Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

PHOENIX TOOLKIT ACTIVITY 3

Abraham54
12 antwoorden
  • Hallo,

    Sinds zondag heb ik last van, volgens Norton, een phoenix toolkit activity 3. Heb gebrobeerd deze te verwijderen, maar dit is tot op heden niet
    gelukt.

    Volgens de beveiligings-info van Norton, is er een aanval iedere minuut.
    als IE open staat.
    Deze wordt welliswaar geblokeerd, maar ik heb deze activiteit liever niet.

    graag ideeen, liefst geslaagde pogingen, om deze te verwijderen.

    Groet,

    gerwin
  • Wat je kan doen is de volgende 2 progjes installeren,wel eerst updaten. Laten scannen en logs posten bij Beveiliging.Een expert kan je dan verder helpen.
    http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?

    http://www.trendmicro.com/ftp/products/hijackthis/beta/HijackThis.msi

    Logs dus ook posten bij beveiliging :)

    Het is i.d.d geen lekkertje.

    http://www.symantec.com/business/security_response/attacksignatures/detail.jsp?asid=24065
  • Ter verduidelijking van beide tools het volgende:

    [b:66c58fcefe]Welk programma[/b:66c58fcefe]: Trend Micro [b:66c58fcefe]Hijack This Versie 2.0.4[/b:66c58fcefe]
    [b:66c58fcefe]Waarvoor/waarom[/b:66c58fcefe]: maakt een duidelijk overzicht van Windows door middel van een scan.
    [b:66c58fcefe]Moeilijkheidsgraad[/b:66c58fcefe]: geen, enkel Vista- en Win 7 gebruikers dienen even extra aandacht te geven.

    [b:66c58fcefe]Download[/b:66c58fcefe] de [b:66c58fcefe]HijackThis Installer[/b:66c58fcefe]

    [b:66c58fcefe]Installatie[/b:66c58fcefe]:
    [list:66c58fcefe][*:66c58fcefe]Installeer HijackThis op de aangegeven lokatie - daarmee wordt voorkomen dat eventuele back-ups niet terugvindbaar zijn![/list:u:66c58fcefe]
    Gebruikers van [b:66c58fcefe]Windows Vista[/b:66c58fcefe] en [b:66c58fcefe]Windows 7[/b:66c58fcefe] gaan daarna naar de installatielokatie van HijackThis.
    [list:66c58fcefe][*:66c58fcefe]Vervolgens met rechts hijackthis.exe aanklikken en dan Eigenschappen kiezen.
    [*:66c58fcefe]Klik nu op de tab Comptabiliteit en zet dan een vinkje bij Als Administrator uitvoeren.
    [*:66c58fcefe]Als laatste wordt dan nog op [b:66c58fcefe]Toepassen[/b:66c58fcefe] en [b:66c58fcefe]OK[/b:66c58fcefe] geklikt[/list:u:66c58fcefe]
    [b:66c58fcefe]Hijack This gebruiken[/b:66c58fcefe]:
    [list:66c58fcefe][*:66c58fcefe]Sluit eerst alle openstaande programma's en de webbrowsers.
    [*:66c58fcefe]Start nu 'Hijack This' en klik vervolgens op de knop 'Do a system scan and save a logfile'
    [*:66c58fcefe]Sluit nu alle openstaande vensters en start vervolgens 'HijackThis' en kies voor 'Do a system scan and save a logfile'.
    [*:66c58fcefe]Kopieer en plak inhoud van het Hijack This-logfile in je aansluitende bericht.
    [*:66c58fcefe]Hierna mag je Hijack This weer sluiten[/list:u:66c58fcefe]


    [b:66c58fcefe]Welk programma[/b:66c58fcefe]: Malwarebytes MBAM
    [b:66c58fcefe]Waarvoor/waarom[/b:66c58fcefe]: specialistische scanner om Windows snel te onderzoeken op- en te ontdoen van spy- & malware.
    [b:66c58fcefe]Moeilijkheidsgraad[/b:66c58fcefe]: geen.

    [b:66c58fcefe]Download Malwarebytes MBAM via één van deze locaties[/b:66c58fcefe]:
    [list:66c58fcefe] [*:66c58fcefe][b:66c58fcefe]Download.com[/b:66c58fcefe]
    [*:66c58fcefe][b:66c58fcefe]Softpedia.com[/b:66c58fcefe][*:66c58fcefe][b:66c58fcefe]Majorgeeks.com[/b:66c58fcefe][/list:u:66c58fcefe]

    [b:66c58fcefe]Allereerst[/b:66c58fcefe]:[list:66c58fcefe][*:66c58fcefe] Al meteen na de installatie wil 'MBAM' zijn database opwaarderen – toestaan dus.
    [*:66c58fcefe] Ook bij herhaald gebruik: eerst 'MBAM' updaten via de tab 'Update'![/list:u:66c58fcefe]
    [b:66c58fcefe]Malwarebytes MBAM opstarten[/b:66c58fcefe]:
    Windows 2000 en Windows XP: start MBAM middels dubbelklik op de snelkoppeling.
    Windows Vista en Windows 7: start MBAM middels rechtsklik op de snelkoppeling en dan kiezen voor Als Administrator uitvoeren.

