Vraag & Antwoord

Beveiliging & privacy

virussen in sytem files.HELP!

14 antwoorden
  • Hoi, De volgende bestanden in mijn c:\windows\systyem32\ zijn besmet een trojans en onbekende virussen! die niet verwijdert kunnen worden! (nod32) IEXPLORE.EXE Msbb.exe MSNMEGR.EXE Update2.exe WinGasys.exe Winhlpp.exe Winreg232.exe winole.exe Kan ik ze wissen, en dan met mn xp bootable install cd de missende bestanden opnieuw aanmaken? Er is echter een probleem, ik kom er zojuist achter dat deze bestanden (iig een paar) niet te wissen, nog te kopieren zijn. Nog kan ik de attrib +R veranderen voor _R zelfs onder herstart/ safe mode/dos niet!! wtf?? scenario 2: Als ik de xp-bootable install cd gebruik om xp opnieuw over de huidige installatie te installeren, vervangt de xp-installatie deze besmette bestanden dan? En krijg ik dan weer keurig onbesmette system files? daniel
  • Post eens een hijackthislog, als je even oplet horen die files helemaal niet in c:\windows\system32, :wink:
  • uhh.. verklaring aub. IEXPLORE.EXE en WinGasys.exe worden door xp gebruikt als ik ctrl-alt-del druk.. (processes) daniel
  • Nogal logisch dat ze daar staan, dat virus draait toch ook :roll: Post die hjt log nou maar, dan lossen we het op.
  • Ok. komt ie: Logfile of HijackThis v1.97.7 Scan saved at 19:54:40, on 20-9-2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\Program Files\Eset\nod32kui.exe C:\WINDOWS\System32\vpc32.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchba.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchmn.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchba.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchmn.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchmn.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchcs.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchsa.htm O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Patches Value] WinGasys.exe O4 - HKLM\..\Run: [Msbb.exe] Msbb.exe O4 - HKLM\..\Run: [Microsoft IE] IEXPLORE.EXE O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [MSNMSGR5] MSNMSGR5.exe O4 - HKLM\..\Run: [zervpack2] update2.exe O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe O4 - HKLM\..\RunServices: [Patches Value] WinGasys.exe O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe O4 - HKLM\..\RunServices: [Microsoft IE] IEXPLORE.EXE O4 - HKLM\..\RunServices: [MSNMSGR5] MSNMSGR5.exe O4 - HKLM\..\RunServices: [zervpack2] update2.exe O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Microsoft IE] IEXPLORE.EXE O4 - HKCU\..\Run: [Patches Value] WinGasys.exe O4 - HKCU\..\Run: [Msbb.exe] Msbb.exe O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe O10 - Broken Internet access because of LSP provider 'imon.dll' missing O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/Sasser/20/SassCln.CAB En nog iets als ik dus straks onzin begin uit te kramen hier of herrie schop. Kan zijn dat ik het niet ben want die trojans hebben vast mijn password voor ct! AUB. discontinue my accoutn en neem contact op via email. ik check mn email niet via geinfecteerd pc!! daniel
  • Ok. komt ie: Logfile of HijackThis v1.97.7 Scan saved at 19:54:40, on 20-9-2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\Program Files\Eset\nod32kui.exe C:\WINDOWS\System32\vpc32.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchba.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchmn.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchba.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchmn.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchmn.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchcs.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchsa.htm O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Patches Value] WinGasys.exe O4 - HKLM\..\Run: [Msbb.exe] Msbb.exe O4 - HKLM\..\Run: [Microsoft IE] IEXPLORE.EXE O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [MSNMSGR5] MSNMSGR5.exe O4 - HKLM\..\Run: [zervpack2] update2.exe O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe O4 - HKLM\..\RunServices: [Patches Value] WinGasys.exe O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe O4 - HKLM\..\RunServices: [Microsoft IE] IEXPLORE.EXE O4 - HKLM\..\RunServices: [MSNMSGR5] MSNMSGR5.exe O4 - HKLM\..\RunServices: [zervpack2] update2.exe O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Microsoft IE] IEXPLORE.EXE O4 - HKCU\..\Run: [Patches Value] WinGasys.exe O4 - HKCU\..\Run: [Msbb.exe] Msbb.exe O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe O10 - Broken Internet access because of LSP provider 'imon.dll' missing O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/Sasser/20/SassCln.CAB En nog iets als ik dus straks onzin begin uit te kramen hier of herrie schop. Kan zijn dat ik het niet ben want die trojans hebben vast mijn password voor ct! AUB. discontinue my accoutn en neem contact op via email. ik check mn email niet via geinfecteerd pc!! daniel
  • bliek wel
