Toon posts:

[malware] Verschillende soorten

Pagina: 1
Acties:

vrijdag 14 januari 2005 17:22

Acties:

Verwijderd

Topicstarter
Na vele zoekacties in dit forum zonder lid te worden wil ik nu toch graag even een log file plaatsen.

ad-aware loopt continu vast bij het scannen.
spybot krijgt niet alles weg, na een herstart komen er een aantal terug.
norton antivirus kan geen virussen vinden ( uur geleden geupdated)
mcaffee freescan geeft 10!! geinfecteerde files met de volgende virussen:

IRC/flood.i
downloader-da.dll
keylog-briss
servu-daemon
movieworld


Zitten hier nog verdachte processen tussen?

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65

Logfile of HijackThis v1.98.2
Scan saved at 17:12:11, on 14-1-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Logitech\QCDriver\LVCOMS.EXE
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\Inf\Catalog\su\srunner.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
c:\Windows\Inf\Catalog\su\explore.exe
C:\WINDOWS\CURSORS\meta\oledac\backup\srunner.exe
C:\WINDOWS\System32\svchost.exe
c:\windows\cursors\meta\oledac\backup\repairx\SPOOLSVC.exe
C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Common Files\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20011217/qtinstall.info.apple.com/qt505/nl/win/QuickTimeInstaller.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup152.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4419/mcfscan.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab


wat moet ik nog verwijderen?

alvast bedankt,

vrijdag 14 januari 2005 17:25

Acties:
  • justmental
  • Registratie: April 2000
  • Niet online

justmental

my heart, the beat

http://www.hijackthis.de/...e234ec2940c62c357e00.html

Who is John Galt?

vrijdag 14 januari 2005 17:28

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Verwijderd schreef op vrijdag 14 januari 2005 @ 17:22:
Na vele zoekacties in dit forum zonder lid te worden wil ik nu toch graag even een log file plaatsen.

ad-aware loopt continu vast bij het scannen.
spybot krijgt niet alles weg, na een herstart komen er een aantal terug.
norton antivirus kan geen virussen vinden ( uur geleden geupdated)
mcaffee freescan geeft 10!! geinfecteerde files met de volgende virussen:

IRC/flood.i
downloader-da.dll
keylog-briss
servu-daemon
movieworld


Zitten hier nog verdachte processen tussen?
Persoonlijk zou ik die PC opgeven - staat veel te veel rotzooi op om nog normaal te functioneren. Backup maken en een re-install, maar goed :)


[quoteC:\Program Files\Common Files\Logitech\QCDriver\LVCOMS.EXE
C:\Program Files\Microsoft Hardware\Mouse\point32.exe[/quote]
2 mouse drivers?
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\Inf\Catalog\su\srunner.exe
?

C:\Program Files\Norton AntiVirus\navapsvc.exe[/quote]
Je zei dat je mcAfee draait maar je hebt er ook Norton op staan?
c:\Windows\Inf\Catalog\su\explore.exe
C:\WINDOWS\CURSORS\meta\oledac\backup\srunner.exe
c:\windows\cursors\meta\oledac\backup\repairx\SPOOLSVC.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
??
O4 - HKLM\..\Run: [POINTER] point32.exe
??
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
??
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
???
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup152.cab
??

Ik hb dingen die me niet direct bekend voorbij komen even met ?? gemarkeerd - mag je zelf even op zoek gaan ofdat ze echt schadelijk zijn of niet :)

vrijdag 14 januari 2005 17:32

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01-2025

pasta

Ondertitel

code:
1
2
3

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
Die vertrouw ik niet zo, haal die eens door een online virusscanner heen. (die van Jotti bijvoorbeeld:)

Qua Point32.exe kan ik ernaast zitten, maar hij hoort in C:\Program Files\Microsoft Hardware\ te zitten als het goed is. :) En verder ook wat elevator zei. ;)

Ik pas overigens je topictitel iets aan. :)

[ Voor 10% gewijzigd door pasta op 14-01-2005 17:42 ]

Signature

vrijdag 14 januari 2005 17:57

Acties:
  • EricJH
  • Registratie: November 2003
  • Laatst online: 29-01 02:49

EricJH

Verwijderd schreef op vrijdag 14 januari 2005 @ 17:22:
Probeer ook even CWshredder voor het geval je een Coolweb variant hebt: http://www.intermute.com/products/cwshredder.html .
kijk eens of Ad Aware en Spybot het in safe mode/ veilige modus wel weg kan krijgen. Een goede aanvulling is de trial versie van Spy Sweeper ( www.webroot.com ) of de nieuwe beta van de Microsoft spyware scanner ( meuktracker: Microsoft AntiSpyware 1.0.501 beta )
C:\WINDOWS\Inf\Catalog\su\srunner.exe

C:\WINDOWS\CURSORS\meta\oledac\backup\srunner.exe
Horen deze file bij iets wat jij kent? Bekijk bijvoorbeeld eens degene die de file uitgebracht heeft bij Eigenschapppen van de files.
c:\windows\cursors\meta\oledac\backup\repairx\SPOOLSVC.exe
Deze doet zich voor als spoolsv van Windows zelf. De site zeg fixen.
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
De site is resoluut. Het zou van een van de coolweb varianten zijn kunnen zijn denk ik dan: de about blank hijack.
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
mogelijk overbodig. Je kunt de sleutel nazoeken in het register met Regedit en kijken waar het bij hoort. Het kan geen kwaad waarschijnlijk als je heb laat staan
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup152.cab
De site kent het niet en vraagt zich af of jij het vertrouwt of niet.

Maak altijd een systeemherstelpunt als je met Hijack This in de weer gaat. De site geeft verder aan dat je niet de laatste versie van Hijack This gebruikt. Even updaten dus.

De site geeft bij IE aan dat je de SP 1 versie van IE gebruikt. Onmiddelllijk migreren naar SP 2 wat mij betreft (zorg ervoor dat je bij het overgaan vrij bent van virus en spyware; sommigen daarvan hen kunnen je migratie zwaar frustreren).

Ook voor Hijack This geld dat als het terugkomt het fixen in safe mode een volgende stap is om te proberen.
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq