Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

c.bat Worm

Maarten81
4 antwoorden
  • Hallo allen,

    Op mijn pc op mijn werk krijg ik de melding dat er in het bestand c:\winnt\system32\c.bat de "W32/Sdbot.worm.bat.b"-worm zit. Als ik mijn AV hem laat wissen komt-ie naderhand weer net zo hard terug. AdAware en Spybot hebben niks gevonden.

    Wie weet raad met mijn Hijackthis log?

    Many thanks

    Maarten


    Logfile of HijackThis v1.98.2
    Scan saved at 14:21:50, on 9-11-2004
    Platform: Windows 2000 SP3 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Program Files\Intel\ASF Agent\ASFAgent.exe
    C:\Program Files\Network Associates\VirusScan\avsynmgr.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\hidserv.exe
    C:\WINNT\system32\NALNTSRV.EXE
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\wm.exe
    C:\Program Files\Network Associates\VirusScan\VsStat.exe
    C:\Program Files\Network Associates\VirusScan\Vshwin32.exe
    C:\Program Files\Common Files\Network Associates\McShield\mcshield.exe
    C:\Program Files\Network Associates\VirusScan\Webscanx.exe
    C:\Program Files\Network Associates\VirusScan\Avconsol.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\System32\hkcmd.exe
    C:\WINNT\system32\NWTRAY.EXE
    C:\WINNT\system32\internat.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    D:\Hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.erasmusmc.nl/faculteit
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
    O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
    O4 - HKCU\..\Run: [Internat.exe] internat.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
  • als het echt een .bat file is, zou hij gewoon leesbaarmoeten zijn, zou je dat bestand kunnen openen(notepad) en de inhoud ervan hier kunnen posten?
  • Je moet eens zorgen dat je alle updates van Microsoft hebt.
    Omdat jij McAfee gebruikt zou je voor verwijderen hun “engine and DAT files” kunnen gebruiken. Klik op volgende link, onderaan de pagina staat hun link voor de DAT engine: http://www.google.nl/search?q=cache:UOmlzX28tBkJ:hq.mcafeeasap.com/dispVirus.asp%3Fvirus_k%3D128685+W32/Sdbot.worm.bat.b&hl=nl&client=firefox-a

    In een bedrijf, PC staat op jou werk, zou ik meer beveiligen dat de gratis Spybot en AdAware, dus bijv. met het koopprogramma Spy Sweeper.

    Soms is het handig om een virus of worm te verwijderen in veilige modus. De kans is groot dat hij niet terug komt.

    Misschien dat Marc of iemand anders naar jou log file kan kijken. Volgens mij klopt dat: internat.exe niet. De vraag is: is deze de goede ‘internat.exe’ of de slechte. 1 is virus en de andere heeft te maken met taal instellingen van toetsenboord.
  • [quote:98ec61e580="red_bull"]als het echt een .bat file is, zou hij gewoon leesbaarmoeten zijn, zou je dat bestand kunnen openen(notepad) en de inhoud ervan hier kunnen posten?[/quote:98ec61e580]

    Heb ik gebropeerd, maar ik krijg een "acces denied": zelfs als ik als admin inlog :o

    [quote:98ec61e580="Falconetti"]Je moet eens zorgen dat je alle updates van Microsoft hebt.[/quote:98ec61e580]
    Zal ik moeten nakijken of ik dat zelf kan doen! Dank voor de tip.

    [quote:98ec61e580]In een bedrijf, PC staat op jou werk, zou ik meer beveiligen dat de gratis Spybot en AdAware, dus bijv. met het koopprogramma Spy Sweeper.[/quote:98ec61e580]
    1 woord: bureaucratie :wink:

    [quote:98ec61e580]Soms is het handig om een virus of worm te verwijderen in veilige modus. De kans is groot dat hij niet terug komt.[/quote:98ec61e580]
    Geprobeerd, helaas hij komt weer terug… :(

    [quote:98ec61e580]Misschien dat Marc of iemand anders naar jou log file kan kijken. Volgens mij klopt dat: internat.exe niet. De vraag is: is deze de goede ‘internat.exe’ of de slechte. 1 is virus en de andere heeft te maken met taal instellingen van toetsenboord.[/quote:98ec61e580]
    In dit geval is het volgens mij van mijn keyboard.

    Alvast bedankt voor je tips, die link ga ik ff bekijken!

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.