Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

trojan-clicker in systeem, help!

albula
7 antwoorden
  • In mijn IE is een trojan gekomen. "trojan-clicker.win32.small.bt"
    Elke keer als ik IE start komt PestPatrol met de waarschuwing.
    Ik heb dit nooit eerder aan de hand gehad maar dat was natuurlijk een kwestie van tijd.
    Ik draai XP home SP2. Windows op een C partitie.
    PestPatrol heeft deze trojan gedetecteerd op 3 plaatsen:
    C\programfiles\internetexplorer\iexplore.exe;
    C\windows\servicepackfiles\i386\iexplorer.exe;
    C\system32\dllcache\iexplore.exe
    Ik heb PP deze 'dropper' op die 3 plaatsen verwijderd maar dan doet IE het niet meer. Systeemherstel dan maar en daar was de boosdoener weer terug. Ik heb hier gezocht maar (nog) niet gevonden. Omdat ik vaak zo'n hijackthislog hier zie op dit forum, heb ik dat er ook maar gemaakt .
    Wie weet een oplossing en wil me helpen?

    Logfile of HijackThis v1.99.1
    Scan saved at 21:43:23, on 6-11-2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AVPersonal\AVWUPSRV.EXE
    C:\Program Files\Norton AntiVirus
    avapsvc.exe
    C:\WINDOWS\System32
    vsvc32.exe
    C:\Program Files\Omniquad MyPrivacy\MyPrivacy\mpsvc.exe
    C:\Program Files\Photodex\ProShowGold\ScsiAccess.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\Anvshell.exe
    C:\WINDOWS\Mixer.exe
    C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    D:\Program Files\Winamp\Winampa.exe
    C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
    C:\Program Files\Common Files\Logitech\QCDriver2\LVCOMS.EXE
    C:\WINDOWS\HCChulp.exe
    C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    C:\Program Files\BillP Studios\WinPatrol\WinPatrol.exe
    C:\PROGRA~1\NORTON~1
    avapw32.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\ICQ\ICQPlus\vplus.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\FinePixViewer\QuickDCF.exe
    c:\Program Files\PestPatrol\ppmemcheck.exe
    c:\Program Files\PestPatrol\cookiepatrol.exe
    c:\Program Files\PestPatrol\ppcontrol.exe
    C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
    C:\Program Files\AVPersonal\AVGNT.EXE
    C:\Program Files\Hitman Pro\srhelper.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\Downloads systeem programma's\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.scqsfopyflvgcukjjqf.com/5UlXbQxD1RvcfotcgSThMxeioww7CK8Wg_KTMku7p6xetL6kLAB16m74wXxMhdc/.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &HCC Hulp - {0BFDDA12-9C1A-46B8-9681-AFF63C2A1EF0} - C:\PROGRA~1\hcchulp\HCCHulp.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [anvshell] C:\WINDOWS\Anvshell.exe
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [WinampAgent] "D:\Program Files\Winamp\Winampa.exe"
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
    O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Common Files\Logitech\QCDriver2\LVCOMS.EXE
    O4 - HKLM\..\Run: [PestPatrol Control Center] c:\PROGRA~1\PESTPA~1\PPControl.exe
    O4 - HKLM\..\Run: [PPMemCheck] c:\PROGRA~1\PESTPA~1\PPMemCheck.exe
    O4 - HKLM\..\Run: [CookiePatrol] c:\PROGRA~1\PESTPA~1\CookiePatrol.exe
    O4 - HKLM\..\Run: [HCChulp] C:\WINDOWS\HCChulp.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
    O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\WinPatrol.exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1
    avapw32.exe
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKCU\..\Run: [ICQ Plus] C:\Program Files\ICQ\ICQPlus\vplus.exe
    O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\\SmartDoctor.exe /start
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Hitman Pro SurfRight Helper] "C:\Program Files\Hitman Pro\srhelper.exe"
    O4 - Global Startup: Exif Launcher.lnk = ?
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
    pjpi150_02.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
    pjpi150_02.dll
    O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra button: MyCom - {98915670-98A4-430A-BC5A-D23ACC7539D4} - http://www.mycom.nl (file missing) (HKCU)
    O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093209445562
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) - http://download.zonelabs.com/bin/promotions/spywaredetector/WebAAS.cab
    O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
    O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4427/mcfscan.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{0673446C-8A06-4992-B704-636342D0A38A}: NameServer = 62.251.0.6 62.251.0.7
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
    O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
    avapsvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
    vsvc32.exe
    O23 - Service: Omniquad MyPrivacy - Unknown owner - C:\Program Files\Omniquad MyPrivacy\MyPrivacy\mpsvc.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: ScsiAccess - Unknown owner - C:\Program Files\Photodex\ProShowGold\ScsiAccess.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
  • heb je sosm msn messenger (plus) met sponsors geinstalleerd

    de r1 wijst op een lop infectie
  • Die R1 wijst inderdaad op LOP, maar ik kan verder niets ontdekken.

    Download en installeer CCleaner.
    Gebruik het programma nog niet.

