Vraag & Antwoord

Beveiliging & privacy

mailtjes met onderwerp: Essa vai dEixar o Seu Dia MelhO

Anoniem
None
38 antwoorden
  • Hoi Marc,
    aangenaam kennis te maken. Als Pim onverhoopt morgenvroeg nog kijkt: prettige vakantie!

    C:\WINDOWS\Media\7u560.exe does not exist!

    Het bestand wordt dus niet gevonden door het programma.
  • Start de computer op in veilige modus.
    Hoe je dit doet kan je hier lezen.
    Fix deze regel met hijackthis:
    O4 - HKLM\..\Run: [7u560] C:\WINDOWS\Media\7u560.exe

    Herstart de computer in normale windows modus en maak een nieuwe hijacthislog. Post het logje.
  • Dat is gedaan. Het heeft even geduurd omdat gisteren ineens mijn beeld helemaal vervormd was. Ik had het beeldscherm uitgezet en de computer aan laten staan. Toen ik later het beeldscherm aanzette was het beeld helemaal vervormd en anders ingesteld. Ook raar. Enfin, dat fixen we later wel weer. Eerst dit. De logfile:

    Logfile of HijackThis v1.99.1
    Scan saved at 16:45:33, on 7-8-2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16473)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\WINDOWS\vsnpstd.exe
    C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
    C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\acrobat_sl.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\pctspk.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Software\hijackthis_199\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
    O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
    O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
    O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
    O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
    O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
    O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/74914090/activex/IPSUploader4.cab
    O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/74914090/activex/IPSUploader.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
  • Download combofix.exe: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Plaats het op je bureaublad.
    Dubbelklik er op om het programma te starten.
    In het scherm dat verschijnt tik je een 1 in om het cleaning- en analysesproces te laten uitvoeren.
    Volg de instructies op het scherm.
    Als het tooltje klaar is, opent er een logfile (combofix.txt).
    Post de inhoud van de logfile.
  • In een posting hierboven vroeg ik mij af of er nog meer van die mailtjes rondwaren. Nou, reken maar. Het adresboek van mijn schoonzus is gekaapt en daardoor hebben heel wat mensen die Braziliaanse mail met trojaan gekregen. Vandaag kreeg ik, mijn man en mijn zwager de mail voor de tweede keer. Dit keer via een andere zwager, die hem weer van zijn zus had gekregen. Ben je lekker mee !!!
  • De eerste keer kreeg ik een melding dat ik alle programma's moet sluiten. Daarom heb ik Combofix een tweede keer gedraaid. Toen kreeg ik geen keuze in het begin maar begon meteen het scannen. De logfile:
    ComboFix 07-08-07.6 - "Zopfi" 2007-08-08 9:11:23.6 - NTFSx86
    Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1043.18.249 [GMT 2:00]


    ((((((((((((((((((((((((( Files Created from 2007-07-08 to 2007-08-08 )))))))))))))))))))))))))))))))


    2007-08-07 13:21 98,304 -ra—— C:\WINDOWS\system32\nvrsel.dll
    2007-08-07 13:21 94,208 -ra—— C:\WINDOWS\system32\nvrspt.dll
    2007-08-07 13:21 90,112 -ra—— C:\WINDOWS\system32\nvrstr.dll
    2007-08-07 13:21 90,112 -ra—— C:\WINDOWS\system32\nvrssl.dll
    2007-08-07 13:21 90,112 -ra—— C:\WINDOWS\system32\nvrssk.dll
    2007-08-07 13:21 90,112 -ra—— C:\WINDOWS\system32\nvrspl.dll
    2007-08-07 13:21 90,112 -ra—— C:\WINDOWS\system32\nvrshu.dll
    2007-08-07 13:21 86,016 -ra—— C:\WINDOWS\system32\nvrsja.dll
    2007-08-07 13:21 81,920 -ra—— C:\WINDOWS\system32\nvrsko.dll
    2007-08-07 13:21 81,920 -ra—— C:\WINDOWS\system32\nvrshe.dll
    2007-08-07 13:21 73,728 -ra—— C:\WINDOWS\system32\nvrszht.dll
    2007-08-07 13:21 61,440 -ra—— C:\WINDOWS\system32\nvrszhc.dll
    2007-08-07 13:21 114,688 -ra—— C:\WINDOWS\system32\nvrsptb.dll
    2007-08-07 13:21 114,688 -ra—— C:\WINDOWS\system32\nvrsnl.dll
    2007-08-07 13:21 114,688 -ra—— C:\WINDOWS\system32\nvrsit.dll
    2007-08-07 13:21 114,688 -ra—— C:\WINDOWS\system32\nvrsfr.dll
    2007-08-07 13:21 114,688 -ra—— C:\WINDOWS\system32\nvrses.dll
    2007-08-07 13:21 110,592 -ra—— C:\WINDOWS\system32\nvrsru.dll
    2007-08-07 13:21 110,592 -ra—— C:\WINDOWS\system32\nvrsde.dll
    2007-08-07 13:21 106,496 -ra—— C:\WINDOWS\system32\nvrssv.dll
    2007-08-07 13:21 106,496 -ra—— C:\WINDOWS\system32\nvrsno.dll
    2007-08-07 13:21 106,496 -ra—— C:\WINDOWS\system32\nvrsfi.dll
    2007-08-07 13:21 106,496 -ra—— C:\WINDOWS\system32\nvrseng.dll
    2007-08-07 13:21 106,496 -ra—— C:\WINDOWS\system32\nvrsda.dll
    2007-08-07 13:21 106,496 -ra—— C:\WINDOWS\system32\nvrscs.dll
    2007-08-07 13:21 102,400 -ra—— C:\WINDOWS\system32\nvrsar.dll
    2007-08-07 13:20 94,208 -ra—— C:\WINDOWS\system32\nvdmcpl.dll
    2007-08-07 13:20 86,016 -ra—— C:\WINDOWS\system32\nvinstnt.dll
    2007-08-07 13:20 57,344 -ra—— C:\WINDOWS\system32\nvsvc32.exe
    2007-08-07 13:20 2,711,552 -ra—— C:\WINDOWS\system32\nvoglnt.dll
    2007-08-07 13:20 110,592 -ra—— C:\WINDOWS\system32\nvqtwk.dll
    2007-08-07 13:20 102,400 -ra—— C:\WINDOWS\system32\nvdesk32.dll
    2007-08-07 13:20 1,024,000 -ra—— C:\WINDOWS\system32\nvcpl.dll
    2007-08-06 11:56 4,534,272 –a—— C:\DOCUME~1\Zopfi\ntuser.dat
    2007-08-05 23:26 90,112 –a—— C:\WINDOWS\system32\regdacl.exe
    2007-08-05 23:26 4,096 –a—— C:\WINDOWS\system32\reboot.exe
    2007-08-05 23:26 <DIR> d——– C:\WINDOWS\system32\regdacl
    2007-08-05 17:28 <DIR> d——– C:\!KillBox
    2007-08-03 15:02 51,200 –a—— C:\WINDOWS\nircmd.exe
    2007-08-03 12:05 76,560 –a—— C:\WINDOWS\system32\drivers\tmcomm.sys
    2007-08-03 11:22 <DIR> d——– C:\DOCUME~1\Zopfi\.housecall6.6
    2007-08-02 11:06 <DIR> d——– C:\Program Files\Windows Live Safety Center
    2007-08-01 15:54 <DIR> d——– C:\DOCUME~1\Zopfi\APPLIC~1\Lavasoft
    2007-08-01 15:49 626,688 –a—— C:\WINDOWS\system32\msvcr80.dll
    2007-08-01 15:48 164 –a—— C:\install.dat
    2007-08-01 15:48 <DIR> d——– C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
    2007-08-01 15:38 <DIR> d——– C:\WINDOWS\system32\GroupPolicy
    2007-08-01 15:38 <DIR> d——– C:\Program Files\Hitman Pro
    2007-07-31 17:28 5 –a—— C:\WINDOWS\lnk_dados_1.dll


    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-06-20 17:26 ——— d——– C:\DOCUME~1\Zopfi\APPLIC~1\Google
    2007-06-20 17:25 ——— d——– C:\Program Files\Google
    2007-05-29 21:30 376 –a—— C:\WINDOWS\mozregistry.dat
    2007-05-16 17:19 86528 –a–c— C:\WINDOWS\system32\dllcache\directdb.dll
    2007-05-16 17:19 85504 –a–c— C:\WINDOWS\system32\dllcache\wabimp.dll
    2007-05-16 17:19 683520 –a–c— C:\WINDOWS\system32\dllcache\inetcomm.dll
    2007-05-16 17:19 683520 –a—— C:\WINDOWS\system32\inetcomm.dll
    2007-05-16 17:19 510976 –a–c— C:\WINDOWS\system32\dllcache\wab32.dll
    2007-05-16 17:19 1314816 –a–c— C:\WINDOWS\system32\dllcache\msoe.dll
    2007-05-08 11:01 3583488 –a–c— C:\WINDOWS\system32\dllcache\mshtml.dll
    2007-03-20 21:24 128 –a—— C:\Program Files\14370217.PAS
    2007-03-20 21:23 116 –a—— C:\Program Files\14109197.PAS
    2004-02-16 18:15 9270 –a—— C:\WINDOWS\inf\p106std.reg
    2004-02-12 11:29 9376 –a—— C:\WINDOWS\inf\h71rstd.reg
    2004-02-12 11:28 9372 –a—— C:\WINDOWS\inf\m036std.reg
    2004-02-09 16:59 9271 –a—— C:\WINDOWS\inf\t513std.reg
    2004-02-09 16:57 9271 –a—— C:\WINDOWS\inf\t511std.reg
    2004-02-09 16:55 9270 –a—— C:\WINDOWS\inf\p202std.reg
    2004-02-09 16:42 9270 –a—— C:\WINDOWS\inf\m034std.reg
    2004-02-09 16:38 9273 –a—— C:\WINDOWS\inf\h713std.reg
    2004-02-09 16:34 9271 –a—— C:\WINDOWS\inf\cvf1std.reg


    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SoundMan"="SOUNDMAN.EXE" [2005-09-22 10:42 C:\WINDOWS\soundman.exe]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
    "AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [2007-04-21 09:11]
    "snpstd"="C:\WINDOWS\vsnpstd.exe" [2003-12-31 17:39]
    "Acrobat Assistant 7.0"="C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2006-01-12 21:52]
    "HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-11-19 17:47]
    "NvCplDaemon"="NvQTwk" []

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2006-01-24 20:28]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24]

    C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\
    Adobe Acrobat Speed Launcher.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe [2006-10-21 16:22:25]
    Adobe Gamma.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 19:16:50]
    Adobe Reader Snelle start.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26]

    R2 Pctspk;PCTEL Speaker Phone;C:\WINDOWS\system32\pctspk.exe
    R3 Ptserlp;PCTEL Serial Device Driver for PCI;C:\WINDOWS\system32\DRIVERS\ptserlp.sys
    R3 usbprint;Microsoft USB PRINTER Class;C:\WINDOWS\system32\DRIVERS\usbprint.sys
    S3 GMSIPCI;GMSIPCI;\??\F:\INSTALL\GMSIPCI.SYS
    S3 MTD80X;Myson MTD80X Based 100/10 PCI Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\MTD80X.SYS


    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-08-08 09:12:00
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes …

    scanning hidden registry entries …

    scanning hidden files …

    scan completed successfully
    hidden files: 0

    **************************************************************************

    Completion time: 2007-08-08 9:13:00

    — E O F —


    Hijackthis ook maar even gedraaid. Logfile:
    Logfile of HijackThis v1.99.1
    Scan saved at 9:14:13, on 8-8-2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16473)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\WINDOWS\vsnpstd.exe
    C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
    C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\pctspk.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Software\hijackthis_199\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
    O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
    O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
    O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
    O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
    O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
    O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/74914090/activex/IPSUploader4.cab
    O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/74914090/activex/IPSUploader.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
  • Is die banker fix niet een oplossing?

    http://linhadefensiva.uol.com.br/forum/index.php?showtopic=29145
  • Logje ziet er goed uit Twan.
    Zijn er nog problemen?
  • Ik heb eigenlijk nooit merkbaar problemen gehad (dan behalve die e-mails die verstuurd werden). In ieder geval hoor ik niet terug dat er nog e-mails verstuurd worden uit mijn naam. Voor zover ik weet was dat al na jullie allereerst hulp het geval! Jullie hebben dus goed werk geleverd. Dank daarvoor.

    Kun jij me nu uitleggen wat er aan de hand geweest is. Als mijn logs er eerst niet goed uitzagen en nu wel moet er iets veranderd zijn. Een andere kennis vertelde me namelijk dat waarschijnlijk mijn sdresboek was gekopieerd en dat ik daar dus geen invloed meer op had. Ik begrijp nu dat dat niet waar is???
  • IK weet niet wat voor onheil deze email kan veroorzaken, maar ik weet wel hoe je er van af komt.
    Ga in start-uitvoeren met het commando REGEDIT naar het register.
    Geeft in Zoeken de term 7u560.exe op en verwijder alle door REGEDIT gevonden lokaties. Bij mij was dat maar 1 aantekening.
    Ga weer terug naar het bureaublad en druk op CTRL-ALT-DELETE.
    Je bent nu in taakbeheer. In het tabblad Processen zoek je naar 7u560.exe en beeindig dit proces. Is 7u560.exe hierin niet aanwezig, dan was je waarschijnlijk nog niet geinfecteerd.
    Start de computer opnieuw op en verwijder in c:\windows\media het bestand 7u560.exe en je bent weer het mannetje!
    Met vr . gr A van der Hooft

    [quote:bcf01f9adc="ml3"]Via mijn zus en zwager krijg ik ongeveer elke minuut een mailtje dat zichzelf verspreid naar iedereen in hun adresboek. Gelukkig heb ik het niet geopend, dus ik hoop daardoor dat het mij niet gebeurd.
    Moet ik mij ongerust maken of is het iets onschuldigs?

    de bron van het bericht is als volgt (waar mijn achternaam en die van mijn zus stond heb ik dit met .. vervangen):

    Return-Path: <nobody@ns.khaitec.com>
    X-Original-To: ..@zeelandnet.nl
    Delivered-To: ..@zeelandnet.nl
    Received: from mail.zeelandnet.nl (smtp3 [10.255.255.230])
    by mailscan.zeelandnet.nl (Postfix) with ESMTP id 479D7209C81
    for <..@zeelandnet.nl>; Mon, 30 Jul 2007 16:57:07 +0200 (CEST)
    X-policyd-weight: using cached result; rate: -7.33
    Received: from ns.khaitec.com (unknown [211.216.53.217])
    by mail.zeelandnet.nl (Postfix) with ESMTP id CC9461580EE
    for <..@zeelandnet.nl>; Mon, 30 Jul 2007 16:57:02 +0200 (CEST)
    Received: (from nobody@localhost)
    by ns.khaitec.com (8.12.11.20060308/8.11.6) id l6UEsGKp028885;
    Mon, 30 Jul 2007 23:54:17 +0900
    Date: Mon, 30 Jul 2007 23:54:17 +0900
    Message-Id: <200707301454.l6UEsGKp028885@ns.khaitec.com>
    To: ..@zeelandnet.nl
    Subject: Essa vai dEixar o Seu Dia MelhOr
    MIME-Version: 1.0
    Content-Type: text/html; charset=ISO-8859-1
    Content-Transfer-Encoding: 7bit
    Content-Disposition: inline
    From: "Jetty van .." <..@hetnet.nl>
    X-ZeelandNet-Scan-Information: Zie http://www.zeelandnet.nl/spamfilter/ voor meer informatie
    X-ZeelandNet-Scan-From: nobody@ns.khaitec.com



    <html>
    <head>
    <title></title>
    <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
    <style type="text/css">
    <!–

    .HT {padding-top:5px}
    .TH {border:0px;cell-spacing:0px;margin:0px;width:100%}
    .lAx9HXlcNZaX3v1 {
    color: #1943ED;
    font-family: Arial, Helvetica, sans-serif;
    font-size: 11px;
    font-weight: bold;
    }
    –>
    </style>
    </head>
    <body>
    <table id="lAx9HXlcNZaX3v1_2" width="486" border="0" align="center" cellpadding="0" cellspacing="0" style="font-family: Verdana, Geneva, Arial, Helvetica, sans-serif; font-size: 9px;">
    <!– lAx9HXlcNZaX3v1_2 –>
    <tr>
    <td colspan="4">
    <!– lAx9HXlcNZaX3v1_2 –>
    <table id="lAx9HXlcNZaX3v1_3" width="482" border="1" cellspacing="0" cellpadding="0" bordercolor="#CFCFCF" style="font-family: Verdana, Geneva, Arial, Helvetica, sans-serif; font-size: 9px;">
    <tr><!– lAx9HXlcNZaX3v1 –>
    <td><table border="0" cellspacing="0" cellpadding="0" width="481" style="color: #A5A5A5; font-family: Verdana, Geneva, Arial, Helvetica, sans-serif; font-size: 9px;">
    <tr>

    </tr>
    </table>
    </td>
    </tr>
    </table>
    </td>
    </tr>
    <tr>
    <td valign="top" bgcolor="#E8E8E8"><!– lAx9HXlcNZaX3v1_4 –>
    <img src="http://www.violta.no/animatx/070.gif" width="485" height="80" border="0">
    <table id="lAx9HXlcNZaX3v1_6" width="100%" border="0" cellspacing="0" cellpadding="0">
    <tr>
    <td>
    </td>
    <td>
    <br>
    <p style="font-family: Verdana, Geneva, Arial, Helvetica, sans-serif; font-size: 11px;
    color: #000000"><!– lAx9HXlcNZaX3v1_5 –>
    <span id="lAx9HXlcNZaX3v1_7">O<!– lAx9HXlcNZaX3v1_4 –>lá <b>..@zeelandnet.nl
    </b>,</span>
    <br>
    <br>
    S<!– lAx9HXlcNZaX3v1_4 –>eu Ami<!– lAx9HXlcNZaX3v1_4 –>go (a<!– lAx9HXlcNZaX3v1_4 –>;) <b>Jettyvan..</b> - (
    <u>
    <font style="font-family: Verdana, Geneva, Arial, Helvetica, sans-serif; font-size: 9px; color: #000000">
    jettyvan..@hetnet.nl
    </font>
    </u>;)
    <br>
    Envi<!– lAx9HXlcNZaX3v1_4 –>ou uma WebCh<!– lAx9HXlcNZaX3v1_4 –>arges do
    <b>UOL</b><font style="font-family: Verdana, Geneva, Arial, Helvetica, sans-serif; color: #1943ED">Charges</font></b>
    no dia <b><u>30/07/2007!</u></b>.
    <br>
    <br>
    <font face=Verdana>Pa<!– lAx9HXlcNZaX3v1_4 –></font>ra a <font face=Verdana>vis<!– lAx9HXlcNZaX3v1_4 –>ual</font>ização da Ani<!– lAx9HXlcNZaX3v1_4 –>mação Util<!– lAx9HXlcNZaX3v1_4 –>ize:
    <br>
    <!– _lAx9HXlcNZaX3v1_2 –>
    <a href="http://www.violta.no/animatx/abre_charges.php?lAx9HXlcNZaX3v1=..@zeelandnet.nl
    Y_act=lAx9HXlcNZaX3v1">
    <div>
    <p align="left">
    <span id="lAx9HXlcNZaX3v1_8" class="lAx9HXlcNZaX3v1">
    [:: Vi<!– lAx9HXlcNZaX3v1_4 –>suali<!– lAx9HXlcNZaX3v1_4 –>zar UOL Cha<!– lAx9HXlcNZaX3v1 –>rge de ..@zeelandnet.nl
    - lAx9HXlcNZaX3v1::]
    </span>
    </p>
    </a>
    </div>
    <!– _lAx9HXlcNZaX3v1_6 –>
    <br>
    <font style="font-family: Verdana, Geneva, Arial, Helvetica, sans-serif; font-size: 12px; color: #000000">
    <b>Cas<!– lAx9HXlcNZaX3v1_6 –>o o lin<!– lAx9HXlcNZaX3v1_4 –>k não resp<!– lAx9HXlcNZaX3v1 –>onda, Te<!– lAx9HXlcNZaX3v1_8 –>nte:</b>
    </p>
    <br>
    <p>
    <a href="http://www.violta.no/animatx/abre_charges.php?lAx9HXlcNZaX3v1=..@zeelandnet.nl
    Y_act=lAx9HXlcNZaX3v1">
    <div>
    <p align="left">
    <span id="lAx9HXlcNZaX3v1_9" class="lAx9HXlcNZaX3v1">
    [:: Vi<!– lAx9HXlcNZaX3v1_9 –>suali<!– lAx9HXlcNZaX3v1_9 –>zar UOL Charge de ..@zeelandnet.nl
    - lAx9HXlcNZaX3v1_9::]
    </span>
    </p>
    </a>
    </div>
    <br>
    </p>
    </td>
    </tr>
    </table>
    </tr>
    </table>
    <br>
    <br>
    <br>
    </body>
    </html>[/quote:bcf01f9adc]
  • Juist. Ik heb het even gechecked. De heren hebben mij dus prima geholpen want nergens zit dat bestand of die naam nog.
  • [quote:c1fdeca8b1="Twan Zopfi"]… Een andere kennis vertelde me namelijk dat waarschijnlijk mijn adresboek was gekopieerd en dat ik daar dus geen invloed meer op had. Ik begrijp nu dat dat niet waar is???[/quote:c1fdeca8b1]

    dat is wèl waar hoor. ik krijg nog steeds mailtjes van mijn broer, die zijn pc niet eens AAN heeft staan! en hij heeft dat verrekte bestand al een paar dagen geleden verwijderd! iets of iemand stuurt dus gewoon nog steeds mailtjes rond naar de adressen uit zijn OE-bestand!
  • BTW, heeft iemand van ComputerTotaal gekeken bij http://linhadefensiva.uol.com.br/forum/index.php?showtopic=29145 ? Daar staat in het Engels hoe je die banker trojan weg kunt krijgen. In het Portugese gedeelte wordt specifiek 7u560.exe genoemd. Ik ken deze site niet. Weet ComputerTotaal of dit betrouwbare informatie is?
  • Oké. Ik hoor er nu niets meer van. Bij mij is het WEL ook gebeurd dat er e-mailtjes werden verstuurd terwijl mijn computer niet eens aan stond. Ik vermoed dan dus dat mijn adressenbestand niet interessant genoeg is geweest :).

    Ik ben in ieder geval blij dat ik er vanaf ben.
  • Hallo iedereen..!

    Ik heb even een scriptje geschreven wat het virus verwijderd…
    Ga naar deze website http://www.filefactory.com/file/6d6060/ en download het zip bestand. Pak dit uit, en run het script.

    Daarna, volg de aanwijzingen in het script.

    Gr. Binky11
  • Nou, dit muisje heeft toch een staartje. Lees de on-line Volkskrant van vandaag 15 augustus er maar op na. [b:7a0baf2007]Rekeningen ABN-AMRO geplunderd door computer-virus[/b:7a0baf2007]. De banker trojan heeft dus toegeslagen!
  • [quote:c36354942b="binky11"]Hallo iedereen..!

    Ik heb even een scriptje geschreven wat het virus verwijderd…
    Ga naar deze website http://www.filefactory.com/file/6d6060/ en download het zip bestand. Pak dit uit, en run het script.

    Daarna, volg de aanwijzingen in het script.

    Gr. Binky11[/quote:c36354942b]

    Binky, ik heb dit nu gedaan maar ik kreeg geen merkbare verandering te zien. Is dit de normale werking van je script, is het nu opgelost ?

    Cis
  • Post anders een Hijackthis log wanneer je het niet zeker weet.

    Maak dan wel even een eigen topic aan om de overzicht te kunnen behouden. :)

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.