Vraag & Antwoord

Beveiliging & privacy

Help! - Windows Media Player virus

24 antwoorden
  • Een paar dagen geleden had ik een virus dat mijn norton uitschakelde, deze heb ik kunnen verwijderen met behulp van mensen op dit forum. Volgens mij zit er nogsteeds een stukje van dit virus in mijn pc. Alleen niet bij norton, maar bij de media player. Als ik de windows media player wil openen, krijg ik de volgende viruswaarschuwing: __ Norton antivirus heeft een virus op uw computer aangetroffen en verwijderd. Objectnaam: C:\WINDOWS\70000041.exe Virusnaam: Downloader.Trojan Ondernomen actie: Het bestand is automatisch verwijderd __ Maar verwijderd is hij dus niet, want elke keer komt het bericht terug. Is het slim om een Hijack this log neer te zetten, of heeft dit weinig zin? Een virusscan van m'n HD heeft niks opgeleverd.
  • Nouja, ik zou ten eerste s een kijkje nemen in C:\WINDOWS en 70000041.exe verwijderen, als hij er staat. Dan nog een x scannen, maar eerst moet je ff zeker weten dat die .exe weg is.
  • Ik heb in de map gekeken, en ook ernaar laten zoeken, maar helaas, niks gevonden. Anders had ik hem al weggegooid hoor :lol:.
  • Zet dan nog maar even een log neer, dan kunnen we even kijken of alles inorde is.
  • Mijn log: Logfile of HijackThis v1.97.7 Scan saved at 21:28:14, on 8-4-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\WINDOWS\System32\LXSUPMON.EXE C:\WINDOWS\System32\devldr32.exe C:\WINDOWS\System32\gearsec.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\iTunes\iTunes.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Lucas *******\Bureaublad\spyware dingen\hijack this\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38023.5579513889 O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
  • Lijkt me schoon, toch M@rc? :wink:
  • Log is schoon. Het is geen M@rc, maar de leerling van M@rc. :wink:
  • Jah M@rc heeft hem een paar dagen geleden gecheckt, en vond inderdaad niks. Ik snap dan ook niet hoe dit virus er nog in kan zitten. Kan ik de media player niet gewoon uninstallen? Bij de lijst software staat hij niet. Bovendien is het logo'tje van media player niet meer zo'n rondje met kleurtjes, maar een blauw venstertje, een toepassingsvenstertje ofzo.
  • Er staat in je bericht dat Norton hem al heeft verwijdert, is het ook verwijdert bij quaretaine van Norton?
  • Jepz, maar dan nog blijft hij altijd waarschuwen.
  • Er is een Coolwebsearch variant die de mediaspeler executable vervangt en een homepage hijack veroorzaakt.. http://www.spywareinfo.com/~merijn/cwschronicles.html#googlems Laat voor de zekerheid CWShredder eens runnen: http://www.spywareinfo.com/~merijn/files/CWShredder.exe Als hij dit vindt moet je mediaspeler wel opnieuw installeren.
  • CWShredder had ik al op m'n pc staan, maar domweg vergeten te laten runnen. Hij vond 3 foute bestanden/dingen op m'n pc die zijn verwijderd. Ik moest windows media player opnieuw installeren om het te repareren. Daar ben ik nu dus mee bezig. Quasi3 bedankt voor je korte maar toch zeer handige antwoord :D
  • [quote:d5ed2fdf7d="quasi3"]Er is een Coolwebsearch variant die de mediaspeler executable vervangt en een homepage hijack veroorzaakt.. http://www.spywareinfo.com/~merijn/cwschronicles.html#googlems Laat voor de zekerheid CWShredder eens runnen: http://www.spywareinfo.com/~merijn/files/CWShredder.exe Als hij dit vindt moet je mediaspeler wel opnieuw installeren.[/quote:d5ed2fdf7d] Quasi3 even een vraag, daar is hier toch geen sprake van of wel? Dan moet je toch de vlgende entry's in je log hebben: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.idgsearch.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.idgsearch.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.idgsearch.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.idgsearch.com/ O2 - BHO: GoogleMS Search Helper - {79369D5C-2903-4b7a-ADE2-D5E0DEE14D24} - C:\Documents and Settings\[username]\Application Data\GoogleMS.dll En dat is hier niet het geval.
  • Klopt, maar CWShredder heeft er weer voor gezorgt dat het werkt. Windows media player werkt weer. Bedankt voor al jullie hulp!
  • Het enige wat me in het vorige logje van Badeend opviel was een loader. Vaak worden (zeker de Ro en R1 entries) al door de topicstarter verwijderd zodat niet altijd te herkennen valt wat voor soort hijack er heeft plaatsgevonden. Ik herinnerde me deze variant van CWS toen ik het verhaal van Badeend las. En het bewijs is geleverd :wink: [quote:6be1638eeb="De huismeester"][quote:6be1638eeb="quasi3"]Er is een Coolwebsearch variant die de mediaspeler executable vervangt en een homepage hijack veroorzaakt.. http://www.spywareinfo.com/~merijn/cwschronicles.html#googlems Laat voor de zekerheid CWShredder eens runnen: http://www.spywareinfo.com/~merijn/files/CWShredder.exe Als hij dit vindt moet je mediaspeler wel opnieuw installeren.[/quote:6be1638eeb] Quasi3 even een vraag, daar is hier toch geen sprake van of wel? Dan moet je toch de vlgende entry's in je log hebben: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.idgsearch.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.idgsearch.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.idgsearch.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.idgsearch.com/ O2 - BHO: GoogleMS Search Helper - {79369D5C-2903-4b7a-ADE2-D5E0DEE14D24} - C:\Documents and Settings\[username]\Application Data\GoogleMS.dll En dat is hier niet het geval.[/quote:6be1638eeb]
  • Bedankt voor de uitleg, weer wat geleerd.
  • Maar wat is die loader dan in mijn log? Die adobe gamma loader ofzoiets? Ik zou niet weten wat dat is. Kan dat van photoshop zijn..? Of bedoelde je dat niet en kan het helemaal geen kwaad?
  • Deze: [i:30851bdacf]Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe[/i:30851bdacf] Dat 'hoort' idd bij Photoshop. Nix ergs dus, hoewel ik hem zelf wel heb uitgezet.
  • Ik bedoelde deze : O4 - HKLM\..\Run: [Configuration Loader] asclthost.exe O4 - HKLM\..\RunServices: [Configuration Loader] asclthost.exe die M@rc je al had laten fixen in dit topic: http://forum.computertotaal.nl/phpBB/viewtopic.php?t=117586
  • Ja dat klopt, dat was een virus. Ik ben eruit en snap het :D

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.