Toon posts:

[Malware] Trojan.QHosts

Pagina: 1
Acties:

dinsdag 5 oktober 2004 00:31

Acties:

Verwijderd

Topicstarter
Ik heb het volgende probleem. Ik ben momenteel een pc aan het reparen, WinXP met SP2. Hierop draai Norton Antivirus 2003. Norton Antivirus is volledig up-to-date, ook een update gedaan van LiveUpdate. Maar ik krijg continue het schermpje "Norton Antivirus has detected and removed a virus from your computer" Het gaat dan om het virus "Trojan.Qhosts" in de directory C:\windows\system32\drivers\etc\hosts.

De virusscanner ziet hem dus wel maar elke keer als ik opnieuw opstart komt de melding weer, en soms ook ondertussen. Ik heb al de removetool van Symantec geprobeert maar dat hielp ook niks, AdAware SE volledig up-to-date vind ook niks, HIJACK This geprobeert maar hielp ook nix.

Ik zit nogal met de handen in het haar want ik ben door mn oplossingen heen.

Iemand nog suggesties? formateren is niet echt een oplossing in dit geval :(

bvd

Henro

dinsdag 5 oktober 2004 00:34

Acties:

Verwijderd

Trojan.QHosts, meestal 'sideproduct' van bijv. Agobots, daar is NAV niet zo sterk mee.
HT logs kunnen beter door een aantal lui beoordeeld worden, misschien heb je iets gemist. :)

dinsdag 5 oktober 2004 10:12

Acties:

Verwijderd

Topicstarter
even een noob opmerking maar wat zijn HT Logs?

dinsdag 5 oktober 2004 10:15

Acties:
  • SysRq
  • Registratie: December 2001
  • Laatst online: 07:40

SysRq

Verwijderd schreef op 05 oktober 2004 @ 10:12:
even een noob opmerking maar wat zijn HT Logs?
HIJACK This logs? :)

-

dinsdag 5 oktober 2004 10:27

Acties:

Verwijderd

Ik heb precies hetzelfde probleem. Ik heb zowel de removal tool als de handmatige verwijderings instructies van Symantec gevolgd. De scan ziet m niet, en toch krijg ik iedere keer weer de melding dat 'Auto-protect' het virus heeft gedetecteerd en uiteindelijk gedelete. Bijzonder irritant omdat je het bericht 3 of 4 keer weg moet klikken. Bij Symantec kunnen ze me niet verder helpen, die verwijzen steeds door naar hun removal tool en instructies.

Henro - weet jij nu al de oplossing?
Alvast bedankt

dinsdag 5 oktober 2004 11:36

Acties:

Verwijderd

Topicstarter
hey Nico7,

Ik heb dus éxact hetzelfde probleem. Elke keer als ik opnieuw opstart krijg ik weer de melding dat het virus is gevonden en verwijdert. Soms ook als ik de pc langere tijd aan heb staan.

Ik heb ook al full system scan gedaan, ook in veilige modus. AdAware SE gedraait, removal tool. Maar nog geen succes

Ik gebruik Nav 2003, weet iemand misschien of NAV 2004 een oplossing biedt?

Henro

dinsdag 5 oktober 2004 11:39

Acties:

Verwijderd

Nee, NAV2004 zal waarschijnlijk geen oplossing bieden, zou je niet gewoon aan mijn verzoek kunnen voldoen? Grote kans dat dat wel een oplossing biedt namelijk. :)

dinsdag 5 oktober 2004 11:40

Acties:

Verwijderd

als jullie deze tool nou eens downloaden en dan de de log ff hier posten tussen de code tag dan kunnnen we al weer een meer op weg helpen ....

http://www.majorgeeks.com/download3155.html


edit:spuit 11 enzo

[ Voor 6% gewijzigd door Verwijderd op 05-10-2004 11:40 ]

dinsdag 5 oktober 2004 12:13

Acties:

Verwijderd

Hallo

dit gaat mij een beetje boven mn pet, maar ik hoop dat ik het zo goed doe.
Henro - ik gebruik NAV 2004 en dat maakt dus kennelijk niks uit

