Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

virussen in sytem files.HELP!

pcguy
14 antwoorden
  • Hoi,

    De volgende bestanden in mijn c:\windows\systyem32\
    zijn besmet een trojans en onbekende virussen!
    die niet verwijdert kunnen worden! (nod32)

    IEXPLORE.EXE
    Msbb.exe
    MSNMEGR.EXE
    Update2.exe
    WinGasys.exe
    Winhlpp.exe
    Winreg232.exe
    winole.exe

    Kan ik ze wissen, en dan met mn xp bootable install cd
    de missende bestanden opnieuw aanmaken?
    Er is echter een probleem, ik kom er zojuist achter dat
    deze bestanden (iig een paar) niet te wissen, nog te kopieren zijn.
    Nog kan ik de attrib +R veranderen voor _R zelfs onder herstart/ safe mode/dos niet!!
    wtf??

    scenario 2:
    Als ik de xp-bootable install cd gebruik om xp opnieuw over de huidige installatie te installeren,
    vervangt de xp-installatie deze besmette bestanden dan?
    En krijg ik dan weer keurig onbesmette system files?

    daniel
  • Post eens een hijackthislog, als je even oplet horen die files helemaal niet in c:\windows\system32, :wink:
  • uhh..

    verklaring aub.

    IEXPLORE.EXE en WinGasys.exe worden door xp gebruikt
    als ik ctrl-alt-del druk.. (processes)

    daniel
  • Nogal logisch dat ze daar staan, dat virus draait toch ook :roll:

    Post die hjt log nou maar, dan lossen we het op.
  • Ok. komt ie:

    Logfile of HijackThis v1.97.7
    Scan saved at 19:54:40, on 20-9-2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Eset
    od32krn.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
    C:\Program Files\Eset
    od32kui.exe
    C:\WINDOWS\System32\vpc32.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchba.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchmn.htm
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchba.htm
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchmn.htm
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchmn.htm
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchcs.htm
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchsa.htm
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Patches Value] WinGasys.exe
    O4 - HKLM\..\Run: [Msbb.exe] Msbb.exe
    O4 - HKLM\..\Run: [Microsoft IE] IEXPLORE.EXE
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [MSNMSGR5] MSNMSGR5.exe
    O4 - HKLM\..\Run: [zervpack2] update2.exe
    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
    od32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
    O4 - HKLM\..\RunServices: [Patches Value] WinGasys.exe
    O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
    O4 - HKLM\..\RunServices: [Microsoft IE] IEXPLORE.EXE
    O4 - HKLM\..\RunServices: [MSNMSGR5] MSNMSGR5.exe
    O4 - HKLM\..\RunServices: [zervpack2] update2.exe
    O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Microsoft IE] IEXPLORE.EXE
    O4 - HKCU\..\Run: [Patches Value] WinGasys.exe
    O4 - HKCU\..\Run: [Msbb.exe] Msbb.exe
    O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
    O10 - Broken Internet access because of LSP provider 'imon.dll' missing
    O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/Sasser/20/SassCln.CAB


    En nog iets als ik dus straks onzin begin uit te kramen hier of herrie schop.
    Kan zijn dat ik het niet ben want die trojans hebben vast mijn password
    voor ct!
    AUB. discontinue my accoutn en neem contact op via email.
    ik check mn email niet via geinfecteerd pc!!

    daniel
  • Ok. komt ie:

