Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

virus/trojan? + hijackthis

None
16 antwoorden
  • Nu zit ook ik in de problemen… :cry: Ik dacht een leuk spelletje te installeren (dom, dom!) en nu zit ik met het volgende:


    *p2pnetworking.exe en winupdate.exe willen verbinding maken.
    *Nadat ik ZoneAlarm had geupdate, kreeg ik de melding dat spoolserver.exe en svchost.exe veranderd waren. Ik vermoed dat ook deze nu besmet zijn.
    *Vervolgens kon ik het internet niet meer op en heb ik ZoneAlarm opnieuw geinstalleerd. Nu een "frisse" installatie en niet over de oude heen zoals eerst. Nu kreeg ik die melding over spoolserver.exe en svchost.exe natuurlijk niet weer. Ik kan nu wel weer op internet.
    *Na het installeren van het "spelletje" kwamen er een aantal rare bestanden in C:\. Dit zijn:

    -xz.exe, 343KB. Na verwijderen kwam het gewoon weer terug. Nu is het weg.
    -temp.zip, 765KB, verschijnt en verdwijnt naar willekeur. Bevat setup.exe, 783KB.
    -z.tmp, 783KB, verschijnt en verdwijnt naar willekeur.
    -a.tmp, 128 bytes, verschijnt en verdwijnt naar willekeur.


    Dan hierbij mijn hijack log. Ik heb al geprobeerd om die twee p2pnetworking vermeldingen te repareren, na een herstart staan ze er weer.

    Logfile of HijackThis v1.99.1
    Scan saved at 0:47:46, on 7-6-2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Avast4\aswUpdSv.exe
    C:\Program Files\Avast4\ashServ.exe
    C:\PROGRA~1\Avast4\ashDisp.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\ASUS\Probe\AsusProb.exe
    C:\Program Files\Atguard\iamserv.exe
    C:\WINDOWS\system32\p2pnetworking.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZONELABS\vsmon.exe
    C:\Program Files\Avast4\ashMaiSv.exe
    C:\Program Files\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: 64.91.255.87 www.dcsresearch.com
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
    O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
    O4 - HKLM\..\Run: [winupdate] C:\Program Files\winupdate\winupdate.exe /auto
    O4 - HKLM\..\Run: [p2pnetworking] p2pnetworking.exe
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\Office\Office10\EXCEL.EXE/3000
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093035111031
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F73BFFFD-8140-444E-9E25-7174A16509D1}: NameServer = 192.168.2.1
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - C:\Program Files\Atguard\iamserv.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe


    Iig die p2pnetworking is foute boel. Ik vraag me ook af wat iamserv.exe doet. Die kwam samen met Atguard die ik er ooit op had staan.

    Alvast bedankt!!!
  • Idd dat p2pnetworking moet je via Software van je computer gooien!

    Die andere bestand; iamserv.exe duid op een trojan horse wat dus ook verwijderd mag worden. zie: http://securityresponse.symantec.com/avcenter/venc/data/backdoor.helios.html
  • [quote:18388d52ab="brandsrus"]Idd dat p2pnetworking moet je via Software van je computer gooien![/quote:18388d52ab]Dit werkt niet altijd, maar het is niet verkeerd om dit eerst te proberen voordat je met HijackThis items gaat verwijderen :wink:
  • [quote:20cf7764c7="brandsrus"]Die andere bestand; iamserv.exe duid op een trojan horse wat dus ook verwijderd mag worden. zie: http://securityresponse.symantec.com/avcenter/venc/data/backdoor.helios.html[/quote:20cf7764c7]
    Even iets geknipt uit jouw link:[quote:20cf7764c7]The Trojan attempts to kill the following processes:
    * Heel veel bestanden(geknipt)
    * Iamserv.exe[/quote:20cf7764c7]Lezen brandsrus!!!

    In jouw link staat nergens dat iamserv.exe een trojan is, er staat wel dat die trojan het bestand iamserv.exe uitschakelt.

    Ik heb gezocht en volgens mij is Atguard een firewall:
    http://lists.gpick.com/pages/AtGuard.htm

    Download en installeer CCleaner.
    Gebruik het programma nog niet.

    Zorg ervoor dat alle verborgen bestanden en mappen weergegeven worden. Hoe verborgen bestanden en mappen weergeven..

    Start de computer in veilige modus.

    Run HijackThis nog een keer en plaats een vinkje bij de volgende items:

    [b:20cf7764c7]O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
    O4 - HKLM\..\Run: [winupdate] C:\Program Files\winupdate\winupdate.exe /auto
    O4 - HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe[/b:20cf7764c7]

    Sluit alle open vensters(behalve HijackThis) klik daarna op "Fix checked" en sluit HijackThis af.

    Zoek via Windows verkenner naar de volgende bestanden of mappen, en verwijder deze indien ze nog aanwezig zijn:
    [b:20cf7764c7]C:\Program Files\winupdate
    C:\WINDOWS\system32\p2pnetworking.exe[/b:20cf7764c7]

    [b:20cf7764c7]Het gebruik van Ccleaner:[/b:20cf7764c7]
    Ccleaner verwijderd ook cookies. Cookies zijn meestal gewoon nutteloos,
    soms zelfs kwaadaardig, maar er zijn er ook enkele die nodig zijn voor het inloggen op bepaalde websites.

    Ccleaner biedt je de mogelijkheid om in te stellen welke cookies je behouden wilt.
    Kijk hiervoor bij "Opties"en dan Cookies, selecteer de cookies die je behouden wilt en plaats die in de "Te behouden cookies" ruimte.
    Klik daarna op de knop "Opschonen".
    Herstart de computer daarna in normale modus.

    Scan daarna je systeem nog eens online met Panda

    Vermeld hier de resultaten van de scan en plaats ook maar weer een nieuw log van HijackThis

    Wat betreft Atguard, het blijkt dus een Firewall te zijn, maar omat je er al één van Zonelabs hebt wil je deze waarschijnlijk toch kwijt,
    kijk dan eerst eens bij Configuratiescherm –>Software of je deze daar verwijderen kunt.

    vr.gr.smeenk :wink:
  • Ja, atguard is een firewall. En iamserv.exe is daar inderdaad een onderdeel van. Ik vraag me alleen af waarom iamserv.exe verbinding maakt met internet…

    [b:3a1af41369]smeenk[/b:3a1af41369], ik heb jouw advies opgevolgd, tot de online scan (ik gebruik liever geen IE :roll: ). Ik heb gescand met avast:

    [i:3a1af41369]Stukje over trojans en bestanden in de map "System Volume Information" verwijderd. Dit zijn dus systeemherstel bestanden. Na uitschakelen van systeemherstel waren deze bestanden weg. Ik scan nu opnieuw, maar ga er van uit dat avast nu geen trojans meer vindt.[/i:3a1af41369]


    [b:3a1af41369]2e log van Hijack:[/b:3a1af41369]

    Logfile of HijackThis v1.99.1
    Scan saved at 23:02:52, on 7-6-2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\Avast4\ashDisp.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Avast4\aswUpdSv.exe
    C:\Program Files\ASUS\Probe\AsusProb.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Avast4\ashServ.exe
    C:\Program Files\Atguard\iamserv.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZONELABS\vsmon.exe
    C:\Program Files\Avast4\ashMaiSv.exe
    C:\Program Files\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: 64.91.255.87 www.dcsresearch.com
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
    O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\Office\Office10\EXCEL.EXE/3000
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093035111031
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F73BFFFD-8140-444E-9E25-7174A16509D1}: NameServer = 192.168.2.1
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - C:\Program Files\Atguard\iamserv.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe


    Staan er nog fouten in? Die O1 regel misschien?!

    Hoe kom ik te weten of [b:3a1af41369]spoolserver.exe en svchost.exe[/b:3a1af41369] legitiem verbinding maken?

    Kan ik die "rare" bestanden (in de C-root, zie eerste post) deleten?

