Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Help! - Windows Media Player virus

None
24 antwoorden
  • Een paar dagen geleden had ik een virus dat mijn norton uitschakelde, deze heb ik kunnen verwijderen met behulp van mensen op dit forum. Volgens mij zit er nogsteeds een stukje van dit virus in mijn pc. Alleen niet bij norton, maar bij de media player.

    Als ik de windows media player wil openen, krijg ik de volgende viruswaarschuwing:
    __
    Norton antivirus heeft een virus op uw computer aangetroffen en verwijderd.
    Objectnaam: C:\WINDOWS\70000041.exe
    Virusnaam: Downloader.Trojan
    Ondernomen actie: Het bestand is automatisch verwijderd
    __
    Maar verwijderd is hij dus niet, want elke keer komt het bericht terug.
    Is het slim om een Hijack this log neer te zetten, of heeft dit weinig zin? Een virusscan van m'n HD heeft niks opgeleverd.
  • Nouja, ik zou ten eerste s een kijkje nemen in C:\WINDOWS en 70000041.exe verwijderen, als hij er staat. Dan nog een x scannen, maar eerst moet je ff zeker weten dat die .exe weg is.
  • Ik heb in de map gekeken, en ook ernaar laten zoeken, maar helaas, niks gevonden. Anders had ik hem al weggegooid hoor :lol:.
  • Zet dan nog maar even een log neer, dan kunnen we even kijken of alles inorde is.
  • Mijn log:

    Logfile of HijackThis v1.97.7
    Scan saved at 21:28:14, on 8-4-2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\WINDOWS\System32\LXSUPMON.EXE
    C:\WINDOWS\System32\devldr32.exe
    C:\WINDOWS\System32\gearsec.exe
    C:\Program Files\Norton AntiVirus
    avapsvc.exe
    C:\WINDOWS\System32
    vsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\iTunes\iTunes.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Lucas *******\Bureaublad\spyware dingen\hijack this\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
    O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38023.5579513889
    O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
  • Lijkt me schoon, toch M@rc? :wink:
  • Log is schoon.
    Het is geen M@rc, maar de leerling van M@rc. :wink:
  • Jah M@rc heeft hem een paar dagen geleden gecheckt, en vond inderdaad niks. Ik snap dan ook niet hoe dit virus er nog in kan zitten. Kan ik de media player niet gewoon uninstallen? Bij de lijst software staat hij niet. Bovendien is het logo'tje van media player niet meer zo'n rondje met kleurtjes, maar een blauw venstertje, een toepassingsvenstertje ofzo.
  • Er staat in je bericht dat Norton hem al heeft verwijdert, is het ook verwijdert bij quaretaine van Norton?
  • Jepz, maar dan nog blijft hij altijd waarschuwen.
  • Er is een Coolwebsearch variant die de mediaspeler executable vervangt en een homepage hijack veroorzaakt..

    http://www.spywareinfo.com/~merijn/cwschronicles.html#googlems

    Laat voor de zekerheid CWShredder eens runnen:

    http://www.spywareinfo.com/~merijn/files/CWShredder.exe

    Als hij dit vindt moet je mediaspeler wel opnieuw installeren.
  • CWShredder had ik al op m'n pc staan, maar domweg vergeten te laten runnen. Hij vond 3 foute bestanden/dingen op m'n pc die zijn verwijderd. Ik moest windows media player opnieuw installeren om het te repareren. Daar ben ik nu dus mee bezig. Quasi3 bedankt voor je korte maar toch zeer handige antwoord :D
  • [quote:d5ed2fdf7d="quasi3"]Er is een Coolwebsearch variant die de mediaspeler executable vervangt en een homepage hijack veroorzaakt..

    http://www.spywareinfo.com/~merijn/cwschronicles.html#googlems

    Laat voor de zekerheid CWShredder eens runnen:

    http://www.spywareinfo.com/~merijn/files/CWShredder.exe

    Als hij dit vindt moet je mediaspeler wel opnieuw installeren.[/quote:d5ed2fdf7d]
    Quasi3 even een vraag, daar is hier toch geen sprake van of wel?
    Dan moet je toch de vlgende entry's in je log hebben:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.idgsearch.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.idgsearch.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.idgsearch.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.idgsearch.com/
    O2 - BHO: GoogleMS Search Helper - {79369D5C-2903-4b7a-ADE2-D5E0DEE14D24} - C:\Documents and Settings\[username]\Application Data\GoogleMS.dll


    En dat is hier niet het geval.
  • Klopt, maar CWShredder heeft er weer voor gezorgt dat het werkt. Windows media player werkt weer.
    Bedankt voor al jullie hulp!
  • Het enige wat me in het vorige logje van Badeend opviel was een loader.
    Vaak worden (zeker de Ro en R1 entries) al door de topicstarter verwijderd zodat niet altijd te herkennen valt wat voor soort hijack er heeft plaatsgevonden.
    Ik herinnerde me deze variant van CWS toen ik het verhaal van Badeend las.
    En het bewijs is geleverd :wink:


    [quote:6be1638eeb="De huismeester"][quote:6be1638eeb="quasi3"]Er is een Coolwebsearch variant die de mediaspeler executable vervangt en een homepage hijack veroorzaakt..

    http://www.spywareinfo.com/~merijn/cwschronicles.html#googlems

    Laat voor de zekerheid CWShredder eens runnen:

    http://www.spywareinfo.com/~merijn/files/CWShredder.exe

    Als hij dit vindt moet je mediaspeler wel opnieuw installeren.[/quote:6be1638eeb]
    Quasi3 even een vraag, daar is hier toch geen sprake van of wel?
    Dan moet je toch de vlgende entry's in je log hebben:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.idgsearch.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.idgsearch.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.idgsearch.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.idgsearch.com/
    O2 - BHO: GoogleMS Search Helper - {79369D5C-2903-4b7a-ADE2-D5E0DEE14D24} - C:\Documents and Settings\[username]\Application Data\GoogleMS.dll


    En dat is hier niet het geval.[/quote:6be1638eeb]
  • Bedankt voor de uitleg, weer wat geleerd.
  • Maar wat is die loader dan in mijn log? Die adobe gamma loader ofzoiets? Ik zou niet weten wat dat is. Kan dat van photoshop zijn..? Of bedoelde je dat niet en kan het helemaal geen kwaad?
  • Deze:

    [i:30851bdacf]Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe[/i:30851bdacf]

    Dat 'hoort' idd bij Photoshop. Nix ergs dus, hoewel ik hem zelf wel heb uitgezet.
  • Ik bedoelde deze :
    O4 - HKLM\..\Run: [Configuration Loader] asclthost.exe
    O4 - HKLM\..\RunServices: [Configuration Loader] asclthost.exe
    die M@rc je al had laten fixen in dit topic:

    http://forum.computertotaal.nl/phpBB/viewtopic.php?t=117586
  • Ja dat klopt, dat was een virus. Ik ben eruit en snap het :D

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.