Vraag & Antwoord

Beveiliging & privacy

trojan

25 antwoorden
  • Hallo, Ik gebruik windows XP Pro, Zone Alarm en NAV 2002. Vorige week heb ik via download.com een key-logger gedownd. Na het updaten van NAV en scannen van mijn PC kreeg ik 4 virusmeldingen van de keylogger. Er is nu nog 1 file over die NAV niet kan verwijderen. Het bestand heet: powerengine.dll en staat in de map System32. Handmatig kan ik de file niet verwijderen (in gebruik of schijf tegen schrijven beveiligd). Hoe kan ik deze file verwijderen?? Vervelend is nu dat Norton maar blijft komen met de melding dat er1 geïnfecteerde file aanwezig is aangezien Norton op auto-protect staat. Wie kan mij helpen? Edwin :cry:
  • Mogelijk is er een service geïnstalleerd die automatisch start. Probeer het daarom eens in safe mode (F8 tijdens het opstarten).
  • Het virus heet Keylogger.trojan en deze staat ook in de lijst van NAV alleen Norton kan het bestand niet verwijderen. Ik heb het geprobeerd in de Safe mode en ook dan kan ik het bestand powerenigne.dll niet handmatig verwijderen. Hoe krijg ik dat k@#$@ bestand weg????
  • In welke map wordt het eigenlijk aangetroffen? Grtz,
  • Verwijderen via Dos (en hierin komen via een bootdisk en niet vanuit Windows cmd) - moet normaal lukken (alhoewel: er zijn hardnekkige, maar dan zeg je 't maar)
  • In reaktie op het bericht van A. Mazlov. Het bestand staat in de system32 Map van Windows. Help me alsjeblieft. :cry:
  • Download eens Startuplist van: http://www.lurkhere.com/~nicefiles/ Dat programma maakt een momentopname van alles dat draait en opstart op jouw computer. Als je er zelf geen wijs uit wordt plaats je de inhoud van die txt file maar in je volgende bericht. Grtz,
  • Ik heb een startup list. Het is als volgt en powerengine komt er in voor. Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\powerengine.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Creative\ShareDLL\CtNotify.exe C:\Program Files\Logitech\iTouch\iTouch.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Real\RealPlayer\RealPlay.exe C:\Program Files\Creative\ShareDLL\MediaDet.Exe C:\PROGRA~1\NORTON~2\navapw32.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\PROGRA~1\DAP\DAP.EXE C:\Program Files\Messenger Plus! 2\MsgPlus.exe C:\Program Files\Creative\SBAudigy\Taskbar\CTLTray.exe C:\Program Files\Creative\SBAudigy\Taskbar\CTLTask.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Norton Utilities\SYSDOC32.EXE C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe C:\WINDOWS\System32\CTsvcCDA.EXE C:\Program Files\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton Utilities\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Speed Disk\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Documents and Settings\Edwin De Vos\Local Settings\Temp\StartupList.exe Wat nu?
  • Dit zijn alleen de lopende processen. Eronder staat nog een heleboel. Kun je dat ook eens plaatsen? Dan kan ik misschien zien waar het vandaan opstart. Als we dat eenmaal weten kunnen we ervoor zorgen dat het niet meer opstart. Grtz,
  • Dit staat er onder. Listing of startup folders: Shell folders Common Startup: [C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten] Logitech Desktop Messenger.lnk = C:\Program Files\Desktop Messenger\8876480\Program\LDMConf.exe Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE Norton System Doctor.lnk = C:\Program Files\Norton Utilities\SYSDOC32.EXE ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run TaskTray = C:\Program Files\Creative\SBAudigy\Taskbar\CTLTray.exe Taskbar = C:\Program Files\Creative\SBAudigy\Taskbar\CTLTask.exe CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe MessengerPlus2 = "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\Program Files\DAP\DAPBHO.dll - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} (no name) - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} NAV Helper - C:\Program Files\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872} -------------------------------------------------- Enumerating Task Scheduler jobs: Norton AntiVirus - Scan my computer.job Symantec NetDetect.job -------------------------------------------------- Enumerating Download Program Files: [{1D2DCA0D-B30F-40AD-9690-087105F214EC}] CODEBASE = http://usa-download.nocreditcard.com/download/Object/ieaccess2XP.cab [EARTPatchX Class] InProcServer32 = C:\WINDOWS\Downloaded Program Files\EARTPX.dll CODEBASE = http://simcity.ea.com/patch/EARTPX.cab [{7A32634B-029C-4836-A023-528983982A49}] CODEBASE = http://fdl.msn.com/public/chat/msnchat42.cab [DialXSCtl Object] InProcServer32 = C:\WINDOWS\Downloaded Program Files\dialxs.ocx CODEBASE = http://dialxs.nl/install/dialxs.ocx [{9B4AA442-9EBF-11D5-8C11-0050DA4957F5}] CODEBASE = http://www.cavello.com/dialxs/plugins/d/1/028/nl.exe [Update Class] InProcServer32 = C:\WINDOWS\System32\iuctl.dll CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37681.1586111111 [MaxisSimCity4PatcherX Control] InProcServer32 = C:\WINDOWS\DOWNLO~1\MAXISS~1.OCX CODEBASE = http://simcity.ea.com/patch/MaxisSimCity4PatcherX.cab [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab [MSN Chat Control 4.5] InProcServer32 = C:\WINDOWS\Downloaded Program Files\MSNChat45.ocx CODEBASE = http://fdl.msn.com/public/chat/msnchat45.cab -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\System32\webcheck.dll SysTray: C:\WINDOWS\System32\stobject.dll -------------------------------------------------- End of report, 6.352 bytes Report generated in 0,078 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only
  • Logitech Desktop Messenger.lnk = C:\Program Files\Desktop Messenger\8876480\Program\LDMConf.exe Die kun je uitvinken in Start > uitvoeren > msconfig > tabblad opstarten. [{1D2DCA0D-B30F-40AD-9690-087105F214EC}] CODEBASE = http://usa-download.nocreditcard.com/download/Object/ieaccess2XP.cab Deze kun je verwijderen in de map Windows/Downloaded Program Files. Beide zijn echter spyware en geen trojan. Kijk eens onder Configuratiescherm > Systeembeheer > Services of je daar die powerengine kunt vinden. Als hij daar staat rechtsklik er dan op > Eigenschappen > stoppen. Als dat lukt moet je hem kunnen verwijderen. Grtz,
  • De spyware heb ik verwijderd en de Desktopmanager uitgevinkt. Powerengine staat er niet. Wel zie ik powerengine staan bij de opstart en die kan ik uitvinken. Is deze file zomaar weg te gooien, maw is het geen bestand dat Windows bijv. nodig heeft bij het opstarten of iets dergelijks? alvast bedankt.
  • Ja, die kan je gewoon uitvinken en weggooien. Een Windows bestand is het zeker niet. Je kunt hem voor de zekerheid omnoemen naar powerengine.bak en nog een tijdje bewaren, als je denkt hem misschien nog nodig te hebben. Grtz,
  • Via de msconfig kan ik het bestand uitvinken. Als ik dan de Pc opnieuw start krijg ik op het buroblad (na nieuwe start) een verhaal dat ik de opstartconfig heb gewijzigd en dat dit scherm elke keer als ik heb gestart verschijnt. Overigens kan ik het bestand nog steeds niet verwijderen. Hoe moet ik dit nu oplossen? Ik ben wel lastig he.............
  • Jij bent niet lastig, maar dat bestand wel. :wink: Dat verhaal over de opstartconfig is niet erg en gemakkelijk op te lossen, dus daar hoef je je geen zorgen over te maken. Als het zo niet lukt en in veilige modus niet, zullen we toch Passer zijn oplossing moeten toepassen. Tenzij je een multi-boot systeem hebt. Zie je dat proces nou nog steeds draaien? Kijk dan eens of je het kunt stoppen in Taakbeheer en als dat lukt, probeer het dan nog eens te verwijderen. Grtz,
  • Ik heb het geprobeerd maar je raad het al: niet gelukt. De andere methode heb ik gelezen alleen ik heb niet de opstartdisk. Wil je mij uitleggen hoe ik die methode aan moet pakken? Onwijs bedankt alvast voor je hulp!
  • Surf naar http://go.to/wintips Omzeil de spyware popups :) en ga naar Downloads en pak daar de Ultimate bootdisk. Doe een lege diskette in je drive en dubbelklik op het gedownloade bestand. Start je computer daarmee op en ga naar het gedeelte waar je DOS commando´s kan geven (slecht geheugen, weet niet meer precies wat je dan ook alweer moest kiezen, maar dat wijst zich vanzelf) Geef dan de volgende commando´s elk gevolgd door enter. attrib -r -s -h c:\windows\system32\powerengine.exe del c:\windows\system32\powerengine.exe Type 'exit' om terug te komen in Windows. Grtz,
  • Ik ben een week weggeweest en na terugkomst heb ik je raad opgevolgd. De pc start met de disk. Dan kan ik bij het onderdeel Other & Utilities kiezen DOS met CDROM support. De cursor staat dan als: A> Als ik dan de eerste commandoregel intik krijg ik na Enter: Invalid Path?? Wat nu?
  • Voor de commando´s die ik had gegeven moet je dan nog cd c: doen zodat de prompt in een c:> verandert. Grtz,
  • [quote:b5e4fc7c4a="Metallica"]Voor de commando´s die ik had gegeven moet je dan nog cd c: doen zodat de prompt in een c:> verandert. Grtz,[/quote:b5e4fc7c4a] Gewoon 'c:' (zonder de '). Met cd c: probeer je namelijk de directory c: te openen, die bestaat niet.

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.