Vraag & Antwoord

Beveiliging & privacy

scmt16.exe

8 antwoorden
  • Hallo, mijn virusscanner heeft een verdacht bestand gevonden dat niet te verwijderen is... Het gaat om het bestand scmt16.exe en staat in de map windows/system32/ Iemand een ideel wat dit is en wat te doen? Bij voorbaat dank voor jullie reacties.
  • Volgens Panda is het dit:[quote:28b30cb82c]Virus:Trj/Downloader.GSU Not disinfected C:\WINDOWS\system32\scmt16.exe[/quote:28b30cb82c]en volgens Ewido is het deze:[quote:28b30cb82c] C:\WINDOWS\system32\scmt16.exe -> Downloader.PassAlert.d[/quote:28b30cb82c]Kan je die scanner in veilige modus laten scannen, mogelijk wordt het bestand dan wel verwijderd. Post anders maar een logje van HijackThis. Groeten smeenk
  • Hallo Smeenk, dat in de veilige modus ga ik nu proberen. Hierbij de log file Logfile of HijackThis v1.99.1 Scan saved at 14:37:17, on 27-12-2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\QuickTime\qttask.exe C:\Norman\bin\ZLH.EXE C:\Program Files\ScanSoft\OmniPagePro12.0\Opware12.exe C:\Program Files\Echo\pfsview.exe C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Program Files\Echo\engine.exe C:\WINDOWS\System32\alg.exe C:\Program Files\Norman\NPF\NPFMSG.EXE C:\Program Files\Norman\NPF\NPFSVICE.EXE C:\Norman\bin\ZANDA.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Echo\taskbar.exe C:\Norman\bin\NJEEVES.EXE C:\WINDOWS\System32\wuauclt.exe C:\NORMAN\nvc\BIN\nvcoas.exe C:\Norman\Nvc\BIN\NIP.EXE C:\NORMAN\Nvc\BIN\nipsvc.exe C:\NORMAN\nvc\BIN\NVCSCHED.EXE C:\Norman\Nvc\bin\cclaw.exe C:\Norman\Nvc\BIN\NVCOD.EXE H:\software\ad aware\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [Opware12] "C:\Program Files\ScanSoft\OmniPagePro12.0\Opware12.exe" O4 - HKLM\..\Run: [1Disk Monitor] C:\Program Files\Echo\pfsview.exe O4 - HKLM\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe" O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: NPF Messenger.lnk = ? O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O17 - HKLM\System\CCS\Services\Tcpip\..\{579D13F5-6DC4-4A2A-8CEE-65F6A40B211A}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{C17F52E8-0B2A-45D4-A22F-613BCAFA2693}: NameServer = 192.168.1.1 O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE O23 - Service: Norman Type-R - Unknown owner - C:\Program Files\Norman\NPF\NPFSVICE.EXE O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\nvc\BIN\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\nvc\BIN\NVCSCHED.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: xControlCOM - Siemens - C:\Program Files\Gigaset\talk&surf 5.1\xControlCOM.exe In iedergeval bedankt zover.
  • Hallo Smeenk, in de veilige modus gaf de virusscanner nog steeds aan dat het bestand niet te verwijderen was.... Ik heb het toen handmatig een andere naam gegeven en op een andere plaats neergezet. Dat ging dus zonder problemen. Hetzelfde euvel vond de scanner ook in de systeemherstel map. Ik heb dit uitgezet en toen werd het niet gevonden. Inmiddels het systeemherstel weer aangezet en nu lijkt alles schoon te zijn. Ik neem aan dat ik het bestand zonder meer kan verwijderen, toch? Wat is een w32/downloader (zo werd het genoemd) eigenlijk? Nog iets gevonden in mijn log bestand? Bedankt
  • Vreemd dat je het bestand handmatig hernoemen kunt en dat je scanner dit niet kan. Een trojandownloader installeert meestal andere troep op je systeem(meestal adware of spyware) Je log zag er schoon uit, waarschijnlijk was die infectie niet actief :wink: Het bestand kan je nu zonder problemen verwijderen. Doe eventueel een online scan via [url=http://www.pandasoftware.com/activescan/com/activescan_principal.htm]Panda's online virus scan[/url]. Krijg je de mogelijkheid om een logje op te slaan dan doe je dit. Post het logje van Panda in een volgend bericht. Groeten smeenk
  • Hallo Smeenk, dit is het resultaat van de Panda scan Incident Status Location Adware:adware/secure32 Not desinfected C:\WINDOWS\country.exe Adware:adware/cws.searchmeup Not desinfected C:\WINDOWS\kl.exe Adware:adware/keenvalue Not desinfected C:\WINDOWS\system32\drivers\etc\hosts.bho Adware:Adware/SAHAgent Not desinfected C:\WINDOWS\system32\xmltok.dll Adware:adware/isearch Not desinfected C:\WINDOWS\tool2.exe Hoort dit gewoon bij Adware of is hier iets mis? Groeten
  • Nee, dit zijn waarschijnlijk restanten van infecties die je ooit al eens had, deze mag je gewoon verwijderen. [b:4dbbfd9d5f]Adware[/b:4dbbfd9d5f] zijn programma's die op de 1 of andere manier [b:4dbbfd9d5f]ad[/b:4dbbfd9d5f]vertenties op je systeem kunnen weergeven. Zorg ervoor dat alle verborgen bestanden en mappen weergegeven worden.[url=http://users.telenet.be/marcvn/spyware/1117602.htm] Hoe verborgen bestanden en mappen weergeven[/url]. Haal ook het vinkje weg bij: "Bestandsextensies verbergen voor bekende bestandstypes". Dit bevestigen met "OK". Zoek deze bestanden(vetgedrukt) eens op met je verkenner en verwijder ze: C:\WINDOWS\[b:4dbbfd9d5f]country.exe[/b:4dbbfd9d5f] C:\WINDOWS\[b:4dbbfd9d5f]kl.exe[/b:4dbbfd9d5f] C:\WINDOWS\system32\drivers\etc\[b:4dbbfd9d5f]hosts.bho[/b:4dbbfd9d5f] C:\WINDOWS\system32\[b:4dbbfd9d5f]xmltok.dll[/b:4dbbfd9d5f] C:\WINDOWS\[b:4dbbfd9d5f]tool2.exe [/b:4dbbfd9d5f] Daarna je prullenbak leegmaken en je systeem is weer schoon :wink:
  • Hallo Smeenk, allemaal gedaan. BEDANKT!! Wat kan ik nog meer doen om mijn systeem te "beschermen", tot nu toe leek te werken wat ik heb: Firewall Virusscanner Ad-Aware (volledige versie) SpywareBlaster Updates van Microsoft Groeten, Grafcom

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.