLL is van een Promise-adapter.

Virussen? Scan ze hier!

zaterdag 25 september 2004 22:20

Acties:
  • Honnes
  • Registratie: December 2003
  • Laatst online: 16-11 23:03

Honnes

Topicstarter
wildhagen schreef op 25 september 2004 @ 20:20:
RUNDLL32.EXE is van Windows zelf, en die .DLL is van een Promise-adapter.
Ja klopt, maar ik heb nog wel even virus gescand en niets gevonden. ps: heb ook een promise-controller draaien, dus dat zit ook wel goed.

Iemand die weet wat er nu de oorzaak zou kunnen zijn of wat ik nu op mijn pc had? Ik heb nergens meer last van momenteel, maar wet de oorzaak niet eens van wat voor soort of welke spyware etc. het was.

Wel kwam ik vanmiddag iets tegen wat ik nog niet gezien had. Er stond ineens een mapje in C:\ die !Submit of Submit! heette (weet het zo niet meer), maar in ieder geval, die was hidden en er stond het bestand Explorer.exe in, oftewel de boosdoener die zichzelf steeds naar System32 kopieerde denk ik.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq