Vraag & Antwoord

Beveiliging & privacy

win32:trojano-1941 TROJAANS PAARD!!

Anoniem
None
60 antwoorden
 • Fix deze eens met HijackThis:

  [b:0fbd55ac4d]O4 - HKLM\..\Run: [Daily Weather Forecast] C:\Program Files\Daily Weather Forecast\weather.exe[/b:0fbd55ac4d]

  En deze is ook verdacht:
  [b:0fbd55ac4d]O4 - Global Startup: numlock.vbs[/b:0fbd55ac4d]

  Als je die zelf niet kent fix die dan ook maar eens.
  Daarna je computer herstarten en het resultaat melden.

  Groeten smeenk :wink:
 • Ik heb al wat tijd gestoken in verwijdering van bovenstaand Trojaans Paard virus en heb me hierbij laten leiden door de info uit het volgende topic:
  http://www.thespykiller.co.uk/forum/index.php?topic=917.new

  Helaas blijft er een hardnekkig restant over dat om de zoveel tijd voor een alarm in AVAST zorgt: \WINDOWS\g14441609.dll (overigens is dit telkens een ander nummer) Malwarenaam: Win32:Trojano-3009 [Trj]
  VPS versie 0550-0, 10-12-2005

  Hoe kom ik er vanaf?
 • register al eens opgeschoont?
 • [quote:d2ded00866]register al eens opgeschoont?[/quote:d2ded00866]

  Ja, hoor! Met RegistryMechanic. Alles fouten gerepareerd.
  Maar na een kwartier komt het alarm weer, met weer een andere dll: C:\WINDOWS\g18041765.dll

  Krijg het dus niet weg!
 • Misschien ff handmatig door je reg heen :\? Laat AVAST het virus verwijderen? Zoek een killer ervoor @Google? Komt 't ook in veilige modus? Zonee: is gewoon te verwijderen @registry, zowel: zit wss wat dieper genesteld
 • run regcleaner eens

  haal dan idd handmatig alle verwijzingen weg
 • [quote:f5a47d2bbd]run regcleaner eens [/quote:f5a47d2bbd]

  Ik heb dit wel maar moet dan handmatig aangeven wat ik wil verwijderen. Lijkt me niet veilig.

  RegClean van Windows is er niet voor XP!

  TweakNow Regcleaner geprobeerd. 5 files gevonden die dit prog niet kan thuisbrengen.
  Elke file vervolgens nageplozen om zijn werking.

  Bij de derde was het raak: fde.dll

  Dit is een proces dat behoort tot de Win32.Startpage.ix Trojan en dit virus ondersteunt. ZIE
  http://www.liutilities.com/products/wintaskspro/dlllibrary/fde/

  Uiteraard verwijderd. Nu hopen dat het weg is….
 • Helaas….te vroeg victorie gekraaid!
  Het virus zit er nog steeds.

  Iemand nog andere suggesties?
 • Controlleer eens wat er allemaal met windows meestart. Heb je een firewall? Het lijkt erop alsof het paard steeds opnieuw wordt binnengehaald.
  Ik neem aan dat je het al gedaan hebt, maar scan eens op virussen als je windows in de veilige modus hebt opgestart en draai dan ook eens spywarekillers als Spybot en Adaware.

  Hoe zit je HJT-log eruit trouwens?
 • Logfile of HijackThis v1.99.1
  Scan saved at 19:31:38, on 12-12-2005
  Platform: Windows XP SP2 (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\Ahead\InCD\InCDsrv.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\WINDOWS\Explorer.EXE
  C:\WINDOWS\htpatch.exe
  C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
  C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
  C:\WINDOWS\SOUNDMAN.EXE
  C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
  C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
  C:\Program Files\Medion Home CinemaXL\PowerCinema\PCMService.exe
  C:\PROGRA~1\DAP\DAP.EXE
  C:\WINDOWS\Dit.exe
  C:\WINDOWS\system32\atwtusb.exe
  C:\Program Files\Daily Weather Forecast\weather.exe
  C:\WINDOWS\system32\ctfmon.exe
  C:\Program Files\Microsoft Office\Office\OSA.EXE
  C:\WINDOWS\system32\TBLMOUSE.EXE
  C:\WINDOWS\DitExp.exe
  C:\WINDOWS\System32\PackethSvc.exe
  C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
  C:\Program Files\Alwil Software\Avast4\ashServ.exe
  C:\WINDOWS\system32\cisvc.exe
  C:\Program Files\ewido\security suite\ewidoctrl.exe
  C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
  C:\WINDOWS\System32\tcpsvcs.exe
  C:\WINDOWS\System32\snmp.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\System32\MsPMSPSv.exe
  C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
  C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
  C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
  C:\WINDOWS\system32\cidaemon.exe
  C:\Program Files\Mozilla Firefox\firefox.exe
  C:\Program Files\WinRAR\WinRAR.exe
  C:\DOCUME~1\Ray\LOCALS~1\Temp\Rar$EX00.578\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.nl/
  R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
  O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
  O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
  O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
  O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll
  O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
  O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
  O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
  O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
  O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
  O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
  O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
  O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
  O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
  O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
  O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
  O4 - HKLM\..\Run: [PCMService] C:\Program Files\Medion Home CinemaXL\PowerCinema\PCMService.exe
  O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
  O4 - HKLM\..\Run: [Dit] Dit.exe
  O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
  O4 - HKLM\..\Run: [Daily Weather Forecast] C:\Program Files\Daily Weather Forecast\weather.exe
  O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
  O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
  O4 - Global Startup: numlock.vbs
  O4 - Global Startup: Office Opstarten.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
  O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
  O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
  O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
  O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
  O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
  O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
  O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
  O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
  O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
  O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
  O18 - Protocol: icoo - {86FE362E-74FA-4F71-8B69-B94D28880628} - C:\Program Files\ICOO Loader\addons\icoou.dll
  O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
  O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
  O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
  O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
  O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
  O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
  O23 - Service: Virtual NIC Service (PackethSvc) - America Online, Inc. - C:\WINDOWS\System32\PackethSvc.exe
  O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
 • volgende stap: ADWARE 6.0

  0 objects recognized
  0 processes identified
  0 Registry keys identified
  0 Registry values identified
  0 files identified
  0 folders identified

  0 new objects
 • RegVac trial versie installeren en uitvoeren. TuneUp Utilities 2004 of hoger trail versie installeren en uitvoeren(alleen 1-Click Maintenance). Bij Symantec staan op de website allerlei programma's om bepaalde virussen, trojans, wormen e.d. te verwijderen. Als je weet waarmee je te maken hebt, kun je voor elke trojan zo een programmaatje downloaden om het te verwijderen…. Als de proefperiode verlopen is, is je register al opgeschoond. Bij een volgend probleem is er al lang weer een nieuwere versie van een opschoon programma.
 • De meldingen van een Trojaans Paard blijven komen. Natuurlijk klik ik dan op verwijderen maar steevats komt de melding van Avast erachteraan: het systeem kan het opgegeven bestand niet vinden:
  C:\windows\g10853281.dll
 • Mogelijk ben je die infectie al gedeeltelijk kwijt, ik zie namelijk geen O20 regel meer. Probeer toch dit nog maar een keer:

  Download win32delfkil.exe.
  Plaats het op je bureaublad en dubbelklik op win32delfkil.exe om het te installeren.
  Er wordt een map op je bureaublad geplaatst: win32delfkil.
  sluit alle open vensters en alle bestanden die open staan.
  Open de map win32delfkil en dubbelklik op fix.bat.
  De computer zal herstarten.
  Als de computer opnieuw gestart is zoek je het bestand c:\windelf.txt.
  Post de inhoud van dit bestand.
 • ***********************
  * WIN32DELFKIL LOGFILE *
  ************************


  BEFORE RUNNING WIN32DELFKIL
  ***************************

  File(s) found in Windows directory
  ———————————-

  File(s) found in system32 folder
  ——————————–

  SharedTaskScheduler key
  ———————–

  SteelWerX Registry Console Tool 1.0
  Written by Bobbi Flekman © 2005

  HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler
  {438755C2-A8BA-11D1-B96B-00A0C90312E1} REG_SZ Preloader van browseui
  {8C7461EF-2B13-11d2-BE35-3078302C2030} REG_SZ Cache-daemon voor onderdeelcategorieën

  Notify key
  ———-



  AFTER RUNNING WIN32DELFKIL
  **************************

  File(s) found in Windows directory
  ———————————-

  File(s) found in system32 folder
  ——————————–

  SharedTaskScheduler key
  ———————–

  SteelWerX Registry Console Tool 1.0
  Written by Bobbi Flekman © 2005

  HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler
  {438755C2-A8BA-11D1-B96B-00A0C90312E1} REG_SZ Preloader van browseui
  {8C7461EF-2B13-11d2-BE35-3078302C2030} REG_SZ Cache-daemon voor onderdeelcategorieën

  Notify key
  ———-
 • Volgens het logje is er niets meer aanwezig.

  Start de computer in veilige modus.

  Probeer deze eens te fixen met HijackThis:
  [b:92376796b7]O18 - Protocol: icoo - {86FE362E-74FA-4F71-8B69-B94D28880628} - C:\Program Files\ICOO Loader\addons\icoou.dll[/b:92376796b7]

  En probeer deze map eens te verwijderen:
  C:\Program Files\[b:92376796b7]ICOO Loader[/b:92376796b7]\

  Daarna PC herstarten in normale modus en een nieuwe log van HijackThis plaatsen.

  Groeten smeenk.
 • Ik heb de map ICOO loader verwijderd.
  Met Hijackthis daarna in de veilige modus 018 niet meer gevonden.
  (verkeerde volgorde wellicht…)

  Zou alles nu schoon zijn?
 • Toch nog even in het register gekeken en jawel. Daar stond icoou.dll ook nog. Dus ook daar verwijderd incl. andere verwijzigingen:
  - C:program Files/ICOO loader/addons/icoou.dll
 • plaats de laatst gevraagde hjt log toch nog
 • Mogelijk ziet die O18 er anders uit door eerst de map te verwijderen.
  Zou er nu zo uit kunnen zien:
  [b:2ed7cec72d]O18 - Protocol: no name - {86FE362E-74FA-4F71-8B69-B94D28880628} -(no file)[/b:2ed7cec72d]

  Zijn de problemen nu ook voorbij?

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.