Vraag & Antwoord

Beveiliging & privacy

Twee hardnekkige Trojan Downloaders

16 antwoorden
  • Hallo mensen, Ik heb de pc van mn schoonzoon in onderhoud. Nou draai ik elke week een aantal scans voor viruscontrole en spywarecontrole. Wat mij de laatste weken opvalt is dat er bij de spywarecontrole (ik gebruik Super Anti Spyware) steeds een tweetal Trojan Downloaders terugkeren. Even zo hardnekkig verwijder ik ze wel, maar even zo hardnekkig komen ze ook weer terug. Kan dat liggen aan bepaalde websites die hij bezoekt, of dat die Trojan Downloaders gewoon niet te verwijderen zijn ofzo?? Hij heeft een lichtere versie van XP (zwaarder kan vanwege het CPU vermogen en geheugen niet) en hij gebruikt FireFox. Mijn vraag is: hoe kan ik die Trojan Downloaders permanent verwijderen?? Verder voor de rest loopt zijn pc naar vermogen redelijk snel. Alvast bedankt voor het meedenken. Groetenissen, Margreet.
  • draait er wel een goede virusscanner mee, en is die uptodate?? doe eens een volledige scan met malwarebytes.
  • Hallo Derk, Hij heeft NOD32 op zn pc als virusscanner, alleen de realtimescan is uit. NOD update wel regelmatig, op zn minst een keer per dag soms meer, automatisch. Ik zal Malwarebytes es laten draaien op zijn pc maar ik kom daar niet eerder weer als komende dinsdag. Maar toch bedankt voor het meedenken. Ik hou je op de hoogte Groetenissen, Margreet
  • Bedenk dat het mogelijk geen kwestie is van virusbescherming, maar van spy-malwarebescherming. Voor dat laatste helpt een malwarebites, maar toch is het daarna aangeraden van een Hijack-logje te laten maken en te laten ontleden (zie betreffende sectie) Is die computer trouwens wel goed beschermd tegen spyware? (welke bescherming heeft hij in huis?) Nod32 heeft ook bescherming tegen spyware - staat die wel actief ingesteld?
  • http://www.idealsoftware.nl/MBAM/ Eerst updaten en daarna een log posten. http://free.antivirus.com/hijackthis/ Ook een log posten. Een expert kan je dan wellicht verder helpen.
  • Tja Passer, of zijn NOD ingesteld is op spywarebescherming weet ik zo niet. Daar ga ik ff naar kijken. En Dragon, ik ga zowiezo ff Malwarebytes, MBAM en HijackThis downloaden en laten draaien. De logs plaats ik hier wel ff. (ben trouwens erg benieuwd wat ze vinden) Heb um wel gevraagd welke sites hij bezoekt maar dat is er niet zo gek veel. Niet nieuwe, steeds dezelfde sites die hij altijd al bezocht. Kan zijn dat de pc daardoor al een hele tijd zo traag was....alleen dat wordt steeds erger natuurlijk. En hij heeft van onderhoud niet echt veel kaas gegeten, maar heeft de pc wel elke dag nodig. Anyway, ik hou jullie op de hoogte en ga morgen die programmaas ff laten draaien. Bedankt voor het meedenken. Groetenissen, Margreet.
  • Oh ja, voordat ik het vergeet:kwa spywarebescherming heeft hij Super Anti Spyware (free edition) er op staan. Maar ook daarvan staat de realtimescan uit omdat die de pc zo vertraagt. Handmatig scan ik dan dus regelmatig zijn pc.
  • super antispyware is wel goed dacht ik ('k gebruikte het zelf nog niet) - maar zonder realtime-bescherming vis je natuurlijk steeds achter het net. Niet dat dat normaal zò erg is, hangt er allemaal af van welke sites je bezoekt en welke dingen je downloadt. En goede surplus is (de freeware) Spywareblaster - het is geen anti-spy in de klassieke zin van het woord: het scant niet, maar het plaatst een aantal registersleutels die (veel) gekende spyware belet zich op je systeem te nestelen. 'k Raad het jou / je schoonzoon aan.
  • Hallo mensen, Ik heb ff n tweetal scans gedraaid op de pc van mn schoonzoon. Dit is wat MBAM vond: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Databaseversie: 4201 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 15-6-2010 23:12:35 mbam-log-2010-06-15 (23-12-35).txt Scantype: Volledige scan (C:\|) Objecten gescand: 174957 Verstreken tijd: 1 uur/uren, 17 minuut/minuten, 41 seconde(n) Geheugenprocessen geïnfecteerd: 0 Geheugenmodulen geïnfecteerd: 0 Registersleutels geïnfecteerd: 0 Registerwaarden geïnfecteerd: 1 Registerdata geïnfecteerd: 0 Mappen geïnfecteerd: 0 Bestanden geïnfecteerd: 0 Geheugenprocessen geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) Geheugenmodulen geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) Registersleutels geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) Registerwaarden geïnfecteerd: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken. Registerdata geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) Mappen geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) Bestanden geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) _________________________________________________________________ En dit is wat HijackThis vond: Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 23:14:52, on 15-6-2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.21256) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\CTsvcCDA.exe C:\Documents and Settings\Administrator\Local Settings\Application Data\CrossLoop\CrossLoopService.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\VistaDrive\VistaDrive.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Eset\nod32krn.exe C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\oodag.exe C:\Program Files\CyberLink\PCM4Everio\EverioService.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe C:\Program Files\Eset\nod32kui.exe C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\Program Files\CyberLink\Shared Files\RichVideo.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\system32\oodtray.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\UPHClean\uphclean.exe C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\Program Files\Nokia\PC Connectivity Solution\Transports\NclUSBSrv.exe C:\Program Files\Nokia\PC Connectivity Solution\Transports\NclRSSrv.exe C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe C:\Documents and Settings\Administrator\Bureaublad\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - HKLM\..\Run: [VistaDrive] C:\WINDOWS\VistaDrive\VistaDrive.exe O4 - HKLM\..\Run: [NOD32view] C:\Program Files\NOD32view\NOD32view.exe O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe O4 - HKLM\..\Run: [EverioService] "C:\Program Files\CyberLink\PCM4Everio\EverioService.exe" O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [RemoteControl8] "C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe" O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [NokiaMServer] C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles O4 - HKLM\..\Run: [Nokia FastStart] "C:\Program Files\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice') O4 - HKUS\S-1-5-20\..\Run: [VisualTaskTips] C:\Program Files\Utilities\VisualTaskTips\VisualTaskTips.exe (User 'Netwerkservice') O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Netwerkservice') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user') O4 - Startup: OpenOffice.org 2.4 .lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: MS-KB - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing) O9 - Extra 'Tools' menuitem: MS-KB - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing) O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: HP Slim selecteren - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: CrossLoop Service (CrossLoopService) - CrossLoop Inc - C:\Documents and Settings\Administrator\Local Settings\Application Data\CrossLoop\CrossLoopService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: TwonkyMedia - PacketVideo - C:\Program Files\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe O23 - Service: uvnc_service - UltraVNC - C:\Documents and Settings\Administrator\Local Settings\Application Data\CrossLoop\winvnc.exe -- End of file - 9581 bytes ____________________________________________________ Tja die realtime bescherming.... Ik scan elke week de pc van mn schoonzoon met Super Anti Spyware en NOD. Ik durf alleen niet die realscan aan te zetten omdat ik bang ben dat dat de pc nog meer vertraagt. Het is al niet zo'n snelle.... Kijk, en een Spywareblaster die via het register spyware blokkeert en niet meer dan dat doet lijkt me wel goed. Ben erg benieuwd wat jullie vinden in de logjes. Morgenmiddag moet ik er ook weer heen, dus dan log ik daar wel in. Groetenissen, Margreet.
  • Hallo Margreet, datgene wat het MBAM-log toont: forceclassiccontrolpanel - heb jij de mogelijkheid om de keuzemogelijkheid in het Configuratiescherm uitgeschakeld. Zoniet dan is hett een malwareinstelling! En welke trojans (naam en lokatie) worden telkens weer gevonden?