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79

 Logfile of HijackThis v1.98.2
Scan saved at 12:08:26, on 05/10/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\csmss.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Temporary Directory 1 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_12_0.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_12_0.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Win32 NVIDIA Driver] MSPMSPSU.EXE
O4 - HKLM\..\Run: [Microsoft Service] microhost.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\hacwy.exe
O4 - HKLM\..\Run: [Windows32 Config] RUNDLL.EXE
O4 - HKLM\..\Run: [Windows media service] crvss.exe
O4 - HKLM\..\Run: [VC5MediaPlayer] C:\WINDOWS\System32\csmss.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunServices: [Win32 NVIDIA Driver] MSPMSPSU.EXE
O4 - HKLM\..\RunServices: [Microsoft Service] microhost.exe
O4 - HKLM\..\RunServices: [Windows media service] crvss.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Win32 NVIDIA Driver] MSPMSPSU.EXE
O4 - HKCU\..\Run: [Microsoft Service] microhost.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {018A066F-584A-422F-AC4C-0B1F5FE5C040} (VacPro.olanda_ver3) - http://www.advnt01.com/dialer/olanda_ver3.CAB
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=b4d5a76c9203184a0a91f317977e1575029b75cb978c325f3d45b100ae51eb65787b26d433dfa1eee206fe5376ecf51b81052cbb3c4fdfc2bbda8c2d:f91ab6179a24b821874946afc66208c6
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab

dinsdag 5 oktober 2004 12:16

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Dit zijn allemaal hoogstwaarschijnlijk virussen, haal ze maar eens door de Jotti-scan:

code:
1
2
3
4
5
6
7
8
9

O4 - HKLM\..\RunServices: [Win32 NVIDIA Driver] MSPMSPSU.EXE
O4 - HKLM\..\RunServices: [Microsoft Service] microhost.exe
O4 - HKLM\..\RunServices: [Windows media service] crvss.exe
O4 - HKLM\..\Run: [Win32 NVIDIA Driver] MSPMSPSU.EXE
O4 - HKLM\..\Run: [Microsoft Service] microhost.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\hacwy.exe
O4 - HKLM\..\Run: [Windows32 Config] RUNDLL.EXE
O4 - HKLM\..\Run: [Windows media service] crvss.exe
O4 - HKLM\..\Run: [VC5MediaPlayer] C:\WINDOWS\System32\csmss.exe


Dit is 100 procent zeker een virus:

code:
1

O16 - DPF: {018A066F-584A-422F-AC4C-0B1F5FE5C040} (VacPro.olanda_ver3) - http://www.advnt01.com/dialer/olanda_ver3.CAB


Dit kan weg:

code:
1
2

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=b4d5a76c9203184a0a91f317977e1575029b75cb978c325f3d45b100ae51eb65787b26d433dfa1eee206fe5376ecf51b81052cbb3c4fdfc2bbda8c2d:f91ab6179a24b821874946afc66208c6
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)


Als tip kan ik je nog meegeven om een ECHTE virusscanner te installeren, niet die rotzooi van Norton. Die staat niet bepaald bekend als een goede virusscanner...

Virussen? Scan ze hier!

dinsdag 5 oktober 2004 12:18

Acties:

Verwijderd

Sjeez! Heb je al eens een flinke infectie gehad? Want hier staat me nogal een waslijst aan malware zeg. :/
Als dat niet het geval is, dan mag je die bak formatteren imho en wat anders dan NAV erop zetten. :/

dinsdag 5 oktober 2004 12:50

Acties:

Verwijderd

Topicstarter
thnx... Ik zal vanavond mijn HiJack lijst ook eens posten.

dinsdag 5 oktober 2004 12:53

Acties:

Verwijderd

ja, ik heb behoorlijke infecties gehad, was even een paar uur online nadat ik Windows opnieuw had geinstalleerd en toen ik Norton installeerde had ik ruim 20 infecties...
Allemaal wel weg nu volgens mij, behalve die message van qhosts.