    Tot zover. Phoe! Wat een gedoe… :(
  • Start HijackThis opnieuw en kies voor "do a system scan only" en vink daarna de volgende items aan:
    [b:584d143ffd]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =[/b:584d143ffd]

    De volgende regel is van DCS(een antitrojanprogramma)
    [b:584d143ffd]O1 - Hosts: 64.91.255.87 www.dcsresearch.com [/b:584d143ffd]
    deze regel is onschuldig en zelfs noodzakelijk als je het programma nog gebruikt. Als je het programma niet meer op je systeem hebt staan zou je deze regel ook kunnen aanvinken in HijackThis.

    Klik daarna op "Fix checked" en sluit HijackThis af.

    Wil je nog van die iamserv.exe af?

    Je hebt het over het bestand [b:584d143ffd]spoolserver.exe[/b:584d143ffd], waar staat dat bestand? Scan het eens met http://virusscan.jotti.org en meldt het resultaat.

    [quote:584d143ffd]7-6-2005 22:51:05 Administrator 2364 Sign of "Win32:Trojan-gen. {Other}" has been found in "C:\System Volume Information\_restore{34A975BF-EB21-43A2-9EDD-9DDCAFF47E9B}\RP4\A0001174.exe\whiehlpr.dll" file.
    7-6-2005 22:51:03 Administrator 2364 Sign of "Win32:Trojan-gen. {VC}" has been found in "C:\System Volume Information\_restore{34A975BF-EB21-43A2-9EDD-9DDCAFF47E9B}\RP4\A0001174.exe\WhSurvey.exe" file.
    7-6-2005 22:51:00 Administrator 2364 Sign of "Win32:Trojan-gen. {VC}" has been found in "C:\System Volume Information\_restore{34A975BF-EB21-43A2-9EDD-9DDCAFF47E9B}\RP4\A0001174.exe\WhAgent.exe" file.
    7-6-2005 22:50:54 Administrator 2364 Sign of "Win32:Trojan-gen. {Other}" has been found in "C:\System Volume Information\_restore{34A975BF-EB21-43A2-9EDD-9DDCAFF47E9B}\RP4\A0001173.exe\whiehlpr.dll" file.
    7-6-2005 22:50:51 Administrator 2364 Sign of "Win32:Trojan-gen. {VC}" has been found in "C:\System Volume Information\_restore{34A975BF-EB21-43A2-9EDD-9DDCAFF47E9B}\RP4\A0001173.exe\WhSurvey.exe" file.
    7-6-2005 22:50:28 Administrator 2364 Sign of "Win32:Trojan-gen. {VC}" has been found in "C:\System Volume Information\_restore{34A975BF-EB21-43A2-9EDD-9DDCAFF47E9B}\RP4\A0001173.exe\WhAgent.exe" file. [/quote:584d143ffd]Deze map behoort toe aan je systeem herstel, daar zitten dus nog restanten van de infecties.

    Doe het volgende: Schakel Systeemherstel uit. Herstart de computer. Schakel Systeemherstel weer in.
    Systeemherstel uitschakelen.

    vr.gr.smeenk :wink:
  • De twee R0 regels en O1 verwijderd.

    iamserv.exe laat ik maar staan.

    Ik schreef foutief spoolserver.exe! Het moet spoolsv.exe zijn. Dit is een windows onderdeel. Het staat in de system32 map.

    Zowel svchost.exe als spoolsv.exe zijn windows onderdelen die toegang tot internet nodig hebben. Ik vraag me alleen af of deze ook "gekaapt" kunnen worden. Nadat ik ZoneAlarm had geupdate kreeg ik een melding dat deze twee programma's veranderd waren. Dit was net voor of net nadat ik dat zogenaamde spelletje had geïnstalleerd.

    Ik zal die "rare" bestanden in de C-root nogmaals verwijderen. Kijken of ze nu weg blijven…
  • [quote:f1769f803c="Fr@ns"]De twee R0 regels en O1 verwijderd.

    iamserv.exe laat ik maar staan.

    Ik schreef foutief spoolserver.exe! Het moet spoolsv.exe zijn. Dit is een windows onderdeel. Het staat in de system32 map.

    Zowel svchost.exe als spoolsv.exe zijn windows onderdelen die toegang tot internet nodig hebben. Ik vraag me alleen af of deze ook "gekaapt" kunnen worden. Nadat ik ZoneAlarm had geupdate kreeg ik een melding dat deze twee programma's veranderd waren. Dit was net voor of net nadat ik dat zogenaamde spelletje had geïnstalleerd.

    Ik zal die "rare" bestanden in de C-root nogmaals verwijderen. Kijken of ze nu weg blijven…[/quote:f1769f803c]Volgens mij krijg je dergelijke meldingen altijd nadat je ZoneAlarm geupdate hebt.

    Als die "rare bestanden in de C-root" toch nog terug blijven komen, scan ze dan eens met http://virusscan.jotti.org Meldt het resultaat indien het toch malware blijkt te zijn.

    Heb je ook een antispyware prog op je PC?
    Zo ja, update deze dan en laat je systeem eens scannen.

    Zo nee, Scan de computer met een geupdate Ad-Aware SE. Instructies vind je hier.

    Ik zou me(als je die scan van Ad-Aware gedaan hebt) ook niet veel zorgen meer maken, er zijn dan geen aanwijzigingen meer dat er iets mis is. :wink:

    Meld hier maar even wat die antispywarescan opleverde.

    Wat betreft Atguard Iamserv.exe heb ik het idee dat het om verouderde software gaat, ik vind er op internet weinig recente informatie over en eigenlijk voornamelijk links zoals die van brandsrus(ik vind het dus ook niet vreemd dat hij zich hiermee vergiste :wink:)

    Mocht je deze alsnog willen verwijderen en lukt dit niet via: Configuratiescherm –> Software, dan kan het ook op deze manier:

    Onderstaande regfile zou dan de iamServ-service uit je register moeten verwijderen:

    1) Open een klablokbestand.
    2) Kopieer onderstaande code in dit kladblokbestand.
    3) Ga naar Bestand - Opslaan als.
    -Bij "Opslaan in" kies je: Bureaublad
    -Bij "Bestandsnaam" zet je: fix.reg
    -Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
    -Klik op de knop Opslaan.
    [code:1:f1769f803c]REGEDIT4

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\iamServ]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\iamServ]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\iamServ]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iamServ][/code:1:f1769f803c]

    4) Dubbelklik op de fix.reg file en laat de wijzigingen aan het register toevoegen.
    5) Herstart daarna je computer.
    6) Verwijder daarna de map [b:f1769f803c]C:\Program Files\Atguard[/b:f1769f803c]

    vr.gr.smeenk :wink:
  • Die rare bestanden heb ik online gescand en ongeveer de helft van de scanners vond inderdaad een [b:de7aeb7749]virus/trojan[/b:de7aeb7749] (avast dus niet). Ik had vier rare bestanden, elk was een virus, twee verschillende. Ik heb deze bestanden in de veilige modus verwijderd. Ik wou ook de register-sleutel (Run) verwijderen, maar kon de register-editor (regedit) in veilige modus niet starten. Ik kreeg de melding: "16-bits MS-DOS-subsysteem". Ook nu in "gewone modus" werkt regedit niet meer?! Ik heb in mijn systeem32-map wel regedt32.exe staan en als ik die open, start inderdaad de register-editor. Vreemd…

    Tot nu toe zijn die rare bestanden in ieder geval niet meer teruggekomen. :D

    Atguard is inderdaad verouderd. Het is een paar jaar geleden overgenomen door Norton, die er "zijn" firewall mee heeft gebouwd.

    Ik heb Ad-Aware, maar dat is versie 1.05. Heb nu de nieuwste gedownload en ga die aan het werk zetten… Resultaat volgt…
  • [quote:1c605788b9="Fr@ns"]Ik wou ook de register-sleutel (Run) verwijderen,[/quote:1c605788b9]Welke sleutel was dat dan? [quote:1c605788b9="Fr@ns"]maar kon de register-editor (regedit) in veilige modus niet starten. Ik kreeg de melding: "16-bits MS-DOS-subsysteem". Ook nu in "gewone modus" werkt regedit niet meer?! Ik heb in mijn systeem32-map wel regedt32.exe staan en als ik die open, start inderdaad de register-editor. Vreemd..[/quote:1c605788b9]ik heb even gezocht[quote:1c605788b9]Regedt32.exe
    In Windows XP and Windows Server 2003, Regedt32.exe is a small program that just runs Regedit.exe[/quote:1c605788b9]Nog iets verder gezocht: http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=43234

    Er staat waarschijnlijk een bestand regedit.com op je systeem, dat waarschijnlijk gestart wordt als je probeert regedit te starten.[quote:1c605788b9]The worm creates the following files with the characteristics Hidden and System:

    %System%\cmd.com
    %System%
    etstat.com
    %System%\ping.com
    %System%\regedit.com
    %System%\taskkill.com
    %System%\tasklist.com
    %System%\taskmgr.exe
    %System%\tracert.com[/quote:1c605788b9]Zorg ervoor dat alle verborgen bestanden en mappen weergegeven worden. Hoe verborgen bestanden en mappen weergeven..

    Probeer bovenstaande bestanden te verwijderen uit de map [b:1c605788b9]C:\Windows\System32[/b:1c605788b9] laat het bestand taskmgr.exe nog maar even staan, en controleer eerst of het niet het orginele windows bestand is[quote:1c605788b9]The worm searches the local system for directories containing any of the following:

    shared
    res\My Shared Folder
    eMule\Incoming
    Kazaa\My Shared Folder
    My Shared Folder
    morpheus\My Shared Folder
    grokster\my grokster
    earshare\Shared
    Limewire\Shared
    donkey2000\Incoming
    gnucleus\downloads
    shareaza\downloads
    rapigator\share

    In order to collect filenames to copy itself to, the worm downloads a series of pages from the newcracks.net web site, and saves lists of filenames published there to c:\x.txt, or c:\z.txt. Using the file bszip.dll, the worm then creates a copy of itself in ZIP format as c:\temp.zip. It then proceeds to copy itself in zip form using the harvested filenames to directories matching the above criteria[/quote:1c605788b9]Zoek op je PC naar mappen met namen die overeenkomen met die hier boven, ook daar heeft het virus bestanden geplaatst. (let op niet alle bestanden in die mappen zijn geplaatst door het virus) Dit pleit toch wel voor een onlinescan :roll:

    vr.gr.smeenk
  • Tja, gaat lekker. Gescand met [b:47c746cdbb]Ad-Aware[/b:47c746cdbb] en inderdaad wat gevonden:

    ArchiveData(auto-quarantine- 2005-06-08 22-46-59.bckp)
    Referencefile : SE1R49 31.05.2005
    ======================================================

    WIN32.P2P-WORM.ALCAN.A
    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    obj[0]=Bestand : C:\WINDOWS\system32\bszip.dll
    obj[1]=Bestand : C:\WINDOWS\system32\cmd.com
    obj[2]=Bestand : C:\WINDOWS\system32
    etstat.com
    obj[3]=Bestand : C:\WINDOWS\system32\ping.com
    obj[4]=Bestand : C:\WINDOWS\system32\regedit.com
    obj[5]=Bestand : C:\WINDOWS\system32\taskkill.com
    obj[6]=Bestand : C:\WINDOWS\system32\tasklist.com
    obj[7]=Bestand : C:\WINDOWS\system32\tracert.com

    Precies wat u ook gevonden had! Als het goed is heeft Ad-Aware deze bestanden / deze worm nu verwijderd?!

    Wat betreft die registersleutel: ik had ergens gelezen om in veilige modus de bestanden en verwijzingen naar die bestanden in [i:47c746cdbb]…?…\Software\Microsoft\CurrentVersion\Run[/i:47c746cdbb] te verwijderen.


    Ik zal nog even verder gaan met wat u in uw "update" heeft vermeld.
  • [quote:03a2d73a01="Fr@ns"]Tja, gaat lekker. Gescand met [b:03a2d73a01]Ad-Aware[/b:03a2d73a01] en inderdaad wat gevonden:

    ArchiveData(auto-quarantine- 2005-06-08 22-46-59.bckp)
    Referencefile : SE1R49 31.05.2005
    ======================================================

    WIN32.P2P-WORM.ALCAN.A
    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    obj[0]=Bestand : C:\WINDOWS\system32\bszip.dll
    obj[1]=Bestand : C:\WINDOWS\system32\cmd.com
    obj[2]=Bestand : C:\WINDOWS\system32
    etstat.com
    obj[3]=Bestand : C:\WINDOWS\system32\ping.com
    obj[4]=Bestand : C:\WINDOWS\system32\regedit.com
    obj[5]=Bestand : C:\WINDOWS\system32\taskkill.com
    obj[6]=Bestand : C:\WINDOWS\system32\tasklist.com
    obj[7]=Bestand : C:\WINDOWS\system32\tracert.com

    Precies wat u ook gevonden had! Als het goed is heeft Ad-Aware deze bestanden / deze worm nu verwijderd?![/quote:03a2d73a01]Dat is mooi, scheelt al weer een hoop werk.[quote:03a2d73a01="Fr@ns"]Wat betreft die registersleutel: ik had ergens gelezen om in veilige modus de bestanden en verwijzingen naar die bestanden in [i:03a2d73a01]…?…\Software\Microsoft\CurrentVersion\Run[/i:03a2d73a01] te verwijderen.[/quote:03a2d73a01]Dit is niet nodig en ook niet aan te raden, deze sleutels verschijnen ook in een HijackThis log, als je een nieuw log plaatst kan ik zien of er nog zaken staan die verwijderd moeten worden :wink:
  • [b:51909cb9f1]Nieuwe log:[/b:51909cb9f1]

    Logfile of HijackThis v1.99.1
    Scan saved at 23:22:51, on 8-6-2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\Avast4\ashDisp.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Avast4\aswUpdSv.exe
    C:\Program Files\ASUS\Probe\AsusProb.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Avast4\ashServ.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZONELABS\vsmon.exe
    C:\Program Files\Avast4\ashMaiSv.exe
    C:\Program Files\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
    O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\Office\Office10\EXCEL.EXE/3000
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093035111031
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F73BFFFD-8140-444E-9E25-7174A16509D1}: NameServer = 192.168.2.1
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - C:\Program Files\Atguard\iamserv.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

    Is volgens mij wel ok?! :-?

    Kan ik er van uit gaan dat Ad-Aware die trojan heeft verwijderd? :o

    Ik kan verder geen bestanden meer vinden in een van die genoemde mappen. :)
  • [quote:c10329fce1="Fr@ns"]Is volgens mij wel ok?! :-?[/quote:c10329fce1]Ja, je log is schoon :wink:
    [quote:c10329fce1="Fr@ns"]Kan ik er van uit gaan dat Ad-Aware die trojan heeft verwijderd? :o[/quote:c10329fce1]Het lijkt er wel op Fr@ns, Je hebt nu aan den lijve ondervonden hoe belangrijk het is om antivirus- en antispyware up to date te houden.

    Je eigen scanner vond deze malware niet. Dat je een andere browser gebruikt is op zich een goede zaak, maar af en toe Internet Explorer gebruiken om een online virus- trojan- of spywarescan te doen is in mijn ogen geen overdreven luxe.

    Hier nog wat info over hoe je een nieuwe infectie kan voorkomen.

    vr.gr.smeenk :wink:
  • [b:4274480c38]smeenk[/b:4274480c38]

    Heel erg bedankt voor uw hulp! :P

    Ik dacht dat ik wel voorzichtig genoeg was. Firewall, virusscanner en spywarescanner. Maar ik had dus toch via p2p (shareaza) twee trojans binnengehaald. Ik gebruik shareaza eigenlijk nooit, dus dat was in een keer raak! Pech dat avast het niet vond en ad-aware was dus niet helemaal up-to-date. Maar ik wist eigenlijk ook niet dat ad-aware zich met trojans bezig hield.

    Ik zal die website nog even lezen, nogmaals bedankt. Fr@ns
  • Graag gedaan hoor :D

    Trojans hebben wel degelijk met spyware te maken omdat trojans via internet allelei troep op je PC kunnen installeren.

    vr.gr.smeenk :wink:

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.