Vraag & Antwoord

Beveiliging & privacy

Extreem hardnekkige spyware

9 antwoorden
  • Ik heb heel veel spyware etc ineens. lees er meer over in de andere topic: [url=http://forum.computertotaal.nl/phpBB2/viewtopic.php?t=162155]hier[/url] DIT IS GEEN DUBBELPOSTING! (het werd me opgedragen door Tomtom137, ivm het feit dat ik het in het verkeerde forum had gepost) Mijn probleem staat dus in die topic. Verder, is het nu ook nog zo dat ik inees een virusscanner genaamd Spywarequake geinstalleerd had :-? Deze heb ik via 'software' kunnen verwijderen, resterende delen in program files heb ik ook verwijderd. Ik moest een hijackthis logje doen: hier is ie dan! [code:1:25efb6e9aa]Logfile of HijackThis v1.99.1 Scan saved at 15:08:03, on 16-6-2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\atmclk.exe C:\WINDOWS\system32\dcomcfg.exe C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\MessengerPlus! 3\MsgPlus.exe C:\Program Files\Logitech\MouseWare\system\em_exec.exe C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Microsoft.NET\Framework\v2.0.40607\aspnet_admin.exe C:\WINDOWS\ATKKBService.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\CyberLink\Shared files\RichVideo.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\Documents and Settings\Yoeri\Bureaublad\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\system32\hp100.tmp O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [Creative Detector] "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [USDownloader] "E:\Setups\USDownloader\USDownloader.exe" O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dll O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Xstream Radio - {7A0815F1-6B65-4e3a-B198-709807B4042A} - C:\Program Files\XstreamRadio 3.02\RadioHelper.dll O9 - Extra 'Tools' menuitem: Xstream Radio - {7A0815F1-6B65-4e3a-B198-709807B4042A} - C:\Program Files\XstreamRadio 3.02\RadioHelper.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Kaspersky Anti-Virus Service (kavsvc) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe [/code:1:25efb6e9aa] USdownloader.exe staat er bewust bij, dat is niets van spyware... Verder, kreeg ik zojuist een waarschuwing van mijn virusscanner Kaspersky, dat hij het een en ander aan gevaarlijke dingen had gevonden. Dit lijkt mij juist niet gevaarlijk, het gaat namelijk om 'winlogon.exe', verder zijn er nog wel 2 trojan downloaders!!! Zie screenshot: [url=http://img227.imageshack.us/my.php?image=kaspersky1zu.jpg][img:25efb6e9aa]http://img227.imageshack.us/img227/9273/kaspersky1zu.th.jpg[/img:25efb6e9aa][/url] Hopelijk kunnen jullie me helpen, want hier word ik gek van!
  • ik heb ondertussen gescand met Spybot S&D, CWschredder, Ad-aware en mijn virusscanner. Spybot S&D heeft heel veel problemen verholpen, alles is verwijderd. Er is nu nog 1 dingetje die steeds weer omhoog komt. 'Virus Alert!' dit is een icoontje in mijn taakbalk. Heeft iemand nog een ideee?
  • momentje [b:f01d562cc1]PartyGaming[/b:f01d562cc1] << gebruik jij dit????????????
  • Eerst maar eens kijken wat het precies is. Post #1 Download [url=http://siri.urz.free.fr/Fix/SmitfraudFix.zip]SmitfraudFix[/url] (van[b:73822b7386]S!Ri[/b:73822b7386]), en pak het uit op je bureaublad. * Open de [b:73822b7386]SmitfraudFix[/b:73822b7386] map en dubbelklik op [b:73822b7386]smitfraudfix.cmd[/b:73822b7386] * Kies optie #1 - [b:73822b7386]Search[/b:73822b7386] door[b:73822b7386]1[/b:73822b7386] te typen, en druk op "[b:73822b7386]Enter[/b:73822b7386]"; [i:73822b7386]Er zal een tekstbestandje openen. [/i:73822b7386] * Plaats de inhoud van dat tekstbestandje in je volgende antwoord. Succes
  • SmitFraudFix v2.61 Scan done at 16:11:32,20, vr 16-06-2006 Run from C:\Documents and Settings\Yoeri\Bureaublad\SmitfraudFix OS: Microsoft Windows XP [versie 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 C:\WINDOWS\system32\atmclk.exe FOUND ! C:\WINDOWS\system32\dcomcfg.exe FOUND ! C:\WINDOWS\system32\hp???.tmp FOUND ! C:\WINDOWS\system32\hp????.tmp FOUND ! C:\WINDOWS\system32\ld????.tmp FOUND ! C:\WINDOWS\system32\ot.ico FOUND ! C:\WINDOWS\system32\simpole.tlb FOUND ! C:\WINDOWS\system32\stdole3.tlb FOUND ! C:\WINDOWS\system32\1024\ FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Yoeri\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Yoeri\FAVORI~1 C:\DOCUME~1\Yoeri\FAVORI~1\Antivirus Test Online.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Mijn huidige introductiepagina" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{ed39ecef-902e-4ed1-8434-71e8db89e5ca}"="decorin" [HKEY_CLASSES_ROOT\CLSID\{ed39ecef-902e-4ed1-8434-71e8db89e5ca}\InProcServer32] @="C:\WINDOWS\system32\oybgrql.dll" [HKEY_CURRENT_USER\Software\Classes\CLSID\{ed39ecef-902e-4ed1-8434-71e8db89e5ca}\InProcServer32] @="C:\WINDOWS\system32\oybgrql.dll" »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End
  • Niks weg , erg aanwezig. Doe onderstaande. Post #2 - Clean * Print onderstaande instrukties uit of kopieer ze naar een .txt bestand. Dit, omdat de rest van de fix in veilige modus is en je hier dus niet meer kan terugzoeken. * Start op in [url=http://www.virushelp.nl/veilige_modus.htm][color=Blue:6a611545f7]Veilige modus[/color:6a611545f7][/url] * Open de map [b:6a611545f7]smitfraudfix[/b:6a611545f7] en dubbelklik op [b:6a611545f7]smitfraudfix.cmd[/b:6a611545f7] * Kies optie #2 - [b:6a611545f7]Clean[/b:6a611545f7] door[b:6a611545f7]2[/b:6a611545f7] te typen, en druk op "[b:6a611545f7]Enter[/b:6a611545f7]" om de geïnfecteerde bestanden te verwijderen. [i:6a611545f7]Je zal een vraag krijgen: ""Registry cleaning - Do you want to clean the registry ?"[/i:6a611545f7] * Antwoord "yes" door [b:6a611545f7]y[/b:6a611545f7] te typen en druk op "Enter". (Als je pc daarna niet herstart, start hem dan handmatig terug op in normale modus) [i:6a611545f7]Het tooltje zal nu onderzoeken of [b:6a611545f7]wininet.dll[/b:6a611545f7] geïnfecteerd is. Je kan dus de vraag krijgen of je het geïnfecteerde bestandje wil vervangen.[/i:6a611545f7] *Antwoord dan "yes" door [b:6a611545f7]y[/b:6a611545f7] te typen en druk op "Enter". [i:6a611545f7]Het kan zijn dat het tooltje je pc opnieuw laat opstarten om zijn werk te kunnen afmaken.[/i:6a611545f7] * Als dat niet zo is, start je pc dan handmatig opnieuw op in normale modus. [i:6a611545f7]Er zal een tekstbestandje openen met de resultaten van de fix. [/i:6a611545f7]> * Post de inhoud van dit bestandje in je volgende antwoord, samen met een nieuw Hijackthis-logje. (Je kan het rapport ook vinden in c:\rapport.txt) Succes [color=blue:6a611545f7]Opmerking : [b:6a611545f7]process.exe[/b:6a611545f7] (gebruikt door SmitfraudFix) wordt door sommige antivirusprogramma's (AntiVir, Dr.Web, Kaspersky, ...) gedetecteerd als een "RiskTool"; het is geen virus, maar een programma dat wordt gebruikt om de systeemprocessen te stoppen. Antivirusprogramma's kunnen geen onderscheid maken tussen "goed" en "kwaadaardig" gebruik van dergelijke programma's, en kunnen bijgevolg de gebruiker waarschuwen.[/color:6a611545f7]
  • oke, ik zal het vanavond/morgen even doen (ben hard bezig met toetsweek, tussendoor posten enz kan wel, maar echt tijd om me aandacht voor veilige modus te doen heb ik niet) de enigste dingen die ik nu nog kan ZIEN (op bureaublad aan popups etc) is dit: Dat soort van 'verboden' tekentje wat er staat hoort bij de spyware/wathet ookis [url=http://img113.imageshack.us/my.php?image=laatstefout8of.jpg][img:0456205885]http://img113.imageshack.us/img113/7026/laatstefout8of.th.jpg[/img:0456205885][/url]
  • tuurlijk zolang je de volgende fix niet doet blijf je dat houden.
  • [quote:0d06a4612e="juisterr"]tuurlijk zolang je de volgende fix niet doet blijf je dat houden.[/quote:0d06a4612e] dat snap ik

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.