    [b:66c58fcefe]Scannen[/b:66c58fcefe]:
    [list:66c58fcefe][*:66c58fcefe] Bij het starten van 'MBAM' kies je voor 'Snelle Scan'.
    [*:66c58fcefe]Het scannen kan een tijdje duren, dus wees geduldig. Indien de scan voltooid is, klik dan op de knop 'OK'.
    [*:66c58fcefe]Klik daarna op de knop 'Bekijk Resultaten' om de resultaten te zien.[/list:u:66c58fcefe]
    [b:66c58fcefe]Infecties gevonden[/b:66c58fcefe]:
    [list:66c58fcefe][*:66c58fcefe]Klik nu eerst op OK om de melding weg te klikken
    [*:66c58fcefe]Klik vervolgens rechtsonder op de knop Bekijk resultaten.
    [*:66c58fcefe]Zorg er nu voor dat alle gevonden infecties aangevinkt zijn, en klik linksonder op Verwijder geselecteerde.
    [*:66c58fcefe]Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.
    [*:66c58fcefe]Indien 'MBAM' moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven – dan telkens op 'OK' klikken!
    [*:66c58fcefe]Daarna zal 'MBAM' vragen om de Computer opnieuw op te starten - dus sta toe dat de computer opnieuw opgestart wordt.[/list:u:66c58fcefe]
    [b:66c58fcefe]MBAM-Log[/b:66c58fcefe]:
    [list:66c58fcefe][*:66c58fcefe] Het log wordt automatisch bewaard door 'MBAM en dat kan je terugvinden door in het hoofdmenu van MBAM op de tab 'Logbestanden' te klikken'.[/list:u:66c58fcefe]
    [b:66c58fcefe]Post aansluitend in je volgende bericht de inhoud van het MBAM-log.[/b:66c58fcefe]


    Samenvattend: dus zowel de inhoud van het Hijack This-log alsmede die van MBAM posten.
  • hoi,

    hier het highjack log:

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 15:49:19, on 01-Mar-11
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Unable to get Internet Explorer version!
    Boot mode: Normal

    Running processes:
    E:\WINDOWS\System32\smss.exe
    E:\WINDOWS\System32\winlogon.exe
    E:\WINDOWS\system32\services.exe
    E:\WINDOWS\system32\lsass.exe
    E:\WINDOWS\system32\Ati2evxx.exe
    E:\WINDOWS\system32\svchost.exe
    E:\WINDOWS\System32\svchost.exe
    E:\WINDOWS\System32\Ati2evxx.exe
    E:\WINDOWS\system32\spoolsv.exe
    E:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe
    E:\Program Files\XP Files\Norton Internet Security\Engine\17.8.0.5\ccSvcHst.exe
    E:\WINDOWS\system32\svchost.exe
    E:\WINDOWS\Explorer.EXE
    E:\Program Files\XP Files\Norton Internet Security\Engine\17.8.0.5\ccSvcHst.exe
    E:\WINDOWS\system32\ctfmon.exe
    E:\WINDOWS\system32\wuauclt.exe
    E:\WINDOWS\system32\msiexec.exe
    E:\Program Files\XP Files\Trend Micro\HiJackThis\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    F2 - REG:system.ini: Shell=
    F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - E:\Program Files\XP Files\\Norton Internet Security\Engine\17.8.0.5\coIEPlg.dll
    O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - E:\Program Files\XP Files\\Norton Internet Security\Engine\17.8.0.5\IPSBHO.DLL
    O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\XP Files\Java\jre6\bin\ssv.dll
    O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
    O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Program Files\XP Files\Ask.com\GenericAskToolbar.dll (file missing)
    O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Program Files\XP Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Program Files\XP Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
    O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - E:\Program Files\XP Files\\Norton Internet Security\Engine\17.8.0.5\coIEPlg.dll
    O3 - Toolbar: Sammsoft Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Program Files\XP Files\Ask.com\GenericAskToolbar.dll (file missing)
    O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\XP Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\RunServices: [winudp64.exe] winudp64.exe
    O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [AROReminder] E:\Program Files\XP Files\ARO 2011\aro.exe -rem
    O8 - Extra context menu item: Append Link Target to Existing PDF - res://E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: Append to Existing PDF - res://E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convert Link Target to Adobe PDF - res://E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Convert to Adobe PDF - res://E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\XPFILE~1\MICROS~2\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\XPFILE~1\MICROS~2\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Create Mobile Favorite… - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\XPFILE~1\MICROS~2\INetRepl.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\WINDOWS\system32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\WINDOWS\system32\shdocvw.dll
    O10 - Unknown file in Winsock LSP: e:\windows\system32
    wprovau.dll
    O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.3.cab
    O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader5.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1210450181640
    O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1211048504676
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O20 - AppInit_DLLs: acaptuser32.dll
    O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - E:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - E:\WINDOWS\system32\browseui.dll
    O23 - Service: ABBYY FineReader 9.0 PE Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - E:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Norton Internet Security (NIS) - Symantec Corporation - E:\Program Files\XP Files\\Norton Internet Security\Engine\17.8.0.5\ccSvcHst.exe