    Run HijackThis nog een keer en plaats een vinkje bij de volgende items:

    [b:051ad6d505]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.scqsfopyflvgcukjjqf.com/5UlXbQxD1RvcfotcgSThMxeioww7CK8Wg_KTMku7p6xetL6kLAB16m74wXxMhdc/.html
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: MyCom - {98915670-98A4-430A-BC5A-D23ACC7539D4} - http://www.mycom.nl (file missing) (HKCU)[/b:051ad6d505]

    Sluit alle open vensters, klik daarna op "Fix checked" en sluit HijackThis af.

    Open een klablokbestand.
    Kopieer onderstaande code in dit kladblokbestand.
    Ga naar Bestand - Opslaan als.
    Bij "Opslaan in" kies je: Bureaublad
    Bij "Bestandsnaam" zet je: [b:051ad6d505]vindjob.bat[/b:051ad6d505]
    Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
    Klik op de knop Opslaan.
    [code:1:051ad6d505]dir %Windir%\tasks /a:h > files.txt
    notepad files.txt[/code:1:051ad6d505]
    Dubbelklik op vindjob.bat.
    Er opent een kladblokbestand. Post straks de inhoud van dit kladblokbestand.

    Download, installeer en update free trial versie van Ewido Security Suite
      [*:051ad6d505]Tijdens de installatie, onder "Additional Options", haal je de vinkjes weg bij "Install background guard" en "Install scan via context menu". [*:051ad6d505]Als je Ewido voor de eerste keer runt, zal je een foutmelding krijgen "Database could not be found!". Klik dan op [b:051ad6d505]OK[/b:051ad6d505]. Dit is normaal. [*:051ad6d505]In het hoofdscherm van Ewido, klik je op [b:051ad6d505]update[/b:051ad6d505] in het linker menu, en vervolgens op de [b:051ad6d505]Start update[/b:051ad6d505] knop. [*:051ad6d505]Als de updates gedaan zijn, zal er op de status bar beneden "Update successful" staan. [*:051ad6d505]Sluit Ewido. Laat het nog [b:051ad6d505]niet[/b:051ad6d505] scannen [/list:o:051ad6d505] Start je computer op in VEILIGE MODUS Start Ccleaner en klik op de knop "Opschonen". Open Ewido Security Suite[list:051ad6d505] [*:051ad6d505]klik op [b:051ad6d505]Scanner[/b:051ad6d505] [*:051ad6d505]Zorg dat er een vinkje staat bij volgende regels:[list:051ad6d505] [*:051ad6d505]Binder [*:051ad6d505]Crypter [*:051ad6d505]Archieven [/list:u:051ad6d505] [*:051ad6d505]Klik op [b:051ad6d505]Start Scan[/b:051ad6d505] [*:051ad6d505]Laat het programma je pc scannen [/list:u:051ad6d505]Tijdens de scan zal je gevraagd worden of je gevonden bestanden wilt verwijderen. Klik dan op [b:051ad6d505]OK[/b:051ad6d505] Als de scan beëindigd is, zal je een knop zien [b:051ad6d505]Save report[/b:051ad6d505][list:051ad6d505] [*:051ad6d505]Klik op [b:051ad6d505]Save Report[/b:051ad6d505] [*:051ad6d505]Sla het rapport op op je bureaublad [*:051ad6d505]Sluit Ewido af [/list:u:051ad6d505] Herstart nu je computer in normale modus en post dan het rapport van Ewido, vindjob en een nieuwe HijackThis log. Groeten smeenk :wink:
  • Dat Pest Patrol iexplore.exe aanziet voor een trojan is een fakemelding, ook bij Anti Spyware Offensief komen nu veel van deze meldingen binnen, allemaal gebruikers van Pest Patrol.

    Dit is wel de grootste flater die ik een antispywareprogramma ooit heb zien maken, want iexplore.exe is gewoon je Internet Explorer webbrowser en die wordt gekilled door Pest Patrol :lol:

    Negeren die melding :wink:
  • Ik geloof niet dat PestPatrol iexplore.exe als het probleem ziet, maar de directory bedoeld waarin een fout bestand is gestopt.
    Bij het starten van IE verschijnt een venster waarin staat dat in de directory C\ProgramFiles\InternetExplorer\iexplore.exe een pest aanwezig is genaamd
    trojan-clicker.win32.small.bt.
    En zoals gezegd na runnen van PP worden op de 3 genoemde plaatsen blijkbaar bestanden gedetecteerd die met deze trojan te maken hebben.

    Hoe dan ook, ik ga aan de slag
  • Ik heb je een prive bericht gestuurd
  • Er werd dus één trojan gvonden door Ewido en voornamelijk spyware cookies.

    Wat betreft die 017: HCCNet, 62.251.0.6, 62.251.0.7

    Je log lijkt verder schoon.

    Wil je toch nog verder speuren:
    Doe dan nog eens een online scan met Panda, krijg je de mogelijkheid om een logje op te slaan, doe dit en post de inhoud van het logje in je volgende bericht.

    Groeten smeenk

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.