Vraag & Antwoord

Beveiliging & privacy

PHOENIX TOOLKIT ACTIVITY 3

12 antwoorden
  • Hallo, Sinds zondag heb ik last van, volgens Norton, een phoenix toolkit activity 3. Heb gebrobeerd deze te verwijderen, maar dit is tot op heden niet gelukt. Volgens de beveiligings-info van Norton, is er een aanval iedere minuut. als IE open staat. Deze wordt welliswaar geblokeerd, maar ik heb deze activiteit liever niet. graag ideeen, liefst geslaagde pogingen, om deze te verwijderen. Groet, gerwin
  • Wat je kan doen is de volgende 2 progjes installeren,wel eerst updaten. Laten scannen en logs posten bij Beveiliging.Een expert kan je dan verder helpen. http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html? http://www.trendmicro.com/ftp/products/hijackthis/beta/HijackThis.msi Logs dus ook posten bij beveiliging :) Het is i.d.d geen lekkertje. http://www.symantec.com/business/security_response/attacksignatures/detail.jsp?asid=24065
  • Ter verduidelijking van beide tools het volgende: [b:66c58fcefe]Welk programma[/b:66c58fcefe]: Trend Micro [b:66c58fcefe]Hijack This Versie 2.0.4[/b:66c58fcefe] [b:66c58fcefe]Waarvoor/waarom[/b:66c58fcefe]: maakt een duidelijk overzicht van Windows door middel van een scan. [b:66c58fcefe]Moeilijkheidsgraad[/b:66c58fcefe]: geen, enkel Vista- en Win 7 gebruikers dienen even extra aandacht te geven. [b:66c58fcefe]Download[/b:66c58fcefe] de [url=http://www.trendmicro.com/ftp/products/hijackthis/HiJackThis.msi][b:66c58fcefe]HijackThis Installer[/b:66c58fcefe][/url] [b:66c58fcefe]Installatie[/b:66c58fcefe]: [list:66c58fcefe][*:66c58fcefe]Installeer HijackThis op de aangegeven lokatie - daarmee wordt voorkomen dat eventuele back-ups niet terugvindbaar zijn![/list:u:66c58fcefe] Gebruikers van [b:66c58fcefe]Windows Vista[/b:66c58fcefe] en [b:66c58fcefe]Windows 7[/b:66c58fcefe] gaan daarna naar de installatielokatie van HijackThis. [list:66c58fcefe][*:66c58fcefe]Vervolgens met rechts hijackthis.exe aanklikken en dan Eigenschappen kiezen. [*:66c58fcefe]Klik nu op de tab Comptabiliteit en zet dan een vinkje bij Als Administrator uitvoeren. [*:66c58fcefe]Als laatste wordt dan nog op [b:66c58fcefe]Toepassen[/b:66c58fcefe] en [b:66c58fcefe]OK[/b:66c58fcefe] geklikt[/list:u:66c58fcefe] [b:66c58fcefe]Hijack This gebruiken[/b:66c58fcefe]: [list:66c58fcefe][*:66c58fcefe]Sluit eerst alle openstaande programma's en de webbrowsers. [*:66c58fcefe]Start nu 'Hijack This' en klik vervolgens op de knop 'Do a system scan and save a logfile' [*:66c58fcefe]Sluit nu alle openstaande vensters en start vervolgens 'HijackThis' en kies voor 'Do a system scan and save a logfile'. [*:66c58fcefe]Kopieer en plak inhoud van het Hijack This-logfile in je aansluitende bericht. [*:66c58fcefe]Hierna mag je Hijack This weer sluiten[/list:u:66c58fcefe] [b:66c58fcefe]Welk programma[/b:66c58fcefe]: Malwarebytes MBAM [b:66c58fcefe]Waarvoor/waarom[/b:66c58fcefe]: specialistische scanner om Windows snel te onderzoeken op- en te ontdoen van spy- & malware. [b:66c58fcefe]Moeilijkheidsgraad[/b:66c58fcefe]: geen. [b:66c58fcefe]Download Malwarebytes MBAM via één van deze locaties[/b:66c58fcefe]: [list:66c58fcefe] [*:66c58fcefe][url=http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?][b:66c58fcefe]Download.com[/b:66c58fcefe][/url] [*:66c58fcefe][url=http://www.softpedia.com/result.php?sid=&pid=1-423&r=Z2V0L0FudGl2aXJ1cy9NYWx3YXJlYnl0ZXMtQW50aS1NYWx3YXJlLnNodG1s][b:66c58fcefe]Softpedia.com[/b:66c58fcefe][/url][*:66c58fcefe][url=http://www.majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html][b:66c58fcefe]Majorgeeks.com[/b:66c58fcefe][/url][/list:u:66c58fcefe] [b:66c58fcefe]Allereerst[/b:66c58fcefe]:[list:66c58fcefe][*:66c58fcefe] Al meteen na de installatie wil 'MBAM' zijn database opwaarderen – toestaan dus. [*:66c58fcefe] Ook bij herhaald gebruik: eerst 'MBAM' updaten via de tab 'Update'![/list:u:66c58fcefe] [b:66c58fcefe]Malwarebytes MBAM opstarten[/b:66c58fcefe]: Windows 2000 en Windows XP: start MBAM middels dubbelklik op de snelkoppeling. Windows Vista en Windows 7: start MBAM middels rechtsklik op de snelkoppeling en dan kiezen voor Als Administrator uitvoeren. [b:66c58fcefe]Scannen[/b:66c58fcefe]: [list:66c58fcefe][*:66c58fcefe] Bij het starten van 'MBAM' kies je voor 'Snelle Scan'. [*:66c58fcefe]Het scannen kan een tijdje duren, dus wees geduldig. Indien de scan voltooid is, klik dan op de knop 'OK'. [*:66c58fcefe]Klik daarna op de knop 'Bekijk Resultaten' om de resultaten te zien.