  • Kill deze processen in taakbeheer: [list:de58eddbeb][b:de58eddbeb] WinGasys.exe Msbb.exe IEXPLORE.EXE MSNMSGR5.exe update2.exe vpc32.exe [/b:de58eddbeb][/list:u:de58eddbeb] Sluit alle vensters en run hijackthis opnieuw, fix deze items: [list:de58eddbeb][b:de58eddbeb]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchba.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchmn.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchba.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchmn.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchmn.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchcs.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.defaultsearch.com/search/B90D4C2B8B3F4AB2BDDB776C16EAB8D8/1043/ie/searchsa.htm O4 - HKLM\..\Run: [Patches Value] WinGasys.exe O4 - HKLM\..\Run: [Msbb.exe] Msbb.exe O4 - HKLM\..\Run: [Microsoft IE] IEXPLORE.EXE O4 - HKLM\..\Run: [MSNMSGR5] MSNMSGR5.exe O4 - HKLM\..\Run: [zervpack2] update2.exe O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe O4 - HKLM\..\RunServices: [Patches Value] WinGasys.exe O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe O4 - HKLM\..\RunServices: [Microsoft IE] IEXPLORE.EXE O4 - HKLM\..\RunServices: [MSNMSGR5] MSNMSGR5.exe O4 - HKLM\..\RunServices: [zervpack2] update2.exe O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [Microsoft IE] IEXPLORE.EXE O4 - HKCU\..\Run: [Patches Value] WinGasys.exe O4 - HKCU\..\Run: [Msbb.exe] Msbb.exe O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe [/b:de58eddbeb][/list:u:de58eddbeb] Run dit tooltje: http://faq.tweakers.net/wos/WinsockXPFix.exe Herstart in safe mode en laat alle verborgen items weergeven, verwijder dan indien aanwezig: [list:de58eddbeb][b:de58eddbeb] WinGasys.exe Msbb.exe IEXPLORE.EXE MSNMSGR5.exe update2.exe vpc32.exe[/b:de58eddbeb][/list:u:de58eddbeb] Doe een volledige scan met nod32 Herstart in normale modus en post een nieuwe log.
  • Hoi, heb gedaan wat je zei. En in veilige modus alle resterende bestanden weggehaald. Msbb.exe, vpc32.exe en WinGasys.exe. 1. Vraagje, hoe wist je dat deze bestanden niet thuishoorde in /system32/ ? Heb je in je eigen system32/ gekeken? Na de bestanden gewist te hebben, opnieuw opgestart en nod32 alles laten scannen. Toen waren er nog een paar virussen ontdekt. Ik heb nod32 deze bestanden maar weg laten halen en in quarantine laten zetten. > winole.exe Rbot.AEF winregs32.exe Rbot.WW winhelpp32.exe (met dubbel p) Agobot.3.AEN (gedelete) 2. kan het kwaad dat ik deze files heb weggehaald? Weet niet of ze nodig zijn in XP. Systeem, alles , doet het wel.. Heeft winreg232.exe niets te maken met het aanmelden van dll's en activex dingen aan het systeem enzow? Morgen plaats ik een nieuwe hijack-this log. ik heb geen goede firewall, en ben bang straks weer geinfecteerd te raken (beetje gevoelig nog, lol) Ook aangezien er 4 virussen waren die nod32 niet herkende, Ik had advanced heuristics scannen aan. Nu maar hopen dat het geen vals alarm was en per ongeluk gezonde bestanden heb weggehaald. daniel Yeah! dus die virussen kan je gewoon killen met de hand!
  • Bestanden mag je idd verwijderen, hoe ik wist dat ze niet in system32 hoorden was per file verschillend, sommige weet ik dat het rotzooi is, andere heb ik even opgezocht via google, Deze: winreg232.exe zou legaal winreg32.exe moeten heten, en het moet haast wel een illegaal bestand zijn wat je weg hebt gesmeten want anders had je allang foutmeldingen ofzo gekregen. Edit: die hijackthislog waar blijft die?
  • Was te druk bezig met software installeren op me pc. Hier istie: Logfile of HijackThis v1.97.7 Scan saved at 22:15:04, on 22-9-2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Sygate Personal Firewall\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\NGB\GBPoll.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\System32\dllhost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\Program Files\Eset\nod32kui.exe C:\WINDOWS\System32\System3,2.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\NGB\GBTray.exe C:\WINDOWS\System32\dllhost.exe C:\Program Files\Internet Explorer\iexplore.exe C:\b2-disk!\a-vi\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [Microsoft Machines] System3,2.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui O4 - HKLM\..\RunServices: [Microsoft Machines] System3,2.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Microsoft Machines] System3,2.exe O4 - Global Startup: GoBack.lnk = C:\Program Files\NGB\GBTray.exe O10 - Broken Internet access because of LSP provider 'imon.dll' missing O17 - HKLM\System\CCS\Services\Tcpip\..\{98AA1F7A-8B0F-419B-8488-D27DF2EA4039}: NameServer = 194.134.5.5 194.134.0.97
  • Wooooooow! Internet is gevaarlijk zeg! Ik internet nu vanavond weer vanaf mijn eigen pc, heb sygate personal fw geinstalleerd en kreeg de ene flashmelding na de andere (2 rode pijltjes+geel sterretje in midden) Sygate is in alertmode vanwege attacks! Dit is toch niet te geloven? Ik zit net een minuut of 4 weer via eigen pc op internet. En wordt nu alweer aangevallen! Hoe kan dit? Ik zou haast denken dat dit niet een random attack is, maar een directe aanval op mijn ip! Hoe kan je daar achter komen? daniel
  • Even in de gaten houden of het steeds van dezelfde ip komt, als het steeds van dezelfde ip komt zou het idd kunnen dat dit attacks op jou gericht zijn, Maar die log, zou je er een met de nieuwe versie willen maken? Kan ik net iets meer zien en misschien valt er dan nog iets uit te pakken. http://www.majorgeeks.com/downloadget.php?id=3155&file=3&evp=3304750663b552982a8baee6434cfc13
  • okay, Mn hd doet het iig neit meer. ander probleem. maar zal het posten zodra het kan. Ik heb npog een vraag over "System3,2.exe" Nod32 geeft deze niet aan als trojan of worm. Hij zit in system32/. Maar sygate firewall gaf gisteren aan dat deze bestand dus contact probeert te leggen met (niet zeker meer) iets van Swif.VoL met ip adres erbij. Ook dat zal ik later posten als ik precies weet hoe het heet. daniel

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.