    Logfile of HijackThis v1.97.7
    Scan saved at 19:54:40, on 20-9-2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Eset
    od32krn.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
    C:\Program Files\Eset
    od32kui.exe
    C:\WINDOWS\System32\vpc32.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchba.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchmn.htm
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchba.htm
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchmn.htm
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchmn.htm
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchcs.htm
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchsa.htm
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Patches Value] WinGasys.exe
    O4 - HKLM\..\Run: [Msbb.exe] Msbb.exe
    O4 - HKLM\..\Run: [Microsoft IE] IEXPLORE.EXE
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [MSNMSGR5] MSNMSGR5.exe
    O4 - HKLM\..\Run: [zervpack2] update2.exe
    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
    od32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
    O4 - HKLM\..\RunServices: [Patches Value] WinGasys.exe
    O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
    O4 - HKLM\..\RunServices: [Microsoft IE] IEXPLORE.EXE
    O4 - HKLM\..\RunServices: [MSNMSGR5] MSNMSGR5.exe
    O4 - HKLM\..\RunServices: [zervpack2] update2.exe
    O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Microsoft IE] IEXPLORE.EXE
    O4 - HKCU\..\Run: [Patches Value] WinGasys.exe
    O4 - HKCU\..\Run: [Msbb.exe] Msbb.exe
    O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
    O10 - Broken Internet access because of LSP provider 'imon.dll' missing
    O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/Sasser/20/SassCln.CAB


    En nog iets als ik dus straks onzin begin uit te kramen hier of herrie schop.
    Kan zijn dat ik het niet ben want die trojans hebben vast mijn password
    voor ct!
    AUB. discontinue my accoutn en neem contact op via email.
    ik check mn email niet via geinfecteerd pc!!

    daniel
  • bliek wel
  • Kill deze processen in taakbeheer:
    [list:de58eddbeb][b:de58eddbeb]
    WinGasys.exe
    Msbb.exe
    IEXPLORE.EXE
    MSNMSGR5.exe
    update2.exe
    vpc32.exe [/b:de58eddbeb][/list:u:de58eddbeb]


    Sluit alle vensters en run hijackthis opnieuw, fix deze items:
    [list:de58eddbeb][b:de58eddbeb]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchba.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchmn.htm
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchba.htm
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchmn.htm
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchmn.htm
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchcs.htm
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchsa.htm
    O4 - HKLM\..\Run: [Patches Value] WinGasys.exe
    O4 - HKLM\..\Run: [Msbb.exe] Msbb.exe
    O4 - HKLM\..\Run: [Microsoft IE] IEXPLORE.EXE
    O4 - HKLM\..\Run: [MSNMSGR5] MSNMSGR5.exe
    O4 - HKLM\..\Run: [zervpack2] update2.exe
    O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
    O4 - HKLM\..\RunServices: [Patches Value] WinGasys.exe
    O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
    O4 - HKLM\..\RunServices: [Microsoft IE] IEXPLORE.EXE
    O4 - HKLM\..\RunServices: [MSNMSGR5] MSNMSGR5.exe
    O4 - HKLM\..\RunServices: [zervpack2] update2.exe
    O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
    O4 - HKCU\..\Run: [Microsoft IE] IEXPLORE.EXE
    O4 - HKCU\..\Run: [Patches Value] WinGasys.exe
    O4 - HKCU\..\Run: [Msbb.exe] Msbb.exe
    O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe [/b:de58eddbeb][/list:u:de58eddbeb]

    Run dit tooltje: http://faq.tweakers.net/wos/WinsockXPFix.exe

    Herstart in safe mode en laat alle verborgen items weergeven, verwijder dan indien aanwezig:
    [list:de58eddbeb][b:de58eddbeb]
    WinGasys.exe
    Msbb.exe
    IEXPLORE.EXE
    MSNMSGR5.exe
    update2.exe
    vpc32.exe[/b:de58eddbeb][/list:u:de58eddbeb]

    Doe een volledige scan met nod32

    Herstart in normale modus en post een nieuwe log.
  • Hoi,

    heb gedaan wat je zei.
    En in veilige modus alle resterende bestanden weggehaald.
    Msbb.exe, vpc32.exe en WinGasys.exe.

    1. Vraagje,
    hoe wist je dat deze bestanden niet thuishoorde in /system32/ ?
    Heb je in je eigen system32/ gekeken?

    Na de bestanden gewist te hebben, opnieuw opgestart en
    nod32 alles laten scannen. Toen waren er nog een paar virussen ontdekt.
    Ik heb nod32 deze bestanden maar weg laten halen en in
    quarantine laten zetten.
    >
    winole.exe Rbot.AEF
    winregs32.exe Rbot.WW
    winhelpp32.exe (met dubbel p) Agobot.3.AEN
    (gedelete)

    2. kan het kwaad dat ik deze files heb weggehaald?
    Weet niet of ze nodig zijn in XP.
    Systeem, alles , doet het wel.. Heeft winreg232.exe niets te maken met
    het aanmelden van dll's en activex dingen aan het systeem enzow?

