Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Revop.C Definitief verwijderen!

Anoniem
None
14 antwoorden
  • Weet iemand een oplossing/verklaring voor het volgende probleem? Al een paar dagen heb ik last van het volgende virus: TrojanHorse Revop.C. Ik kan uit het niets een waarschwuwing (van AVG) krijgen. Op de een of andere manier is er zomaar een map aangemaakt waar de besmette file ook instaat (bdl4025.exe). En tevens de volgende file: installer2 en een lege submap FLEOK. Wat het is en waar het vandaan komt; ik heb geen flauw idee. Na het vewrijderd te hebben met AVG en de Temp map gewist te hebben, ook uit de prullenbak en AdAware te hebbben gedraaid en tevens KaZaa verwijderd te hebben met Conf.Scherm>Software is het een tijd weg. Maar zonet startte ik de computer op en ja hoor, daar was ie weer; ook de map temp stond er weer. Is er trouwens niet een instelling te maken zodat je toestemming gevraagd wordt voordat dergelijke mappen/betanden op je harde schijf worden gezet? In de lijst met programma's die in het geheugen worden geladen stond nog een programma dat hier mee te maken heeft aangezien ik de map temp eerst niet kon verwijderen omdat er nog een proces draaide. In de voornoemde lijst was dat msbb.exe. En nog een programma dat eerst niet in die lijst stond: c:\windows\izynyn.exe. Ik baal hier verschrikkelijk van …
  • Zo te zien heb je wel meer als enkelt een virus op je comp staan.

    Download HijackThis.
    Sla het bestand op in een eigen map. Niet op je bureaublad of in je Temp-files. HijackThis maakt namelijk backups in de map waar het opgestart wordt.
    Run het programma. Klik op scan, save log en sla het log op als een .txt bestand.
    Kopieer en plak de volledige inhoud van dit logbestand in je volgende bericht.
    Dan halen wij de sleutels eruit.
  • Geweldig! Hier de Scan:

    Logfile of HijackThis v1.98.0
    Scan saved at 16:08:21, on 11-7-2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\INSTAL~1\DOWNLO~1\AVGANT~1\avgserv.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZONELABS\vsmon.exe
    C:\Progra~1\Launch Manager\LaunchAp.exe
    C:\Progra~1\Launch Manager\PowerKey.exe
    C:\Progra~1\Launch Manager\HotkeyApp.exe
    C:\Progra~1\Launch Manager\CtrlVol.exe
    C:\Progra~1\Launch Manager\Wbutton.exe
    C:\INSTAL~1\DOWNLO~1\AVGANT~1\avgcc32.exe
    C:\Installed Software\Downloads\ZoneAlarm\ZoneAlarm\zlclient.exe
    C:\Program Files\WindUpdates\WinUpdt.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\WindUpdates\WinKA.exe
    C:\Installed Software\MSoffice\Office10\OUTLOOK.EXE
    C:\Installed Software\MSoffice\Office10\WINWORD.EXE
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Installed Software\Downloads\Hijack-This\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.blazefind.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.blazefind.com/search_page.php?account_id=3004
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    R3 - URLSearchHook: AutoSearch Class - {1E432263-6841-4653-8F02-366A2F77E339} - C:\PROGRA~1\WIACA5~1\WinSB1.DLL
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Installed Software\Downloads\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: EventHandler Class - {9FB534E3-67CB-4307-AE0A-9E8B5581BE2C} - C:\PROGRA~1\WIACA5~1\WinSB1.DLL
    O3 - Toolbar: Windows Search Bar - {A1DD937D-71E1-4BB5-BD5D-1B01B9CB1C2F} - C:\PROGRA~1\WIACA5~1\WinSB1.DLL
    O4 - HKLM\..\Run: [LaunchApp] LaunApp
    O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
    O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
    O4 - HKLM\..\Run: [HotkeyApp] C:\Progra~1\Launch Manager\HotkeyApp.exe
    O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
    O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
    O4 - HKLM\..\Run: [AVG_CC] C:\INSTAL~1\DOWNLO~1\AVGANT~1\avgcc32.exe /STARTUP
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Installed Software\Downloads\ZoneAlarm\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\INSTAL~1\Office10\EXCEL.EXE/3000
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=ba9e5852dc980b986fee61c992c908c8c4aec16057356878cb33e09dd16b4cf022ee4f03b5e10bcc02ba107b27ceffe90e3fd70ec204a8ea059f9bce3429:7de6395213b713f896a76337b174f90e
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0264c81d7166d1dadf05/netzip/RdxIE601.cab

    Ik had 'm zelf ook al eerder gedraaid en de R-items met site blazefind verwijderd, maar ik zie nu dat deze terug zijn! Verder vind ik het vreemd en het heeft naar mijn gevoel met het probleem te maken, dat telkens de windows search-bar wordt ingeschakeld; ik moet dat telkens weer wegvinken. Ik ben benieuwd naar jullie bevindingen. Vr.Gr. Jan
  • ik zal wel even kijken
  • Alvast bedankt. Misschien nog iets wat hier mee te maken kan hebben. Na het scannen met SpyBot vind hij DSO-exploit, whatever that may be. Ik verwijder het maar hij vindt het na scannen telkens weer!
  • sluit alle vensters en laat deze fixen met hijackthis:

    [list:b99d754f29]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.blazefind.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.blazefind.com/search_page.php?account_id=3004
    R3 - URLSearchHook: AutoSearch Class - {1E432263-6841-4653-8F02-366A2F77E339} - C:\PROGRA~1\WIACA5~1\WinSB1.DLL
    O2 - BHO: EventHandler Class - {9FB534E3-67CB-4307-AE0A-9E8B5581BE2C} - C:\PROGRA~1\WIACA5~1\WinSB1.DLL
    O3 - Toolbar: Windows Search Bar - {A1DD937D-71E1-4BB5-BD5D-1B01B9CB1C2F} - C:\PROGRA~1\WIACA5~1\WinSB1.DLL
    O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=ba9e5852dc980b986fee61c992c908c8c4aec16057356878cb33e09dd16b4cf022ee4f03b5e10bcc02ba107b27ceffe90e3fd70ec204a8ea059f9bce3429:7de6395213b713f896a76337b174f90e[/list:u:b99d754f29]

    reboot in safe mode en laat hem alle bestanden weergeven. verwijder vervolgens indien aanwezig:
    C:\program files\WIACA5~1 <— deze map
    C:\Program Files\WindUpdates\WinUpdt.exe <— dit bestand

    reboot in normale modus en post een schone log.

    ps: die dso in spybot is een bug, die kan je negeren, word waarschijnlijk bij de volgende software update gemaakt :wink:
  • Dank je! Maar eerst nog een verschrikkelijk domme vraag ben ik bang, maar hoe reboot je in safe-mode?
  • onder het opstarten druk je op het moment dat windows begint te laden een paar keer op f8

    ps: domme vragen bestaan niet

    edit: je kan ook even hier kijken
  • Wederom dank. Hier de log nadat ikWinUpdt in veilige modus heb verwijderd. WIACAS kon ik niet vinden.

    Logfile of HijackThis v1.98.0
    Scan saved at 17:58:26, on 11-7-2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Progra~1\Launch Manager\LaunchAp.exe
    C:\Progra~1\Launch Manager\PowerKey.exe
    C:\Progra~1\Launch Manager\HotkeyApp.exe
    C:\Progra~1\Launch Manager\CtrlVol.exe
    C:\Progra~1\Launch Manager\Wbutton.exe
    C:\INSTAL~1\DOWNLO~1\AVGANT~1\avgcc32.exe
    C:\Installed Software\Downloads\ZoneAlarm\ZoneAlarm\zlclient.exe
    C:\INSTAL~1\DOWNLO~1\AVGANT~1\avgserv.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZONELABS\vsmon.exe
    C:\Installed Software\Downloads\Hijack-This\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Installed Software\Downloads\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Installed Software\Downloads\Spybot - Search & Destroy\SDHelper.dll
    O4 - HKLM\..\Run: [LaunchApp] LaunApp
    O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
    O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
    O4 - HKLM\..\Run: [HotkeyApp] C:\Progra~1\Launch Manager\HotkeyApp.exe
    O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
    O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
    O4 - HKLM\..\Run: [AVG_CC] C:\INSTAL~1\DOWNLO~1\AVGANT~1\avgcc32.exe /STARTUP
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Installed Software\Downloads\ZoneAlarm\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\INSTAL~1\Office10\EXCEL.EXE/3000
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0264c81d7166d1dadf05/netzip/RdxIE601.cab

    Hoe laat je alle bestanden weergeven. Ik heb wel iets aangevinkt in mapoties, maar heb WinUpdt.exe met zoekfunctie gevonden en verwijderd.

    Ben benieuwd! Nogmaals dank. VrGr. Jan
  • PS. Ik zie dat WinUpdt.exe er nog steeds in staat …
  • run hijackthis opnieuw en fix deze:
    O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe (die had je zelf ook al gezien)

    daarna ga je weer de safe mode in en dan gooi je de hele map: "WindUpdates" weg ipv alleen "WinUpdt.exe" daarna reboot in normale modus en meld je daarna terug met een nieuwe log :wink:
  • Hartstikke bedankt voor je reactie! Voordat ik gisteravond afsloot keek ik eerst nog in lijst met programma's die worden geladen bij opstarten (uitvoeren>msconfig>…) Iki vond winupdt.exe. Die heb ik afgevinkt. Mijn log ziet er nu zo uit:

    Logfile of HijackThis v1.98.0
    Scan saved at 13:42:42, on 12-7-2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\INSTAL~1\DOWNLO~1\AVGANT~1\avgserv.exe
    C:\Progra~1\Launch Manager\LaunchAp.exe
    C:\Progra~1\Launch Manager\PowerKey.exe
    C:\Progra~1\Launch Manager\HotkeyApp.exe
    C:\Progra~1\Launch Manager\CtrlVol.exe
    C:\Progra~1\Launch Manager\Wbutton.exe
    C:\INSTAL~1\DOWNLO~1\AVGANT~1\avgcc32.exe
    C:\Installed Software\Downloads\ZoneAlarm\ZoneAlarm\zlclient.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZONELABS\vsmon.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Installed Software\Downloads\Hijack-This\HijackThis.exe
    C:\Installed Software\MSoffice\Office10\OUTLOOK.EXE
    C:\Installed Software\MSoffice\Office10\WINWORD.EXE
    C:\Program Files\Internet Explorer\iexplore.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Installed Software\Downloads\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Installed Software\Downloads\Spybot - Search & Destroy\SDHelper.dll
    O4 - HKLM\..\Run: [LaunchApp] LaunApp
    O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
    O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
    O4 - HKLM\..\Run: [HotkeyApp] C:\Progra~1\Launch Manager\HotkeyApp.exe
    O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
    O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
    O4 - HKLM\..\Run: [AVG_CC] C:\INSTAL~1\DOWNLO~1\AVGANT~1\avgcc32.exe /STARTUP
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Installed Software\Downloads\ZoneAlarm\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\INSTAL~1\Office10\EXCEL.EXE/3000
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0264c81d7166d1dadf05/netzip/RdxIE601.cab

    Hoeft dus niets meer gefixed te worden? Ik heb net ook de map winupdates (in gewone modus dus) vewijderd.

    Nog een paar vragen als je 't goed vindt:

    Waarom moet je files/mappen in veilige modus verwijderen en wat is veilige modus precies?

    Wat betekenen R1,R2 etc, O1,O2 etc, ? Dit zijn 'registeronderdelen'?

    Wat doet/deed Revop.C precies en wat stond er nu precies in de map C:\Temp?

    Wat deden de 'items' die ik op jouw advies heb weg gehaald?

    Kun je niet beter een andere webbrowser nemen? En als je dat doet kun je dan ME en Mozzilla bv door elkaar gebruiken aangezien ik heb gehoord dat je met Mozzilla geen windows updates kunt downloaden?

    Nogmaals heel erg bdankt voor je adviezen! Vr.Gr. Jan
  • safe mode dat is een modus van windows waarin windows alleen de hoognodige processen laad. spyware dus niet. in de normale modus zal spyware bij het opstarten wel geladen worden waardoor je dan niet de permissie hebt om ze weg te gooien omdat ze in gebruik zijn

    die nummers zijn een soort van codes zeg maar waaraan je kan zien wat voor een (register) instelling het is. forumgenoot m@rc heeft hier een hele mooie hijackthishandleiding voor geschreven, die staat hier en is misschien wel de moeite om eens doorheen te lezen.

    wat Revop.C precies doet weet ik niet uit mijn hoofd. er zijn zoveel virussen dat het lastig is om het allemaal uit het hoofd te weten. zoek bijvoorbeeld eens op google, dan kan je heel veel informatie vinden.


    de items die je weggehaalt hebt waren startpagine hijackers en aanverwanten

    en ja je kan beter een andere internet browser nemen. je kan idd mozilla gebruiken om gewoon mee te surfen en daarnaast nog IE om je windows mee te updaten.

    ik hoop zo een bevredigend antwoord te hebben gegeven. ik heb echter niet zoveel tijd nu, ik zal het anders vanavond proberen te verduidelijken (ik ben niet echt een held in uitleggen)
  • Ik snap 't. Wederom bedankt 8)

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.