Vraag & Antwoord

Beveiliging & privacy

Virus in mail "essa voce precisa ver"

Anoniem
None
41 antwoorden
  • Smeenk,

    Deljob.exe geeft de volgende log:

    ——————————————————–
    No LOP job-files found
    ——————————————————–
    Files in Windows Tasks folder

    Check Updates for Windows Live Toolbar.job
    Norton AntiVirus - Volledige systeemscan - Ton van Doorn.job
    Norton SystemWorks One Button Checkup.job
    ——————————————————–
    Export App Data folders

    Het volume in station C heeft geen naam.
    Het volumenummer is 94AE-E02C

    Map van C:\Documents and Settings\Ton van Doorn\Application Data

    21-12-2007 14:51 <DIR> .
    21-12-2007 14:51 <DIR> ..
    12-12-2006 20:29 <DIR> Ahead
    12-11-2006 09:12 <DIR> CYBERL~1 CyberLink
    27-01-2007 13:32 <DIR> DivX
    04-04-2007 21:00 <DIR> EPSON
    17-11-2006 19:33 <DIR> Help
    23-11-2007 21:35 <DIR> ICACLI~1 ICAClient
    24-10-2006 14:09 <DIR> IDENTI~1 Identities
    21-12-2007 13:55 <DIR> K9
    29-04-2007 14:28 <DIR> MACROM~1 Macromedia
    19-05-2007 18:00 <DIR> MICROS~1 Microsoft
    28-10-2006 20:25 <DIR> MSN6
    08-11-2006 20:51 <DIR> Shareaza
    10-01-2007 21:25 <DIR> Sun
    21-12-2007 10:03 <DIR> Symantec
    26-10-2007 17:50 <DIR> Vso
    0 bestand(en) 0 bytes
    17 map(pen) 4.654.788.608 bytes beschikbaar
    Het volume in station C heeft geen naam.
    Het volumenummer is 94AE-E02C

    Map van C:\Documents and Settings\All Users\Application Data

    21-12-2007 10:24 <DIR> .
    21-12-2007 10:24 <DIR> ..
    12-11-2006 09:10 <DIR> CYBERL~1 CyberLink
    11-12-2007 21:33 <DIR> DVDSHR~1 DVD Shrink
    19-12-2007 21:40 <DIR> Google
    19-12-2007 18:55 <DIR> Grisoft
    21-11-2006 10:24 <DIR> Kodak
    16-12-2006 21:41 <DIR> MICROS~1 Microsoft
    28-10-2006 20:22 <DIR> MSN6
    17-01-2007 13:29 <DIR> NVIDIA
    21-12-2007 10:24 <DIR> pdf995
    03-11-2006 19:49 <DIR> QUICKT~1 QuickTime
    19-12-2007 23:25 <DIR> Symantec
    02-12-2006 16:48 <DIR> UDL
    15-09-2007 20:53 <DIR> vsosdk
    27-01-2007 14:03 <DIR> WINDOW~2 Windows Genuine Advantage
    01-11-2006 11:03 <DIR> WINDOW~1 Windows Live Toolbar
    0 bestand(en) 0 bytes
    17 map(pen) 4.654.788.608 bytes beschikbaar
    Het volume in station C heeft geen naam.
    Het volumenummer is 94AE-E02C

    Map van C:\WINDOWS

    ——————————————————–

    Alvast weer bedankt wat moeten wij zonder jullie "oude rotten"
  • Deze is ook schoon :D

    Download ATF cleaner (mirror)(gemaakt door Atribune)

    [b:58638c8471]Belangrijk:[/b:58638c8471] Sluit al je browservensters(IE en/of Firefox en/of Opera) om de tool goed te kunnen laten werken.

    Dubbelklik op ATF cleaner om het programma te starten.
    Op het tabblad "Main", plaats je een vinkje bij [b:58638c8471]Select All[/b:58638c8471].
    Klik op de knop [b:58638c8471]Empty Selected[/b:58638c8471].

    Het volgende doen als je ook FireFox als browser hebt:
    Klik op tabblad "Firefox", plaats een vinkje bij [b:58638c8471]Select All[/b:58638c8471].
    Wil je de door Firefox opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op "No".
    (dit haalt het vinkje weer weg bij "Firefox saved passwords";)
    Klik op de knop [b:58638c8471]Empty Selected[/b:58638c8471].

    Het volgende doen als je ook Opera als browser hebt:
    Klik op tabblad "Opera", plaats een vinkje bij [b:58638c8471]Select All[/b:58638c8471].
    Wil je de door Opera opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op "No".
    Klik op de knop [b:58638c8471]Empty Selected[/b:58638c8471].
    Ga naar het tabblad "Main" en klik op de knop [b:58638c8471]Exit[/b:58638c8471] om het programma af te sluiten.

    Ga naar Start - Uitvoeren en geef hier het volgende in:
    [b:58638c8471]Combofix /U[/b:58638c8471]
    Druk daarna op OK.
    [b:58638c8471]
  • Heel eerlijk gezegd verbaas ik me elke keer opnieuw dat mensen een mail met zo'n vage titel sowie openen. Wij kregen hem ook een hele poos geleden twee keer. "Hoe toevallig", eentje op mijn eigen adres en eentje op het adres van mijn vrouw, tegelijkertijd. Van een familielid van ons, en vlak nadat er echt e-mail contact was geweest, en hij naar beide adressen een reply had gestuurd. Kon je op je klompen aanvoelen dat dit niet echt van hem afkomstig was.

    Met 99,99% van alle spam is dit het geval, m.a.w. je ziet aan de doorgaans stompzinnige titel wel dat het spam is, en hoe knap een spamfilter ook in elkaar steekt, er glipt regelmatig wel eens een mailtje door. Is er echt twijfel, dan nooit meteen openen maar altijd even via eigenschappen in de bron van het bericht kijken.
  • Ik kreeg er dus vanavond eentje. Van iemand waarmee ik al jaren geen (mail)contact meer mee heb en die (vreemd genoeg!!!) eigenlijk het [u:0f4120276d]mail adres waarop ik het ontving niet kan weten[/u:0f4120276d]…..
    Misschien weet-ie het zelf niet eens. :?
    Toch snap ik die "link" tussen iemand waarmee ik al erg lang niet meer mail en mijn adres dat hij niet zou moeten kennen, niet…..

    De tekst in het onderwerp was in ieder geval genoeg om de in mijn grijze massa ingebouwde scanner op alarmstand te zetten. Dergelijke mailtjes worden ongeopend weggekieperd! Ik ga dus mee met J. de Boer!!
    Mijn echtgenote bleek er vorige week ook een paar gehad te hebben (van een bekend familielid). Die had een besmette PC en wist dat…..! Was al hard bezig om 'm schoon te krijgen. Gelukkig was mijn eega zo slim geweest om de link in dat mailtje niet open te klikken.

    Maar, vreemd genoeg kan ik bij Symantec geen treffers vinden over deze mailing. :roll:
  • Ik heb de indruk dat bij sommige mensen de nieuwsgierigheid toch overwint en dat ze dan toch op het linkje klikken :?
  • Tja, bij mij gaan ook alle alarmbellen luidkeels rinkelen bij zo'n titel. Ik vraag me heel regelmatig af hoe je dit bij een heel breed publiek duidelijk zou kunnen maken. Ik heb eerlijk gezegd geen idee. Misschien moet iedereen het wel een keer zelf ondervinden, dan weet hij of zij het voorgoed en gebeurt het daar tenminste nooit weer. Eén ding weet ik wel, mensen die deze kennis en ervaring wel hebben kunnen in hun kring van familie en bekenden niet vaak genoeg waarschuwen. Het ongedierte dat hier achter zit mikt uiteraard juist op die onervarenheid.

    Ook PC-winkels zouden hierin een taak kunnen hebben als ze merken dat er een niet al te ervaren persoon voor de toonbank staat. Hoeft maar een kort praatje te zijn:
    "U gaat ook e-mail gebruiken? Zo ja, u bent van bepaalde risico's op de hoogte? Etc. etc. Een A4-tje van twee kantjes tips, gratis bij elke PC? In elk geval niet meer, want dan wordt het niet gelezen.
    Hoe dan ook, mensen die dit wel snappen hebben hierin naar mijn idee zeker een taak.
  • Misschien voor de "onwetenden" eens tijd om een blik te werpen op de pagina's van www.digibewust.nl….? :?
    (Of voor de overheid tijd om eens een PB51 spotje te maken hierover…).

    Overigens: de optie "[b:51a5d38a36]Degenen die ik beantwoord automatisch in mijn adresboek opnemen[/b:51a5d38a36]" (in Outlook E.) is wellicht een van de meest stompzinnige welke M$ ooit heeft kunnen bedenken…..
  • Ik vraag me af of je al die hulppprogjes nodig hebt…..:
    De grootste boosdoener schijnt "[b:1cb4567eeb]LTaskup.exe[/b:1cb4567eeb]" te zijn welke vanuit het register wordt gestart (HKLM:\…\run).
    De file zelf zou te vinden zijn in de submap "Media" (onder C:\Windows).
    Daar ligt de basis van de opruiming……

    't Is dus duidelijk een virus. Merkwaardig dat ik er bij Symantec niets over kan vinden in de threatexplorer… :roll:
  • Ha die Pim,

    Ook ik ben er ingetrapt….had niet gedacht dat het me ooit zou gebeuren.
    Toen ik vandaag mijn tweede mail kreeg met als onderwerp essa voce precisa ver, ben ik op zoek gegaan naar de oplossing.


    Ik heb RVAXO en ComboFix al laten lopen.

    Onderstaand de logs.

    Ik hoop dat je mij ook verder kunt helpen.

    Alvast onwijs bedankt!

    Sacha

    —————-RVAXO.exe first run————-

    Files found:


    Uninstallers Rogue scanners:


    Folders Found:


    Hosts-file was reset, If you use a custom hosts file please replace it…

    ————–RVAXO.exe last run—————

    Files found:

    Folders Found:

    ————–RVAXO.exe finished—————-


    ComboFix 07-12-21.4 - van Roon-Lourense 2007-12-25 0:26:19.1 - NTFSx86
    Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1043.18.549 [GMT 1:00]
    Gestart vanuit: C:\Documents and Settings\van Roon-Lourense\Bureaublad\ComboFix.exe
    * Nieuw herstelpunt werd aangemaakt
    .

    (((((((((((((((((((( Bestanden Gemaakt van 2007-11-24 to 2007-12-24 ))))))))))))))))))))))))))))))
    .

    2007-12-25 00:21 . 2007-12-25 00:21 <DIR> d——– C:\RVAXO
    2007-12-25 00:19 . 2007-12-25 00:45 569,387 –a—— C:\WINDOWS\system32\RVAXO.bat
    2007-12-25 00:19 . 2001-10-01 14:51 69,632 –a—— C:\WINDOWS\system32\remove.exe
    2007-12-17 20:51 . 2007-12-17 20:51 244 –ah—– C:\sqmnoopt19.sqm
    2007-12-17 20:51 . 2007-12-17 20:51 244 –ah—– C:\sqmnoopt18.sqm
    2007-12-17 20:51 . 2007-12-17 20:51 244 –ah—– C:\sqmnoopt17.sqm
    2007-12-17 20:51 . 2007-12-17 20:51 244 –ah—– C:\sqmnoopt16.sqm
    2007-12-17 20:51 . 2007-12-17 20:51 244 –ah—– C:\sqmnoopt15.sqm
    2007-12-17 20:51 . 2007-12-17 20:51 232 –ah—– C:\sqmdata19.sqm
    2007-12-17 20:51 . 2007-12-17 20:51 232 –ah—– C:\sqmdata18.sqm
    2007-12-17 20:51 . 2007-12-17 20:51 232 –ah—– C:\sqmdata17.sqm
    2007-12-17 20:51 . 2007-12-17 20:51 232 –ah—– C:\sqmdata16.sqm
    2007-12-17 20:51 . 2007-12-17 20:51 232 –ah—– C:\sqmdata15.sqm
    2007-12-17 20:50 . 2007-12-17 20:50 244 –ah—– C:\sqmnoopt14.sqm
    2007-12-17 20:50 . 2007-12-17 20:50 244 –ah—– C:\sqmnoopt13.sqm
    2007-12-17 20:50 . 2007-12-17 20:50 232 –ah—– C:\sqmdata14.sqm
    2007-12-17 20:50 . 2007-12-17 20:50 232 –ah—– C:\sqmdata13.sqm
    2007-12-17 20:34 . 2007-12-17 20:34 244 –ah—– C:\sqmnoopt12.sqm
    2007-12-17 20:34 . 2007-12-17 20:34 232 –ah—– C:\sqmdata12.sqm
    2007-12-17 19:42 . 2007-12-17 19:42 244 –ah—– C:\sqmnoopt11.sqm
    2007-12-17 19:42 . 2007-12-17 19:42 232 –ah—– C:\sqmdata11.sqm
    2007-12-17 19:41 . 2007-12-17 19:41 244 –ah—– C:\sqmnoopt10.sqm
    2007-12-17 19:41 . 2007-12-17 19:41 244 –ah—– C:\sqmnoopt09.sqm
    2007-12-17 19:41 . 2007-12-17 19:41 232 –ah—– C:\sqmdata10.sqm
    2007-12-17 19:41 . 2007-12-17 19:41 232 –ah—– C:\sqmdata09.sqm
    2007-12-17 18:15 . 2007-12-17 18:15 244 –ah—– C:\sqmnoopt08.sqm
    2007-12-17 18:15 . 2007-12-17 18:15 232 –ah—– C:\sqmdata08.sqm
    2007-12-17 18:14 . 2007-12-17 18:14 244 –ah—– C:\sqmnoopt07.sqm
    2007-12-17 18:14 . 2007-12-17 18:14 244 –ah—– C:\sqmnoopt06.sqm
    2007-12-17 18:14 . 2007-12-17 18:14 232 –ah—– C:\sqmdata07.sqm
    2007-12-17 18:14 . 2007-12-17 18:14 232 –ah—– C:\sqmdata06.sqm
    2007-12-17 18:01 . 2007-12-17 21:46 244 –ah—– C:\sqmnoopt05.sqm
    2007-12-17 18:01 . 2007-12-17 21:14 244 –ah—– C:\sqmnoopt04.sqm
    2007-12-17 18:01 . 2007-12-17 20:53 244 –ah—– C:\sqmnoopt03.sqm
    2007-12-17 18:01 . 2007-12-17 20:52 244 –ah—– C:\sqmnoopt02.sqm
    2007-12-17 18:01 . 2007-12-17 21:46 232 –ah—– C:\sqmdata05.sqm
    2007-12-17 18:01 . 2007-12-17 21:14 232 –ah—– C:\sqmdata04.sqm
    2007-12-17 18:01 . 2007-12-17 20:53 232 –ah—– C:\sqmdata03.sqm
    2007-12-17 18:01 . 2007-12-17 20:52 232 –ah—– C:\sqmdata02.sqm
    2007-12-17 18:00 . 2007-12-17 20:52 244 –ah—– C:\sqmnoopt01.sqm
    2007-12-17 18:00 . 2007-12-17 20:52 232 –ah—– C:\sqmdata01.sqm
    2007-12-10 15:56 . 2007-12-17 20:52 244 –ah—– C:\sqmnoopt00.sqm
    2007-12-10 15:56 . 2007-12-17 20:52 232 –ah—– C:\sqmdata00.sqm
    2007-11-27 13:30 . 2007-11-27 13:30 <DIR> d——– C:\Bdienst

    .
    ((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-12-24 09:00 ——— d—–w C:\Documents and Settings\van Roon-Lourense\Application Data\AVG7
    2007-12-23 08:35 ——— d—–w C:\Documents and Settings\All Users\Application Data\Ahead
    2007-12-14 08:32 ——— d—–w C:\Documents and Settings\van Roon-Lourense\Application Data\VoipStunt
    2007-12-11 23:52 ——— d—–w C:\Documents and Settings\All Users\Application Data\Microsoft Help
    2007-12-09 21:25 ——— d—–w C:\Documents and Settings\van Roon-Lourense\Application Data\Nokia Multimedia Player
    2007-11-16 11:50 ——— d—–w C:\Program Files\Nero
    2007-11-16 11:50 ——— d—–w C:\Program Files\Common Files\Ahead
    2007-11-16 11:50 ——— d—–w C:\Documents and Settings\All Users\Application Data\Nero
    2007-11-14 09:50 ——— d—–w C:\Program Files\Java
    2007-11-13 10:25 20,480 ——w C:\WINDOWS\system32\drivers\secdrv.sys
    2007-11-12 10:38 ——— d—–w C:\Program Files\Belastingdienst
    2007-11-11 00:25 ——— d—–w C:\Program Files\iTunes
    2007-11-11 00:25 ——— d—–w C:\Program Files\iPod
    2007-11-10 23:33 ——— d—–w C:\Program Files\Hugmot
    2007-11-08 09:30 ——— d—–w C:\Program Files\QuickTime
    2007-11-07 11:44 ——— d—–w C:\Program Files\Apple Software Update
    2007-11-03 15:03 ——— d–h–w C:\Program Files\InstallShield Installation Information
    2007-11-03 15:02 ——— d—–w C:\Program Files\PowerQuest
    2007-11-03 09:01 ——— d—–w C:\Program Files\Sim Card Manager
    2007-11-02 13:52 ——— d—–w C:\Program Files\Ryanair Bargains
    2007-10-29 22:45 1,291,776 —-a-w C:\WINDOWS\system32\quartz.dll
    2007-10-24 14:11 ——— d—–w C:\Program Files\SunHillCopper
    2007-10-20 05:01 227,328 —-a-w C:\WINDOWS\system32\wmasf.dll
    2007-03-04 17:50 75,016 —-a-w C:\Documents and Settings\van Roon-Lourense\Application Data\GDIPFONTCACHEV1.DAT
    .

    ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 02:03]
    "H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2005-11-15 20:50]
    "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-07-31 10:45]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-23 09:07]
    "AdobeUpdater"="C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 09:37]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SoundMan"="SOUNDMAN.EXE" [2006-06-21 04:42 C:\WINDOWS\SOUNDMAN.EXE]
    "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 18:42]
    "Logitech Utility"="Logi_MwX.Exe" [2003-12-17 08:50 C:\WINDOWS\LOGI_MWX.EXE]
    "AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-10-26 07:44]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
    "PinnacleDriverCheck"="C:\WINDOWS\system32\\PSDrvCheck.exe" [2004-03-10 23:26]
    "NvCplDaemon"="RUNDLL32.exe" [2004-08-04 02:03 C:\WINDOWS\system32\rundll32.exe]
    "nwiz"="nwiz.exe" [2003-07-28 14:19 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="RUNDLL32.exe" [2004-08-04 02:03 C:\WINDOWS\system32\rundll32.exe]
    "eFax 4.2"="C:\Program Files\eFax Messenger 4.2\J2GDllCmd.exe" [2006-07-14 21:36]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-10-19 20:16]
    "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-11-02 18:36]
    "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 02:14 C:\WINDOWS\system32\bthprops.cpl]
    "zBrowser Launcher"="C:\Program Files\iTouch\iTouch.exe" [2004-03-18 08:33]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 02:03]
    "AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-26 07:44]
    "Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 09:17]

    C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\
    Windows Desktop Search.lnk - C:\Program Files\Windows Desktop Search\WindowsSearch.exe [2007-02-05 15:40:46]

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
    "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programma's^Opstarten^eFax 4.2.lnk]
    path=C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\eFax 4.2.lnk
    backup=C:\WINDOWS\pss\eFax 4.2.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programma's^Opstarten^LightFrameDR.lnk]
    path=C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\LightFrameDR.lnk
    backup=C:\WINDOWS\pss\LightFrameDR.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programma's^Opstarten^Microsoft Office.lnk]
    path=C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\Microsoft Office.lnk
    backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    2007-05-11 02:06 40048 ——— C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
    2007-03-01 09:37 2321600 -r——- C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
    C:\Program Files\BitTorrent\bittorrent.exe –force_start_minimized

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
    C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe /startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
    2007-11-02 18:36 267048 –a—— C:\Program Files\iTunes\iTunesHelper.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
    C:\Program Files\MSN Messenger\MsnMsgr.Exe /background

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    2006-01-12 15:40 155648 –a—— C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCLEPCI]
    2004-02-03 14:13 49152 ——— C:\PROGRA~1\Pinnacle\PPE\PPE.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
    C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
    2007-06-23 09:07 68856 ——— C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VoipBuster]
    C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe -nosplash -minimized

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher]
    2004-03-18 08:33 892928 ——— C:\Program Files\iTouch\iTouch.exe

    R2 Sipura Monitor Service;Sipura Monitor Service;c:\program files\sunhillcopper\sipura monitor service\sipuramonitorservice.exe [2006-01-23 20:46]
    R3 BENDER;Pinnacle AV/DV2 Capture;C:\WINDOWS\system32\drivers\bender.sys [2005-08-22 15:11]
    S3 AEXPAM;Philips SmartManage Service;C:\WINDOWS\system32\Drivers\aexpamdrv.sys [2004-09-01 13:10]
    S3 PAC207;Trust WB-1400T Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-02-24 11:29]

    *Newly Created Service* - CATCHME
    *Newly Created Service* - PROCEXP90
    .
    Inhoud van de 'Gedeelde Taken' map
    "2007-12-22 15:05:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    .
    **************************************************************************

    catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-12-25 00:29:35
    Windows 5.1.2600 Service Pack 2 NTFS

    scannen van verborgen processen …

    scannen van verborgen autostart items …

    scannen van verborgen bestanden …

    Scan succesvol afgerond
    verborgen bestanden: 0

    **************************************************************************
    .
    Voltooingstijd: 2007-12-25 0:30:03
    .
    2007-12-11 23:54:09 — E O F —
  • A) Is er in de tussentijd al iemand van jullie die weet onder [u:70b54f4853]welke naam dit virus[/u:70b54f4853] door de grote jongens als Symantec en anderen de geschiedenis is ingegaan….??

    B) Voor zover ik uit de diverse info omtrent dit kreng kan opmaken zijn de belangrijkste handelingen (evt. onder veilige modus):
    - [b:70b54f4853]Ltask.exe[/b:70b54f4853] uit het register verwijderen (HKLM\…\run\)
    - [b:70b54f4853]Ltask.exe[/b:70b54f4853] uit C:\Windows\Media knikkeren
    - [b:70b54f4853]Lnk_dados_2.dll[/b:70b54f4853] uit C:\Windows verwijderen
    - [b:70b54f4853]Start.bat[/b:70b54f4853] uit de root van "C" halen
    - de files [b:70b54f4853]user.dat[/b:70b54f4853] en [b:70b54f4853]emails.dat[/b:70b54f4853] uit de betrokken gebruikersmappen verwijderen (Documents and Settings bij XP, Users bij Vista)

    Ik lees echter niets over [b:70b54f4853]svchost.exe[/b:70b54f4853]. Wordt dit bestand nou wel of niet overschreven door een besmette versie?
    Ook de file [b:70b54f4853]_000005_.tmp.dll[/b:70b54f4853] welke hier eerder werd genoemd, kom ik verder nergens tegen…. Toeval / incident…?
    En eveneens is onduidelijk of System Restore "aangetast" zou zijn (besmette herstelpunten?)
  • [quote:6be07f7a10="lion"]Misschien voor de "onwetenden" eens tijd om een blik te werpen op de pagina's van www.digibewust.nl….? :?
    (Of voor de overheid tijd om eens een PB51 spotje te maken hierover…).

    Overigens: de optie "[b:6be07f7a10]Degenen die ik beantwoord automatisch in mijn adresboek opnemen[/b:6be07f7a10]" (in Outlook E.) is wellicht een van de meest stompzinnige welke M$ ooit heeft kunnen bedenken…..[/quote:6be07f7a10]Ben ik het wel enigszins mee eens. Nog beter, als je toch die gedachten hebt over het adresboek, gebruik het dan helemaal niet. Wij onthouden onze adressen ook op een andere manier.
  • Nog steeds niemand die kan vertellen hoe dit geval heet? :?

    Het voordeel als de naam van het virus bekend is, is dat het slachtoffer op een van de pagina's van Symantec of andere antivirusjongens kan nagaan wat een bepaald virus evt. schade aan kan richten, evt. een [b:8d4022b138]removal tooltje[/b:8d4022b138] kan downloaden, etc.

    Het voordeel hiervan is dan weer dat een slachtoffer niet diverse hulptooltjes hoeft te downloaden, logfiles hiervan hoeft te publiceren e.d.
    Wat ik de laatste tijd hier tegenkom, los van HJT, mag enige naam hebben! En 't is nog steeds groeiende……:
    Combofix, RVAXO, etc., etc.
    Wellicht niet altijd nodig……., toch……(?)

    Enfin, dit weekend moet ik bij iemand kijken of z'n PC geheel schoon is en er geen restanten van dit virus zijn achterbleven. Ik kan dan gelijk kijken hoe-ie heet (threat history), want z'n Symantec AV'tje heeft 'm keurig opgevangen en in quarantaine gezet.
  • Mocht iemand nog geïnteresseerd zijn…….:

    De naam weet ik nog steeds niet :cry: ; de AutoProtect had "start.bat" bij z'n lurven gepakt en in quarantaine gezet, waarbij in ieder geval werd voorkomen dat het ding zich nog verder kon verspreiden.

    Desalniettemin was er nog een hoop rommel achtergebleven, maar was handmatig te verwijderen.

    Handelswijze:
    - Zet in Verkenner / Explorer de weergaveopties zodanig dat ook hidden- en systemfiles worden weergegeven.
    - Verwijder "start.bat" uit C:\
    - Start Windows Taakbeheer en beëindig het proces "Ltaskup.exe"
    - Verwijder "Ltaskup.exe" uit C:\Windows\Media
    - Verwijder "Lnk_dados_2.dll" uit C:\Windows
    - Verwijder "user.dat" uit C:\Documents and Settings\xxx , waarbij xxx staat voor de in gebruik zijnde profielnaam. (In Vista C:\Users\xxx)
    - Verwijder (via regedit) de subsleutel onder HKLM\Software\Microsoft\Windows\CurrentVersion\Run waarin wordt verwezen naar C:\Windows\Media\Ltaskup.exe

    Ik hoop dat dit overzicht volledig is en alle rommel weergeeft….
  • Ik weet de naam ook nog niet. Heb nu paar dagen vrij en zal dan eens kijken of ik verder wat kan vinden.
    Verder vast iedereen een gezond, vrolijk en virus vrij 2008!
    Jorte
  • [quote:81eb4b3a24="jorte"]Ik weet de naam ook nog niet. Heb nu paar dagen vrij en zal dan eens kijken of ik verder wat kan vinden.
    Verder vast iedereen een gezond, vrolijk en virus vrij 2008!
    Jorte[/quote:81eb4b3a24]

    Ik heb me vanmiddag nog even helemaal suf zitten zoeken bij Symantec, McAffee (dubbele "f"?) en Lavasoft. Uiteraard met de paar bekende gegevens: onderwerp in de mailing, bestandsnamen en de wetenschap dat het een trojan betreft en een "massmailer". Allemaal zonder resultaat!!

    Dat ding schijnt(!) niet van gisteren te zijn (zelfs niet van eergisteren), maar d'r moet toch iets over te vinden zijn???
    In de "Threat History" van Symantec bij een slachtoffer waar ik gisteren was, was alleen "start.bat" te vinden. Geen virusnaam dus!
    En da's dan het leuke van die virusscanners; als 't goed is maken ze 'm onschadelijk, maar alle achtergebleven troep mag je zelf opruimen. :?

    Dus, als iemand iets weet, maak het even bekend s.v.p.!!
  • Hoi,

    Ik heb ook last van het e-mail virus Essa voce precisa ver'. Dit is het logje van RVAXO:
    —————-RVAXO.exe first run————-

    Files found:

    C:\WINDOWS\lnk_dados_2.dll
    C:\Documents and Settings\HP_Administrator\user.dat
    C:\Documents and Settings\HP_Administrator\Emails.dat
    C:\WINDOWS\Media\LTaskup.exe

    Uninstallers Rogue scanners:


    Folders Found:


    Hosts-file was reset, If you use a custom hosts file please replace it…

    ————–RVAXO.exe last run—————

    Files found:

    Folders Found:

    ————–RVAXO.exe finished—————-

    Kan iemand mij verder helpen?
  • Lees even mijn reactie onder "handelswijze" (Geplaatst: za dec 29, 2007 8:19 pm) een paar reacties hoger, daar staat precies vermeld hoe ik dit aan zou pakken (en inmiddels met succes aangepakt heb!).

    N.b.: wellicht wordt "start.bat" door RVAXO over het hoofd gezien….(?).
  • [quote:008bff8836="lion"]
    N.b.: wellicht wordt "start.bat" door RVAXO over het hoofd gezien….(?).[/quote:008bff8836]Waarom denk je dat?

    Hier doet ie het gewoon: http://www.antispywareoffensief.nl/forum/showpost.php?p=304969&postcount=3

    Meestal is die start.bat al door een virusscanner verwijderd ;)
  • Waarom ik dat denk: simpel, die file wordt niet genoemd…… :wink:
    Maar ik gebruikte "bewust" het woord "wellicht", omdat het inderdaad zou kunnen dat-ie door een AV'tje in quarantaine is gezet of verwijderd…..

    Vreemd genoeg heb ik nog steeds niet kunnen achterhalen onder welke naam-ie de virus geschiedenis is ingegaan… :roll:
  • Avast noemt het bestand start.bat zo: [b:73bf688abf]BV:KillFiles-K[Trj][/b:73bf688abf]

    Vreemd genoeg zie ik zelden dat die andere bestanden door virusscanners worden herkend :?

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.