Vraag & Antwoord

Beveiliging & privacy

Rbot-gen-besmetting en registry.

13 antwoorden
  • Hoi, ik heb zojuist eea verwijderd ivm rbot-gen-besmetting (bestand winxpini). Trendmicro en Mcafee vonden hem niet, Kaspersky online wel. Hoe kan dit? Bij Sophos op de site staat dat de volgende registersleutels worden aangepast, en die staan nu ook zo: HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N" HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1" Moet ik die terugzetten? Zoja naar welke waarde of verwijderen? BVD, Peter.
  • Hoi Peter, Hier staat alle info: http://securityresponse.symantec.com/avcenter/venc/data/w32.spybot.daz.html Dus ook wat je moet verwijderen. Let op, je moet wel systeem herstel uitschakelen dus je bent alle herstelpunten kwijt + worm. Anders blijft het op je PC. Vergeet niet, als alles schoon, om systeem herstel opnieuw in te schakelen. succ6 Falco
  • Dan moet ik dus aan Norton, terwijl ik McAfee heb. De vraag is eigenlijk, moeten die twee sleutels eruit of een andere waarde krijgen?
  • 1) Update mcafee volledig, 2) schakel systeemherstel uit: http://users.pandora.be/marcvn/spyware/1852808.htm 3) herstart naar veilige modus: http://users.pandora.be/marcvn/spyware/1378056.htm 4) doe een volledige scan 5) herstart naar gewone modus en doe een online scan, post de resultaten samen met een hijackthislog. Zie de link hijackthislog maken in mijn onderschrift. Edit vergeten link naar de online scan te geven, dat is deze: http://www.bitdefender.com/scan/licence.php
  • [quote:c3d49044ab="P. Sanders"]Dan moet ik dus aan Norton, terwijl ik McAfee heb. De vraag is eigenlijk, moeten die twee sleutels eruit of een andere waarde krijgen?[/quote:c3d49044ab] Je MOET niets Peter :-? Het ging om de informatie en hoe kom je af van dat worm. Of dacht je dat een worm andere sleutels verandert als je McAfee gebruikt? Stond in het engels toch duidelijk: 1-Disable System Restore (Windows Me/XP). 2-Update the virus definitions. 3-Run a full system scan and delete all the files detected as W32.Spybot.DAZ 4-Delete the value that was added to the registry. Volgens mij staat bij 4 dat je de sleutels moet verwijderen. Daarna start je PC opnieuw op en je zet systeem herstel weer aan (als je dat gebruikt).
  • Hier is de log, maar nogmaals moeten de twee genoemde sleutels weg of veranderd worden? Logfile of HijackThis v1.98.2 Scan saved at 20:04:33, on 19-10-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\Program Files\Analog Devices\SoundMAX\Smax4.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Logitech\iTouch\iTouch.exe C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe C:\Program Files\Logitech\MouseWare\system\em_exec.exe C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe C:\Program Files\McAfee\McAfee VirusScan\Webscanx.exe C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe C:\PROGRAM FILES\COREL\GRAPHICS9\REGISTER\remind32.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Printkey\Printkey.exe C:\Program Files\HijackThis\HijackThis1982.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe O4 - Startup: Corel Registration.lnk = C:\Program Files\Corel\Graphics9\Register\Remind32.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Pinnacle Scheduler.lnk = ? O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094211861999 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{957A54D0-3245-4B1D-809F-873E428449A2}: NameServer = 194.159.73.136,194.159.73.137
  • O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm deze 2 kan je in ieder geval killen de rest laat ik aan de betere over (al zie ik niet veel meer)
  • Ik kijk die log even na, Die sleutels mag je verwijderen, maar als je even wacht, misschien zie ik een verwijzing erna in hijackthis en dat gaat een stukje handiger.
  • Geen erge dingen te zien in de log. Scan met hijackthis, vink de te fixen items aan en sluit alle vensters, klik daarna op fix checked. Deze sleutel mag je zelf weten of je hem fixt, die herrinert je er steeds aan dat je corel producten moet registreren. Als je dat gezeur of je hem wil registreren niet wilt hebben mag je deze regel repareren. [list:c17a226181][b:c17a226181]O4 - Startup: Corel Registration.lnk = C:\Program Files\Corel\Graphics9\Register\Remind32.exe[/b:c17a226181][/list:u:c17a226181] Fix ook de regels die Sjouwer aangaf en verwijder daarna dit bestand: [list:c17a226181]C:\WINDOWS\web\[b:c17a226181]related.htm[/b:c17a226181][/list:u:c17a226181] Er staat niet dat je die registersleutels moet repareren, hou dus even in de gaten of het virus terug komt, als het inderdaad terug komt dan zou ik ze backuppen en fixen, tot die tijd zou ik ze lekker laten staan. ps. dat ik in me vorige post zei dat ze verwijdert mochten worden was omdat ik dacht dat ze het over dezelfde sleutels hebben, dit is echter niet zo, de diverse sites van av's hebben het over sleutels die zorgen dat het telkens opstart als windows word gestart en die sleutels zijn eruit. (als die er nog waren kon je dat zien in hijackthis)
  • O4 - Startup: Corel Registration.lnk = C:\Program Files\Corel\Graphics9\Register\Remind32.exe als ik het goed heb staat in de map opstarten een reminder. deze kan je verwijderen ben je ook van de sleutel af start -- alle programma's -- opstarten
  • 3 sleutels verwijderd; related.htm verwijderd (was van 2003 dus niet ontstaan op deze pc (1 maand oud); in map opstarten stond geen reminder. Die sleutel met office10, kan die ook weg? Heb office xp geinstalleerd gehad en verwijderd. Draai nu office2000. Een map met office10 bestaat niet meer. bvd Peter.
  • Die sleutel van office mag je inderdaad fixen, maar je kan ook office uitzetten in msconfig.
  • Hallo, kijkend in de firewall-alerts van ZoneAlarm en klikkend naar meer info (AlertAdvisor) krijg ik het volgende en schrik ik me rot, zie svchost met winxpini die blijkbaar toch niet geheel verwijderd is, wat nu? >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> ZoneAlarm Pro prevented your computer from accessing port 53 on a DNS server ZoneAlarm Pro prevented your computer from sending a message to a remote computer. No breach in your security has occurred.Your computer is safe. Inside the firewall alert Alert property Alert property value Technical explanation Source IP Address xxx.xxx.xxx.xxx The IP address of the computer that sent the packet which caused the alert. Source Port 3054 The port used by the source computer when sending the packet. Destination IP 194.159.73.136 The IP address of the computer to which the packet was sent. Destination Port 53 The port on the destination computer used to receive the packet. Transport Layer Protocol UDP The protocol that allows data to be transported between software programs on different computers. Network Layer Protocol IP The protocol that allows two networked computers to locate each other on a network. Link Layer Protocol Ethernet The protocol that allows two directly linked computers to share a network cable. Program Name Generic Host Process for Win32 Services A program on your computer. This program either attempted to send an IP packet over the Internet or is waiting for an incoming packet. [b:c130d6da3c]File Name svchost.exe The executable file on your computer that launches and runs Generic Host Process for Win32 Services. Program Version winxpini.exe The version of Generic Host Process for Win32 Services running on your computer. [/b:c130d6da3c] Alert Date Oct-22-2004 05:43:16 AM GMT-08:00 The time when ZoneAlarm Pro detected the alert on your computer. Alert Count 1 Number of times this connection attempt repeated its attempt on your machine after the original alert. ZoneAlarm Pro shields your machine from repeated displays of an identical alert. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.