  • Uh..waar vind ik die keuzemogelijkheid? Ik heb in de doftwarelaijst gekeken maar daar staat hij niet tussen. De spywarescanner is momenteel aan het scannen (full scan).Tijdens de scan heeft hij dus die twee trojan downloaders al gevonden. Als hij klaar is ga ik ff een screenshot plaatsen van zijn bevindingen. Verder is het n dik 30 stuks adware wat hij vindt. Groetenissen, Margreet.
  • Uh, een screenshot was niet mogelijk omdat ik het venster niet maximaal kon zetten dus schrijf ik het maar hier. Beide trojan downloaders blijken in een patch te zitten: C:\ (zijn naam dus)\documents and settings\all users\menu start\programma's\elaboratebytes\clone dvd2\clone dvd2 v 2.8.5.1 crack\patch.exe De tweede zegt eigelijk precies hetzelfde: C:\(zijn naam)documents and settings\all users\menu start\programma's\elaboratebytes\clone dvd2\patch.exe Als ik nou die patches verwijder, ben ik dan ook die hardnekkige trojan downloaders kwijt? Of als er nog meer gebeuren moet, zie ik dat graag. Verder had hij 34 adware tracking cookies in z'n C:\documents and settings\\administrator\Cookie...uh...map Uh, ik hoop dat ik het op deze manier een beetje duidelijk heb neergezet. Groetenissen, Margreet.
  • Hallo Margreet, even voor alle duidelijkheid. Het gebruik van illegale software, geactiveerd door cracks en keygens houdt in, dat de betreffende Windows nooit gevrijwaard zal blijven van besmettingen! Al jaren worden deze vrijschakelprogramma's voor het illegaal gebruiken van betaalde software grotenddels door internetcriminelen gemaakt. Want voor wat hoort wat: jij wil niet betalen voor je software, dan wil ik je computer ook kunnen gebruiken - heb je een leuke bankrekening - nog mooier - dan ga ik die proberen te plunderen! Of je PC wordt een Zombie en laat ik je spam versturen of doe ik er andere criminele aktiviteiten mee! http://marcvn.blogspot.com/2008/07/niets-voor-niets.html
  • Met andere woorden, verwijder de illegale software in zijn geheel! Dat is ook de enige oplossing die we hier nog bieden, aangezien er bij illegale software geen hulp wordt geboden. Als na het verwijderen nog steeds een probleem is dan kan je het hier melden dan kijken we er verder naar.
  • verwijder de cracks en je hebt geen last meer van de meldings alleen heb je kans dat die software[clonedvd]niet meer werkt. als de pc zo traag is , kijk dan ook eens wat hij zoal opstart met windows start/uitvoeren/msconfig/opstarten vink alles uit behalve nod32 even opnieuw opstarten en run ccleaner eens: [url]http://www.filehippo.com/download_ccleaner[/url] voor het opruimen van overtollige troep stop niet te veel spyware scanners in je pc dat kan ook heel vertragend werken alleen nod32 en Windows Defender moet ruim voldoende zijn om de pc te beschermen.
  • [quote:b21c5c6d3f="vedion"]verwijder de cracks en je hebt geen last meer van de meldings alleen heb je kans dat die software[clonedvd]niet meer werkt. als de pc zo traag is , kijk dan ook eens wat hij zoal opstart met windows start/uitvoeren/msconfig/opstarten vink alles uit behalve nod32 even opnieuw opstarten en run ccleaner eens: [url]http://www.filehippo.com/download_ccleaner[/url] voor het opruimen van overtollige troep stop niet te veel spyware scanners in je pc dat kan ook heel vertragend werken alleen nod32 en Windows Defender moet ruim voldoende zijn om de pc te beschermen.[/quote:b21c5c6d3f] Hmmm, schrijver heeft niet helemaal begrepen dat CloneDVD dus ook illegaal wordt gebruikt! En je kan je afvragen of EsetNod32 wel legitiem is!

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.