Vraag & Antwoord

Beveiliging & privacy

virus

42 antwoorden
  • Het betreft Trojan horse BackDoor.Agent.Ba
  • De dll maar ff verwijderen dan als het lukt. Zet alleen lezen uit en probeer 'm in de prullenbak te zetten. En verwijder je system-restore files.
  • Graag iets meer uitleg, ik ben een leek. Maar toch al bedankt.
  • Lijkt me spyware. Last van een bepaalde startpagina die je niet wegkrijgt? (about:blanc - SEARCHX ??) Start de computer in veilige modus en kijk of je deze file kan vinden c:\windows\system32\log.dll Zo ja verwijder hem. Lukt het niet dan post je even een HijackThislog. Download [url=http://www.spywareinfo.com/~merijn/files/HijackThis.exe]HijackThis[/url]. Sla het bestand op in een eigen map. Niet op je bureaublad of in je Temp-files. HijackThis maakt namelijk backups in de map waar het opgestart wordt. Run het programma. Klik op scan, save log en sla het log op als een .txt bestand. Kopieer en plak de volledige inhoud van dit logbestand in je volgende bericht.
  • Logfile of HijackThis v1.97.7 Scan saved at 20:35:05, on 14/06/2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\System32\Ati2evxx.exe C:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Messenger\msmsgs.exe C:\Documents and Settings\Frank\Bureaublad\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hog.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hog.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hog.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hog.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hog.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.myexexex.com/search.php?said=spage&qq=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hog.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {118B9A74-BB15-4471-8167-AE2D7CBEA4B9} - C:\WINDOWS\System32\hog.dll O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
  • Is de about: blanc hijack Download [url=http://www.spywareinfo.com/~merijn/files/CWShredder.exe]CWShredder[/url]. Dowload Sphjfix. http://www.rokop-security.de/main/download.php?op=getit&lid=59 Unzip het programma en start het. Na een automatische reboot run je CWShredder. Klik op de fiixknop en reboot. Run HijackThis nog een keer en post een nieuwe log.
  • CWShredder v1.59.0 scan only report Please understand that a CWShredder 'Scan only' report might not be sufficient to troubleshoot an infected system. You can use HijackThis for that: http://www.merijn.org/files/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Windows XP (5.01.2600 ) Windows dir: C:\WINDOWS Windows system dir: C:\WINDOWS\system32 AppData folder: C:\Documents and Settings\Frank\Application Data Username: Frank Infected Registry value: HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar Infected data: res://C:\WINDOWS\System32\hog.dll/sp.html (obfuscated) Infected Registry value: HKCU\Software\Microsoft\Internet Explorer\Main,Search Page Infected data: res://C:\WINDOWS\System32\hog.dll/sp.html (obfuscated) Infected Registry value: HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL Infected data: http://www.myexexex.com/search.php?said=spage&qq=%s Infected Registry value: HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar Infected data: res://C:\WINDOWS\System32\hog.dll/sp.html (obfuscated) Infected Registry value: HKLM\Software\Microsoft\Internet Explorer\Main,Search Page Infected data: res://C:\WINDOWS\System32\hog.dll/sp.html (obfuscated) Infected Registry value: HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant Infected data: res://C:\WINDOWS\System32\hog.dll/sp.html (obfuscated) Infected Registry value: HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant,http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm Infected data: res://C:\WINDOWS\System32\hog.dll/sp.html (obfuscated) Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (22842 bytes, R) Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe, Found Win.ini file: C:\WINDOWS\win.ini (657 bytes, A) Found System.ini file: C:\WINDOWS\system.ini (227 bytes, -) Found CWS.Msole file: C:\WINDOWS\system32\msole.dll (18944 bytes, AHS) - END OF REPORT -
  • Kristof, Je hebt een scan gedaan met CWShredder. (je moet op de FIX-knop drukken) Na gebruik van SPHJfix reboot je. Start CWShredder, klik op de FIX-knop en reboot de computer opnieuw. Na de reboot run je HijackThis en post je een nieuwe HijackThislog.
  • Logfile of HijackThis v1.97.7 Scan saved at 21:18:53, on 14/06/2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\System32\Ati2evxx.exe C:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\WINDOWS\System32\svchost.exe C:\Documents and Settings\Frank\Bureaublad\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tijd.be/koersen R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O16 - DPF: VanBredaOnline Security Applet - https://www.vanbredaonline.be/applets/ema.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
  • Fix deze nog met HijackThis: [b:d2c34b100c] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank [/b:d2c34b100c] Reboot de computer in veilige modus en verwijder c:/spad/start.html. Reboot in normale ùmodus en post een nieuwe HijackThislog.
  • Logfile of HijackThis v1.97.7 Scan saved at 21:32:38, on 14/06/2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\QuickTime\qttask.exe C:\Documents and Settings\Frank\Bureaublad\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tijd.be/koersen O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O16 - DPF: VanBredaOnline Security Applet - https://www.vanbredaonline.be/applets/ema.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
  • avg blijft melding maken van virus
  • Nog steeds die c:\windows\system32\log.dll ??? Kan je dit bestand verwijderen in veilige modus?
  • Kan het niet verwijderen.
  • Gaat toch nog steeds over dat bestand? log.dll?? Izt toch niet in een systeemherstelpunt of zo? Download TheKillbox: http://download.broadbandmedic.com/VbStuff/KillBox.zip Unzip de bestanden naar een aparte map. Run Killbox door te dubbelklikken op Killbox.exe. In de "Paste Full Path of File to Delete" box, kopieer en plak je het volgende: c:\windows\system32\log.dll Ga naar het menu "Action" en kies voor "Delete on reboot". In het volgende scherm ga je in het menu "File" naar "Add file". Het bestand dat je wil verwijderen wordt nu toegevoegd aan de lijst, en komt in het scherm te staan. Ga in dit zelfde venster naar het menu "Action", en kies je voor "Process and Reboot". De computer moet nu opnieuw gestart worden.
  • Geeft: Kan log niet verwijderen. De toegang is geweigerd. Controleer of de schijf vol of tegen schrijven beveiligd of het bestand in gebruik is.
  • http://download.broadbandmedic.com/VbStuff/KillBox.zip Geeft 404 eror
  • Even moeten zoeken: http://www.downloads.subratam.org/KillBox.zip
  • (Veilige Modus?) Zet system restore uit. Zet log.dll op je desktop. Ga naar instellingen > software en verwijder AVG. Start Windows opnieuw op. Zet log.dll in je prullenbak en verwijder de bastaard.
  • Mijn avg virusscanner geeft altijd virus c:\windows\system32\log.dll het virus kan echter niet verwijderd worden, ik ben ten einde raad wat moet ik doen? Graag hulp. Alvast bedankt. Kristof.

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.