Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

scmt16.exe

Anoniem
smeenk
8 antwoorden
  • Hallo,

    mijn virusscanner heeft een verdacht bestand gevonden dat niet te verwijderen is…

    Het gaat om het bestand scmt16.exe en staat in de map windows/system32/

    Iemand een ideel wat dit is en wat te doen?

    Bij voorbaat dank voor jullie reacties.
  • Volgens Panda is het dit:[quote:28b30cb82c]Virus:Trj/Downloader.GSU Not disinfected C:\WINDOWS\system32\scmt16.exe[/quote:28b30cb82c]en volgens Ewido is het deze:[quote:28b30cb82c] C:\WINDOWS\system32\scmt16.exe -> Downloader.PassAlert.d[/quote:28b30cb82c]Kan je die scanner in veilige modus laten scannen, mogelijk wordt het bestand dan wel verwijderd.

    Post anders maar een logje van HijackThis.

    Groeten smeenk
  • Hallo Smeenk,

    dat in de veilige modus ga ik nu proberen. Hierbij de log file

    Logfile of HijackThis v1.99.1
    Scan saved at 14:37:17, on 27-12-2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\QuickTime\qttask.exe
    C:\Norman\bin\ZLH.EXE
    C:\Program Files\ScanSoft\OmniPagePro12.0\Opware12.exe
    C:\Program Files\Echo\pfsview.exe
    C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    C:\Program Files\Echo\engine.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Norman\NPF\NPFMSG.EXE
    C:\Program Files\Norman\NPF\NPFSVICE.EXE
    C:\Norman\bin\ZANDA.EXE
    C:\WINDOWS\System32
    vsvc32.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Echo\taskbar.exe
    C:\Norman\bin\NJEEVES.EXE
    C:\WINDOWS\System32\wuauclt.exe
    C:\NORMAN
    vc\BIN
    vcoas.exe
    C:\Norman\Nvc\BIN\NIP.EXE
    C:\NORMAN\Nvc\BIN
    ipsvc.exe
    C:\NORMAN
    vc\BIN\NVCSCHED.EXE
    C:\Norman\Nvc\bin\cclaw.exe
    C:\Norman\Nvc\BIN\NVCOD.EXE
    H:\software\ad aware\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
    O4 - HKLM\..\Run: [Opware12] "C:\Program Files\ScanSoft\OmniPagePro12.0\Opware12.exe"
    O4 - HKLM\..\Run: [1Disk Monitor] C:\Program Files\Echo\pfsview.exe
    O4 - HKLM\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: NPF Messenger.lnk = ?
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O17 - HKLM\System\CCS\Services\Tcpip\..\{579D13F5-6DC4-4A2A-8CEE-65F6A40B211A}: NameServer = 192.168.0.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C17F52E8-0B2A-45D4-A22F-613BCAFA2693}: NameServer = 192.168.1.1
    O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN
    ipsvc.exe
    O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
    O23 - Service: Norman Type-R - Unknown owner - C:\Program Files\Norman\NPF\NPFSVICE.EXE
    O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
    O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN
    vc\BIN
    vcoas.exe
    O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN
    vc\BIN\NVCSCHED.EXE
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
    vsvc32.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: xControlCOM - Siemens - C:\Program Files\Gigaset\talk&surf 5.1\xControlCOM.exe

    In iedergeval bedankt zover.









  • Hallo Smeenk,

    in de veilige modus gaf de virusscanner nog steeds aan dat het bestand niet te verwijderen was….
    Ik heb het toen handmatig een andere naam gegeven en op een andere plaats neergezet. Dat ging dus zonder problemen.
    Hetzelfde euvel vond de scanner ook in de systeemherstel map. Ik heb dit uitgezet en toen werd het niet gevonden.
    Inmiddels het systeemherstel weer aangezet en nu lijkt alles schoon te zijn.

    Ik neem aan dat ik het bestand zonder meer kan verwijderen, toch?
    Wat is een w32/downloader (zo werd het genoemd) eigenlijk?

    Nog iets gevonden in mijn log bestand?

    Bedankt
  • Vreemd dat je het bestand handmatig hernoemen kunt en dat je scanner dit niet kan.
    Een trojandownloader installeert meestal andere troep op je systeem(meestal adware of spyware)

    Je log zag er schoon uit, waarschijnlijk was die infectie niet actief :wink:

    Het bestand kan je nu zonder problemen verwijderen.

    Doe eventueel een online scan via Panda's online virus scan.
    Krijg je de mogelijkheid om een logje op te slaan dan doe je dit.
    Post het logje van Panda in een volgend bericht.

    Groeten smeenk
  • Hallo Smeenk,

    dit is het resultaat van de Panda scan


    Incident Status Location

    Adware:adware/secure32 Not desinfected C:\WINDOWS\country.exe
    Adware:adware/cws.searchmeup Not desinfected C:\WINDOWS\kl.exe
    Adware:adware/keenvalue Not desinfected C:\WINDOWS\system32\drivers\etc\hosts.bho
    Adware:Adware/SAHAgent Not desinfected C:\WINDOWS\system32\xmltok.dll
    Adware:adware/isearch Not desinfected C:\WINDOWS\tool2.exe
    Hoort dit gewoon bij Adware of is hier iets mis?

    Groeten
  • Nee, dit zijn waarschijnlijk restanten van infecties die je ooit al eens had, deze mag je gewoon verwijderen.
    [b:4dbbfd9d5f]Adware[/b:4dbbfd9d5f] zijn programma's die op de 1 of andere manier [b:4dbbfd9d5f]ad[/b:4dbbfd9d5f]vertenties op je systeem kunnen weergeven.

    Zorg ervoor dat alle verborgen bestanden en mappen weergegeven worden. Hoe verborgen bestanden en mappen weergeven.
    Haal ook het vinkje weg bij: "Bestandsextensies verbergen voor bekende bestandstypes". Dit bevestigen met "OK".

    Zoek deze bestanden(vetgedrukt) eens op met je verkenner en verwijder ze:
    C:\WINDOWS\[b:4dbbfd9d5f]country.exe[/b:4dbbfd9d5f]
    C:\WINDOWS\[b:4dbbfd9d5f]kl.exe[/b:4dbbfd9d5f]
    C:\WINDOWS\system32\drivers\etc\[b:4dbbfd9d5f]hosts.bho[/b:4dbbfd9d5f]
    C:\WINDOWS\system32\[b:4dbbfd9d5f]xmltok.dll[/b:4dbbfd9d5f]
    C:\WINDOWS\[b:4dbbfd9d5f]tool2.exe [/b:4dbbfd9d5f]

    Daarna je prullenbak leegmaken en je systeem is weer schoon :wink:
  • Hallo Smeenk,

    allemaal gedaan. BEDANKT!!

    Wat kan ik nog meer doen om mijn systeem te "beschermen", tot nu toe leek te werken wat ik heb:
    Firewall
    Virusscanner
    Ad-Aware (volledige versie)
    SpywareBlaster
    Updates van Microsoft

    Groeten, Grafcom

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.