[/list:u:66c58fcefe] [b:66c58fcefe]Infecties gevonden[/b:66c58fcefe]: [list:66c58fcefe][*:66c58fcefe]Klik nu eerst op OK om de melding weg te klikken [*:66c58fcefe]Klik vervolgens rechtsonder op de knop Bekijk resultaten. [*:66c58fcefe]Zorg er nu voor dat alle gevonden infecties aangevinkt zijn, en klik linksonder op Verwijder geselecteerde. [*:66c58fcefe]Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. [*:66c58fcefe]Indien 'MBAM' moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven – dan telkens op 'OK' klikken! [*:66c58fcefe]Daarna zal 'MBAM' vragen om de Computer opnieuw op te starten - dus sta toe dat de computer opnieuw opgestart wordt.[/list:u:66c58fcefe] [b:66c58fcefe]MBAM-Log[/b:66c58fcefe]: [list:66c58fcefe][*:66c58fcefe] Het log wordt automatisch bewaard door 'MBAM en dat kan je terugvinden door in het hoofdmenu van MBAM op de tab 'Logbestanden' te klikken'.[/list:u:66c58fcefe] [b:66c58fcefe]Post aansluitend in je volgende bericht de inhoud van het MBAM-log.[/b:66c58fcefe] Samenvattend: dus zowel de inhoud van het Hijack This-log alsmede die van MBAM posten.
  • hoi, hier het highjack log: Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 15:49:19, on 01-Mar-11 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\System32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\Ati2evxx.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\System32\Ati2evxx.exe E:\WINDOWS\system32\spoolsv.exe E:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe E:\Program Files\XP Files\Norton Internet Security\Engine\17.8.0.5\ccSvcHst.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\Explorer.EXE E:\Program Files\XP Files\Norton Internet Security\Engine\17.8.0.5\ccSvcHst.exe E:\WINDOWS\system32\ctfmon.exe E:\WINDOWS\system32\wuauclt.exe E:\WINDOWS\system32\msiexec.exe E:\Program Files\XP Files\Trend Micro\HiJackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = F2 - REG:system.ini: Shell= F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - E:\Program Files\XP Files\\Norton Internet Security\Engine\17.8.0.5\coIEPlg.dll O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - E:\Program Files\XP Files\\Norton Internet Security\Engine\17.8.0.5\IPSBHO.DLL O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\XP Files\Java\jre6\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Program Files\XP Files\Ask.com\GenericAskToolbar.dll (file missing) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Program Files\XP Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Program Files\XP Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - E:\Program Files\XP Files\\Norton Internet Security\Engine\17.8.0.5\coIEPlg.dll O3 - Toolbar: Sammsoft Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Program Files\XP Files\Ask.com\GenericAskToolbar.dll (file missing) O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\XP Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\RunServices: [winudp64.exe] winudp64.exe O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AROReminder] E:\Program Files\XP Files\ARO 2011\aro.exe -rem O8 - Extra context menu item: Append Link Target to Existing PDF - res://E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Append to Existing PDF - res://E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert Link Target to Adobe PDF - res://E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert to Adobe PDF - res://E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\XPFILE~1\MICROS~2\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\XPFILE~1\MICROS~2\INetRepl.dll O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\XPFILE~1\MICROS~2\INetRepl.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\WINDOWS\system32\shdocvw.dll O10 - Unknown file in Winsock LSP: e:\windows\system32\nwprovau.dll O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.3.cab O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader5.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1210450181640 O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1211048504676 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O20 - AppInit_DLLs: acaptuser32.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - E:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - E:\WINDOWS\system32\browseui.dll O23 - Service: ABBYY FineReader 9.0 PE Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - E:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Norton Internet Security (NIS) - Symantec Corporation - E:\Program Files\XP Files\\Norton Internet Security\Engine\17.8.0.5\ccSvcHst.exe -- End of file - 7703 bytes
  • Graag ook het MBAM-log
  • hoi hoi, hierbij de andere logs; Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Database version: 5916 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 01-Mar-11 20:22:00 mbam-log-2011-03-01 (20-21-55).txt Scan type: Full scan (E:\|F:\|G:\|H:\|I:\|) Objects scanned: 309171 Time elapsed: 1 hour(s), 16 minute(s), 20 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 9 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: (No malicious items detected) Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: g:\zipped files & installers\Clone CD\clonecd 4.0.0.1 keygen.exe (Trojan.Agent.CK) -> No action taken. g:\zipped files & installers\photoshop cs2 v9.0\Crack\keygen.exe (Trojan.Agent.CK) -> No action taken. g:\zipped files & installers\windows xp pro\XPKey.exe (Trojan.Downloader) -> No action taken. g:\zipped files & installers\windows xp pro\wga patcher permanent edition!\key changer.exe (RiskWare.Tool.CK) -> No action taken. g:\zipped files & installers\windows xp pro\wga patcher permanent edition!\wga-fix.exe (Hacktool.WGAFix) -> No action taken. g:\zipped files & installers\registry crawler 4.5.0.3\registry crawler 4.5.0.3 keygen.exe (Malware.Packer.Gen) -> No action taken. g:\zipped files & installers\magiciso maker 5.5.0272\patch.exe (Trojan.Downloader) -> No action taken. h:\BF2\battlefield 1942 wwii anthology\sim city societies and more.exe (Trojan.Orsam) -> No action taken. h:\COD\COD4MW\rzr-cod4.exe (Trojan.Agent.CK) -> No action taken.
  • Het is na inzien van het MBAM-log niet meer dan logisch dat jij waarschijnlijk nog veel grotere problemen in in jouw Windows hebt, dan jij al aangegeven hebt! Ik acht de kans groot, dat jouw PC allang door derden is overgenomen! Een illegale Windows XP en dan ook nog meerdere malen keygens gebruikt! Dat is vragen aan de duivel of er niks gebeurt in jouw computer! Zorg dat je over gaat op een legitieme Windows. Want het door middel van internetcriminelen mogelijk maken dat je illegitiem gratis gebruik maakt van te betalen software, dat is gewoon vragen om moeilijkheden!
  • Bedankt voor je reactie! ik zal het noooooooit meer doen. maar hoe raak ik die toolkit kwijt? gr, gerwin
  • Je kan die toolkit welliswaar kwijtraken, maar daarmee is jouw Windows nog steeds volkomen onbetrouwbaar. De grootste kans die jij loopt is dat jouw identiteit gestolen kan worden! Ik geef niet voor niks aan dat je dient over te stappen op een legitieme Windows! Want elke keygen is er een teveel. Dat komt gewoon neer op dansen met de duivel!
  • ja zal het nooit meer doen. Maar hoe raak ik die toolkit kwijt?? gr, gerwin
  • Gewoon een legale windows-licentie kopen ;)
  • je weet het dus niet ! de toolkit heeft niks te maken met de windows versie. de XP versie is legaal, ik gebruik de illi. voor de laptop. gr, gerwin

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.