    Morgen plaats ik een nieuwe hijack-this log.
    ik heb geen goede firewall, en ben bang straks weer geinfecteerd te
    raken (beetje gevoelig nog, lol)
    Ook aangezien er 4 virussen waren die nod32 niet herkende,
    Ik had advanced heuristics scannen aan.
    Nu maar hopen dat het geen vals alarm was en per ongeluk
    gezonde bestanden heb weggehaald.

    daniel


    Yeah! dus die virussen kan je gewoon killen met de hand!
  • Bestanden mag je idd verwijderen, hoe ik wist dat ze niet in system32 hoorden was per file verschillend, sommige weet ik dat het rotzooi is, andere heb ik even opgezocht via google,

    Deze: winreg232.exe zou legaal winreg32.exe moeten heten, en het moet haast wel een illegaal bestand zijn wat je weg hebt gesmeten want anders had je allang foutmeldingen ofzo gekregen.

    Edit: die hijackthislog waar blijft die?
  • Was te druk bezig met software installeren op me pc.
    Hier istie:

    Logfile of HijackThis v1.97.7
    Scan saved at 22:15:04, on 22-9-2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sygate Personal Firewall\smc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\NGB\GBPoll.exe
    C:\Program Files\Eset
    od32krn.exe
    C:\WINDOWS\System32\dllhost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
    C:\Program Files\Eset
    od32kui.exe
    C:\WINDOWS\System32\System3,2.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\NGB\GBTray.exe
    C:\WINDOWS\System32\dllhost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\b2-disk!\a-vi\HijackThis.exe

    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
    od32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [Microsoft Machines] System3,2.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
    O4 - HKLM\..\RunServices: [Microsoft Machines] System3,2.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Microsoft Machines] System3,2.exe
    O4 - Global Startup: GoBack.lnk = C:\Program Files\NGB\GBTray.exe
    O10 - Broken Internet access because of LSP provider 'imon.dll' missing
    O17 - HKLM\System\CCS\Services\Tcpip\..\{98AA1F7A-8B0F-419B-8488-D27DF2EA4039}: NameServer = 194.134.5.5 194.134.0.97
  • Wooooooow!

    Internet is gevaarlijk zeg!
    Ik internet nu vanavond weer vanaf mijn eigen pc,
    heb sygate personal fw geinstalleerd en kreeg de ene flashmelding
    na de andere (2 rode pijltjes+geel sterretje in midden)
    Sygate is in alertmode vanwege attacks!

    Dit is toch niet te geloven?
    Ik zit net een minuut of 4 weer via eigen pc op internet.
    En wordt nu alweer aangevallen!
    Hoe kan dit? Ik zou haast denken dat dit niet een random attack is,
    maar een directe aanval op mijn ip!

    Hoe kan je daar achter komen?

    daniel
  • Even in de gaten houden of het steeds van dezelfde ip komt, als het steeds van dezelfde ip komt zou het idd kunnen dat dit attacks op jou gericht zijn,

    Maar die log, zou je er een met de nieuwe versie willen maken? Kan ik net iets meer zien en misschien valt er dan nog iets uit te pakken.

    http://www.majorgeeks.com/downloadget.php?id=3155&file=3&evp=3304750663b552982a8baee6434cfc13
  • okay,

    Mn hd doet het iig neit meer. ander probleem.

    maar zal het posten zodra het kan.
    Ik heb npog een vraag over "System3,2.exe"

    Nod32 geeft deze niet aan als trojan of worm. Hij zit in system32/.
    Maar sygate firewall gaf gisteren aan dat deze bestand dus
    contact probeert te leggen met (niet zeker meer) iets van
    Swif.VoL met ip adres erbij. Ook dat zal ik later posten als ik
    precies weet hoe het heet.


    daniel

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.