    End of file - 7703 bytes
  • Graag ook het MBAM-log
  • hoi hoi,

    hierbij de andere logs;

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Database version: 5916

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    01-Mar-11 20:22:00
    mbam-log-2011-03-01 (20-21-55).txt

    Scan type: Full scan (E:\|F:\|G:\|H:\|I:\|)
    Objects scanned: 309171
    Time elapsed: 1 hour(s), 16 minute(s), 20 second(s)

    Memory Processes Infected: 0
    Memory Modules Infected: 0
    Registry Keys Infected: 0
    Registry Values Infected: 0
    Registry Data Items Infected: 0
    Folders Infected: 0
    Files Infected: 9

    Memory Processes Infected:
    (No malicious items detected)

    Memory Modules Infected:
    (No malicious items detected)

    Registry Keys Infected:
    (No malicious items detected)

    Registry Values Infected:
    (No malicious items detected)

    Registry Data Items Infected:
    (No malicious items detected)

    Folders Infected:
    (No malicious items detected)

    Files Infected:
    g:\zipped files & installers\Clone CD\clonecd 4.0.0.1 keygen.exe (Trojan.Agent.CK) -> No action taken.
    g:\zipped files & installers\photoshop cs2 v9.0\Crack\keygen.exe (Trojan.Agent.CK) -> No action taken.
    g:\zipped files & installers\windows xp pro\XPKey.exe (Trojan.Downloader) -> No action taken.
    g:\zipped files & installers\windows xp pro\wga patcher permanent edition!\key changer.exe (RiskWare.Tool.CK) -> No action taken.
    g:\zipped files & installers\windows xp pro\wga patcher permanent edition!\wga-fix.exe (Hacktool.WGAFix) -> No action taken.
    g:\zipped files & installers\registry crawler 4.5.0.3\registry crawler 4.5.0.3 keygen.exe (Malware.Packer.Gen) -> No action taken.
    g:\zipped files & installers\magiciso maker 5.5.0272\patch.exe (Trojan.Downloader) -> No action taken.
    h:\BF2\battlefield 1942 wwii anthology\sim city societies and more.exe (Trojan.Orsam) -> No action taken.
    h:\COD\COD4MW\rzr-cod4.exe (Trojan.Agent.CK) -> No action taken.
  • Het is na inzien van het MBAM-log niet meer dan logisch dat jij waarschijnlijk nog veel grotere problemen in in jouw Windows hebt, dan jij al aangegeven hebt!

    Ik acht de kans groot, dat jouw PC allang door derden is overgenomen!


    Een illegale Windows XP en dan ook nog meerdere malen keygens gebruikt!
    Dat is vragen aan de duivel of er niks gebeurt in jouw computer!

    Zorg dat je over gaat op een legitieme Windows.
    Want het door middel van internetcriminelen mogelijk maken dat je illegitiem gratis gebruik maakt van te betalen software, dat is gewoon vragen om moeilijkheden!
  • Bedankt voor je reactie!

    ik zal het noooooooit meer doen.

    maar hoe raak ik die toolkit kwijt?

    gr,

    gerwin
  • Je kan die toolkit welliswaar kwijtraken, maar daarmee is jouw Windows nog steeds volkomen onbetrouwbaar.

    De grootste kans die jij loopt is dat jouw identiteit gestolen kan worden!

    Ik geef niet voor niks aan dat je dient over te stappen op een legitieme Windows!

    Want elke keygen is er een teveel.
    Dat komt gewoon neer op dansen met de duivel!
  • ja zal het nooit meer doen.

    Maar hoe raak ik die toolkit kwijt??

    gr,

    gerwin
  • Gewoon een legale windows-licentie kopen ;)
  • je weet het dus niet !

    de toolkit heeft niks te maken met de windows versie.
    de XP versie is legaal, ik gebruik de illi. voor de laptop.

    gr,

    gerwin

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.