Vraag & Antwoord

Beveiliging & privacy

W32 virussen

Anoniem
M@rc
7 antwoorden
 • Ik heb wel vaker een w32 virus, maar NOD32 weet niet welke vorm van het is van dit virus. Is er misschien een proggie die alle w32 virussen kan verwijderen?

  En NOD32 vind ook w32 virussen als deze : Win32/Spy.Briss.G. en eentje van ISTbar (ik weet niet wat dit inhoud maar kom ik wel vaker tegen) zijn deze schadelijk.

  Win XP Pro
 • Istbar is spyware: http://www.doxdesk.com/parasite/ISTbar.html
  Post een HijackThislog.
 • [code:1:ea83ffbb4e]Logfile of HijackThis v1.97.7
  Scan saved at 16:46:27, on 19-5-2004
  Platform: Windows XP SP1 (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\PROGRA~1\DAP\DAP.EXE
  C:\Program Files\Roxio\WinOnCD\DirectCD\DirectCD.exe
  C:\Program Files\Eset\nod32kui.exe
  C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
  C:\WINDOWS\System32\qttask.exe
  C:\Program Files\Webthread\CDEject\CDeject.exe
  C:\WINDOWS\System32\ctfmon.exe
  C:\Documents and Settings\Mark en Jos\Application Data\plei.exe
  C:\WINDOWS\System32\wtssu.exe
  C:\Program Files\Eset\nod32krn.exe
  C:\WINDOWS\System32\nvsvc32.exe
  C:\WINDOWS\System32\r_server.exe
  C:\WINDOWS\System32\devldr32.exe
  C:\WINDOWS\System32\wuauclt.exe
  C:\WINDOWS\explorer.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\Messenger Plus! 2\MsgPlus.exe
  C:\Program Files\MSN Messenger\msnmsgr.exe
  C:\DOCUME~1\MARKEN~1\LOCALS~1\Temp\Rem21.exe
  C:\WINDOWS\system32\ntvdm.exe
  C:\Program Files\FlashGet\flashget.exe
  C:\Program Files\Windows Media Player\wmplayer.exe
  C:\Program Files\Internet Explorer\iexplore.exe
  C:\My Shared Folder\HijackThis.exe

  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearchnow.com/passthrough/index.html?http://www.google.nl/
  R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.nl/
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
  O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
  O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
  O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
  O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
  O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll
  O2 - BHO: (no name) - {F5E181A9-DA53-070E-8C21-A739415C256A} - C:\PROGRA~1\SKIPCO~1\Pop New.dll
  O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
  O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll
  O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
  O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
  O3 - Toolbar: facefoursoft - {19D0FBE8-1613-C9EA-45F6-2AAA04D76C75} - C:\PROGRA~1\SKIPCO~1\Pop New.dll
  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
  O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
  O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
  O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
  O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\WinOnCD\DirectCD\DirectCD.exe"
  O4 - HKLM\..\Run: [nod32kui] C:\Program Files\Eset\nod32kui.exe /WAITSERVICE
  O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
  O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
  O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
  O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
  O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
  O4 - HKLM\..\Run: [parteggs] C:\PROGRA~1\Ping Noun Burn\MediaMfcd.exe
  O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
  O4 - HKCU\..\Run: [Urwt] C:\Documents and Settings\Mark en Jos\Application Data\plei.exe
  O4 - HKCU\..\Run: [WAPI] C:\WINDOWS\System32\wtssu.exe
  O4 - HKCU\..\Run: [ClockSync] C:\Program Files\ClockSync\Sync.exe
  O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
  O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
  O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
  O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
  O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZS
  O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
  O8 - Extra context menu item: Ontvang alles met FlashGet - C:\Program Files\FlashGet\jc_all.htm
  O8 - Extra context menu item: Ontvang met FlashGet - C:\Program Files\FlashGet\jc_link.htm
  O9 - Extra button: Run DAP (HKLM)
  O9 - Extra button: FlashGet (HKLM)
  O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
  O9 - Extra button: Messenger (HKLM)
  O9 - Extra 'Tools' menuitem: Messenger (HKLM)
  O10 - Broken Internet access because of LSP provider 'imon.dll' missing
  O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
  O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://F:\content\include\XPPatchInstaller.CAB
  O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
  O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/CDTInc/bridge.cab
  O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab[/code:1:ea83ffbb4e]
 • Download CWShredder.
  Start het programma, klik op de Fix-knop.

  Download de laatste versie van Ad-Aware op http://www.lavasoftusa.com/.
  Voor Adaware is er een taalmodulepakket beschikbaar, waaronder ook de Nederlandse taalmodule.
  Download taalmodulepakket.
  Na het downloaden dubbelklik je op het bestand aaw-lang-pack.exe. Het installatiepakket kan zelf de installatiemap van Ad-Aware bepalen en plaatst ook de taalmodules automatisch in de juiste map (…Ad-Aware\Lang). Bovenaan naast Ad-aware 6.0, klik je op het tweede icoon van links, Settings genaamd. Bij Languagefile kies je voor Dutch (Nederlands) en klik vervolgens op de Proceed-knop. Ad-aware is voortaan in het Nederlands.

  Voor je gaat scannen op spyware met Ad-Aware moet je eerst het programma updaten.
  Wanneer je Ad-Aware opstart klik je in het Statusblad op Controleer voor updates om het laatste Reference bestand binnen te halen. Wanneer een nieuw Reference bestand beschikbaar is krijg je melding van de Build en de datum vanaf wanneer dit bestand beschikbaar was. Klik op OK om dit bestand te downloaden. Wanneer je reeds beschikt over het meest recente Reference-bestand, krijg je de melding: Geen updates beschikbaar.

  Instellingen:
  Klik naast Ad-Aware 6.0 op het icoon Instellingen, klik op de knop Tweak.
  Bij Scanning Engine zorg je dat het volgende aangevinkt is: Unload recognized processes during scanning.
  Bij Cleaning Engine zorg je dat het volgende aangevinkt is: Let windows remove files in use at next boot.
  Bij Cleaning Engine zorg je dat er geen vinkje staat bij: Automaticly try to unregister objects prior to deletion.
  Klik op de knop Doorgaan

  Klik op de knop Scan nu.
  Zorg dat Activeer grondige scan aangevinkt is.
  Kies voor Selecteer mappen om te scannen en klik op Selecteer. Duidt nu de partities / mappen aan die je wil scannen. Zorg zeker dat de partitie met je Windows (de actieve partitie mzeestal c:\) en deze met je programma-bestanden gescand worden. (eigenlijk kan je best alle partities laten scannen door Ad-Aware.)

  Hallo markwelleweerd,

  Zit redelijk wat spyware op en een coolwebsearchinfectie.
  Volg deze stappen:
  Klik op de knop volgende. Ad-aware gaat nu de geselecteerde partities of mappen scannen op spyware.

  Indien er een spyware op de computer aanwezig is zal Ad-Aware nu een aantal slechte bestanden en registersleutels vinden. Rechtsklik in dit venster en kies voor Selecteer alles.
  Klik op de knop Volgende.
  Het programma zal je vragen om alle geselecteerde items te verwijderen. Bevestig dit met OK.
  Sluit Ad-Aware en start de computer opnieuw.

  Reboot, run HijackThis nog een keer en post een nieuwe log.

  groeten,
  Marc
 • [code:1:18d108019d]Logfile of HijackThis v1.97.7
  Scan saved at 18:28:58, on 19-5-2004
  Platform: Windows XP SP1 (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\WINDOWS\Explorer.EXE
  C:\Program Files\Eset\nod32krn.exe
  C:\WINDOWS\System32\nvsvc32.exe
  C:\WINDOWS\System32\r_server.exe
  C:\WINDOWS\System32\devldr32.exe
  C:\PROGRA~1\DAP\DAP.EXE
  C:\Program Files\Roxio\WinOnCD\DirectCD\DirectCD.exe
  C:\Program Files\Eset\nod32kui.exe
  C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
  C:\WINDOWS\System32\qttask.exe
  C:\Program Files\Messenger Plus! 2\MsgPlus.exe
  C:\PROGRA~1\Ping Noun Burn\MediaMfcd.exe
  C:\WINDOWS\System32\ctfmon.exe
  C:\My Shared Folder\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.nl/
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
  O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
  O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
  O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
  O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll
  O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
  O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
  O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
  O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
  O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
  O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\WinOnCD\DirectCD\DirectCD.exe"
  O4 - HKLM\..\Run: [nod32kui] C:\Program Files\Eset\nod32kui.exe /WAITSERVICE
  O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
  O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
  O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
  O4 - HKLM\..\Run: [parteggs] C:\PROGRA~1\Ping Noun Burn\MediaMfcd.exe
  O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
  O4 - HKCU\..\Run: [WAPI] C:\WINDOWS\System32\wtssu.exe
  O4 - HKCU\..\Run: [ClockSync] C:\Program Files\ClockSync\Sync.exe
  O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
  O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
  O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
  O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
  O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
  O8 - Extra context menu item: Ontvang alles met FlashGet - C:\Program Files\FlashGet\jc_all.htm
  O8 - Extra context menu item: Ontvang met FlashGet - C:\Program Files\FlashGet\jc_link.htm
  O9 - Extra button: Run DAP (HKLM)
  O9 - Extra button: FlashGet (HKLM)
  O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
  O9 - Extra button: Messenger (HKLM)
  O9 - Extra 'Tools' menuitem: Messenger (HKLM)
  O10 - Broken Internet access because of LSP provider 'imon.dll' missing
  O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
  O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://F:\content\include\XPPatchInstaller.CAB
  O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
  O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab[/code:1:18d108019d]
 • Ga naar configuratiescherm - Software. Deïnstalleer My Web Search Bar en Fun Web Products Easy Installer.

  Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren:
  [b:45264be1cb]
  O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
  O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL

  O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL

  Reboot.

  O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
  O4 - HKLM\..\Run: [parteggs] C:\PROGRA~1\Ping Noun Burn\MediaMfcd.exe
  O4 - HKCU\..\Run: [WAPI] C:\WINDOWS\System32\wtssu.exe
  O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
  O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
  O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE

  O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
  O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://F:\content\include\XPPatchInstaller.CAB
  [/b:45264be1cb]
  Reboot.
 • Uhm……….dat Fun Web Products Easy Installer staat niet in de software lijst.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.