Nou ben ik wel eerder in de registry geweest en herken ik de HKLM entries, maar wat ik nou verder moet doen...? Moet ik die entries in de registry verwijderen? En wat doe ik met de 016 - DPF en de 02 - BHO entries? Hoe vind ik die en verwijder ik die?
En moet ik nog iets doen in start up of msconfig?
Excuses voor mijn onbenul, maar ik ben geen Windows pro...
Alvast bedankt

dinsdag 5 oktober 2004 18:02

Acties:

Verwijderd

Topicstarter
Logfile of HijackThis v1.97.7
Scan saved at 18:01:04, on 5-10-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Winamp\Winampa.exe
C:\WINDOWS\system32\wuamlk.exe
C:\WINDOWS\System32\csmss.exe
C:\WINDOWS\system32\WLANSTA.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Setup\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DA1F1218] C:\WINDOWS\System32\cmpvfjgyq.exe
O4 - HKLM\..\Run: [Win32 USB2.0 Driver] 386.exe
O4 - HKLM\..\Run: [Security Patches] wuamlk.exe
O4 - HKLM\..\Run: [WindowsInstaller] C:\WINDOWS\System32\csmss.exe
O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\RunServices: [Win32 USB2.0 Driver] 386.exe
O4 - HKLM\..\RunServices: [Security Patches] wuamlk.exe
O4 - HKLM\..\RunServices: [Windows Registry Scan] winmedia.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Win32 USB2.0 Driver] 386.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {11111111-1111-1111-1111-111111111111} - file://C:\Windows\e.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.m...eb_site.cab?1096738280326
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B794E2A7-9D27-479B-84C7-5CE54913CEF1}: NameServer = 10.0.0.138

Dit is mij HJ log. Ik dacht dat alle onzin eruit was maar dat weet ik niet zeker :(

dinsdag 5 oktober 2004 18:10

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Dit lijken me nog virussen, haal die maar door de Jotti-scan:

code:
1
2
3
4
5
6
7
8

O4 - HKLM\..\Run: [DA1F1218] C:\WINDOWS\System32\cmpvfjgyq.exe
O4 - HKLM\..\Run: [Win32 USB2.0 Driver] 386.exe
O4 - HKLM\..\Run: [Security Patches] wuamlk.exe
O4 - HKLM\..\Run: [WindowsInstaller] C:\WINDOWS\System32\csmss.exe
O4 - HKLM\..\RunServices: [Win32 USB2.0 Driver] 386.exe
O4 - HKLM\..\RunServices: [Security Patches] wuamlk.exe
O4 - HKLM\..\RunServices: [Windows Registry Scan] winmedia.exe
O16 - DPF: {11111111-1111-1111-1111-111111111111} - file://C:\Windows\e.exe

Virussen? Scan ze hier!

dinsdag 5 oktober 2004 20:36

Acties:

Verwijderd

Topicstarter
Ik heb het log betand van HiJack door de jotti-scanner gehaald maar die vond gee n virus. Of moet ik een ander bestand door de jotti scanner halen

dinsdag 5 oktober 2004 20:51

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Je moet die logfile niet door de jotti-scanner halen, maar de files die ik noemde. Sommige moet je even zoeken met de zoek-functie van Windows, bij anderen staat de lokatie er al bij (C:\Windows en C:\Windows\System32).

Virussen? Scan ze hier!

woensdag 6 oktober 2004 00:06

Acties:

Verwijderd

Topicstarter
Okay zal ik morgen is ff doen.
Afloop zal ik morgen posten

Henro

woensdag 6 oktober 2004 19:10

Acties:

Verwijderd

Topicstarter
1 O4 - HKLM\..\Run: [DA1F1218] C:\WINDOWS\System32\cmpvfjgyq.exe
2 O4 - HKLM\..\Run: [Win32 USB2.0 Driver] 386.exe
3 O4 - HKLM\..\Run: [Security Patches] wuamlk.exe
4 O4 - HKLM\..\Run: [WindowsInstaller] C:\WINDOWS\System32\csmss.exe
5 O4 - HKLM\..\RunServices: [Win32 USB2.0 Driver] 386.exe
6 O4 - HKLM\..\RunServices: [Security Patches] wuamlk.exe
7 O4 - HKLM\..\RunServices: [Windows Registry Scan] winmedia.exe
8 O16 - DPF: {11111111-1111-1111-1111-111111111111} - file://C:\Windows\e.exe

De bestanden e.exe en csmss.exe bleken Malware te bevatten bleek door de Jotti scanner. csmss.exe moest ik eerst hernoemen, pc opnieuw opstarten, voordat ik deze kon verwijderen. e.exe was zo te verwijderen. De andere bestanden kon ik niet vinden maar heb wel de registersleutels verwijderd en tot nu toe nog zonder problemen. PC draait weer goed én zonder virusmelding bij het opstarten!!!

thnx allemaal!
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq