[exe virus]Programma's geven ongeldige bewerking - Privacy en beveiliging

maandag 27 september 2004 11:05

Acties:

Angry Rabbit

Topicstarter

Bij het opstarten van programma's op mijn notebook(WindowsXP sp1) krijg ik binnen 1 seconden een 'ongeldige bewerking' en wordt het programma afgesloten.
WMP9.0 had als eerste dit probleem, nu geven ook andere programma's zoals notepad,Word XP en BsPlayer deze fouten.
Grote kans dat dit een virus is natuurlijk.

Mijn eigen virusscanner NAV2004 geeft bij virusdefinities aan "bezig met bijwerken",ik zie niet mijn laatste reference file datum.

Een intelligent Update geeft een ongeldige bewerking.
Bij het opstarten van de notebook krijg ik de melding dat mijn tijdsinstellingen niet goed staan,deze staan op 1684.

Ad-Aware 6 kan geen spyware vinden.
Hijackthis file door http://virusscan.jotti.dhs.org/ gehaald--> niks gevonden.
Stinger van McAffee geprobeerd. Deze geeft een ongeldige bewerking vlak na het opstarten, ook in veilige modus.
Kaspersky(trial) gedownload deze kan niks vinden.
http://www.pestscan.com/Scan.asp (online) gedraaid, niks gevonden.
McAffee online virusscanner gedraaid, niks gevonden.

In de FAQ worden een aantal registrykeys genoemd die veranderd zijn bij een mogelijk virus die .exe aantasten.Deze keys staan bij mij nog goed.

Iemand nog een idee voor ik mijn WindowsXP cd uit de kast pak voor een format?

code:

Logfile of HijackThis v1.97.7
Scan saved at 10:25:18, on 2-1-1601
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\toolz\appz\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINDOWS\System32\carpserv.exe
D:\toolz\appz\NORTON~1\NORTON~2\NPROTECT.EXE
C:\Program Files\Apoint\Apoint.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\WINDOWS\System32\rmctrl.exe
D:\toolz\D-Tools\daemon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Apoint\Apntex.exe
D:\toolz\appz\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Messenger\msmsgs.exe
D:\toolz\appz\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\toolz\appz\acrobat\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\toolz\appz\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\toolz\appz\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\toolz\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38136.2006018519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Ik kan er eigenlijk niks verdachts in vinden

[KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Deze is bij nader inzien wel verdacht?

[ Voor 70% gewijzigd door KingCrash op 27-09-2004 11:54 ]

Angry Rabbit

maandag 27 september 2004 11:26

Acties:

Verwijderd

Hijackthis file door http://virusscan.jotti.dhs.org/ gehaald--> niks gevonden.

Een HT log bevat niets meer dan een stel vermeldingen van programma's, het door een AV scanner heenhalen heeft dan ook weinig tot geen nut.

Post je HT log eens tussen [code] tags en geef aan welke entries je verdacht vindt.

Aan je verhaal te horen gebeurt het niet bij alle exefiles, tenzij we voor de verandering eens met een echt/traditioneel virus te maken hebben, betwijfel ik eigenlijk of het een malware-issue is.

maandag 27 september 2004 12:32

Acties:

Pendaco

Vogon Poetry FTW!

draai je een draadloos netwerk toevallig?

zo niet dan zijn onderstaande files verdacht;

code:

1 2	C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe

zie ook Hier

behalve deze 2 zie ik niets vreemds

die [kernell fault check] kan er volgens mij gewoon uit, niets gevaarlijks iig

maandag 27 september 2004 12:51

Acties:

chromeeh

the Gnome

Ik heb hier ook mijn twijfels bij:

code:

1	O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

"Some day, I hope to find the nuggets on a chicken."

maandag 27 september 2004 12:52

Acties:

wildhagen

Blablabla

NWIZ.EXE is van Nvidia, is OK. Zie http://www.liutilities.co...spro/processlibrary/nwiz/

Virussen? Scan ze hier!

maandag 27 september 2004 13:21

Acties:

KingCrash

Angry Rabbit

Topicstarter

draai je een draadloos netwerk toevallig?

Idd, ik werk wireless

NWIZ.EXE is van Nvidia

klopt ook, zit een nvidia kaartje in men notebook

Wat je altijd kan doen is een superdat van mcAfee downloaden en die uitpakken met de optie /e
dan krijg je een scanpm.exe bestand en die geef je de parameter /adl /all /sub /clean

Geeft niks gevonden.

Ik krijg het id dat er een fout zit in Explorer.exe. Programma's die dit gebruiken lopen vast lijkt wel

[ Voor 50% gewijzigd door KingCrash op 27-09-2004 15:09 ]

Angry Rabbit

maandag 27 september 2004 13:24

Acties:

vliegjong

Bump!

Wat je altijd kan doen is een superdat van mcAfee downloaden en die uitpakken met de optie /e
dan krijg je een scanpm.exe bestand en die geef je de parameter /adl /all /sub /clean

Ik ben een Nerd, jij ook? Dan zijn er namelijk 10 toffe mensen :)