Vraag & Antwoord
Twee hardnekkige Trojan Downloaders
16 antwoorden
- Hallo mensen,
Ik heb de pc van mn schoonzoon in onderhoud.
Nou draai ik elke week een aantal scans voor viruscontrole en spywarecontrole.
Wat mij de laatste weken opvalt is dat er bij de spywarecontrole (ik gebruik Super Anti Spyware) steeds een tweetal Trojan Downloaders terugkeren. Even zo hardnekkig verwijder ik ze wel, maar even zo hardnekkig komen ze ook weer terug. Kan dat liggen aan bepaalde websites die hij bezoekt, of dat die Trojan Downloaders gewoon niet te verwijderen zijn ofzo??
Hij heeft een lichtere versie van XP (zwaarder kan vanwege het CPU vermogen en geheugen niet) en hij gebruikt FireFox.
Mijn vraag is: hoe kan ik die Trojan Downloaders permanent verwijderen??
Verder voor de rest loopt zijn pc naar vermogen redelijk snel.
Alvast bedankt voor het meedenken.
Groetenissen,
Margreet. - draait er wel een goede virusscanner mee, en is die uptodate??
doe eens een volledige scan met malwarebytes. - Hallo Derk,
Hij heeft NOD32 op zn pc als virusscanner, alleen de realtimescan is uit.
NOD update wel regelmatig, op zn minst een keer per dag soms meer, automatisch.
Ik zal Malwarebytes es laten draaien op zijn pc maar ik kom daar niet eerder weer als komende dinsdag.
Maar toch bedankt voor het meedenken. Ik hou je op de hoogte
Groetenissen,
Margreet - Bedenk dat het mogelijk geen kwestie is van virusbescherming, maar van spy-malwarebescherming.
Voor dat laatste helpt een malwarebites, maar toch is het daarna aangeraden van een Hijack-logje te laten maken en te laten ontleden (zie betreffende sectie)
Is die computer trouwens wel goed beschermd tegen spyware? (welke bescherming heeft hij in huis?)
Nod32 heeft ook bescherming tegen spyware - staat die wel actief ingesteld? - http://www.idealsoftware.nl/MBAM/ Eerst updaten en daarna een log posten.
http://free.antivirus.com/hijackthis/ Ook een log posten. Een expert kan je dan wellicht verder helpen. - Tja Passer, of zijn NOD ingesteld is op spywarebescherming weet ik zo niet.
Daar ga ik ff naar kijken.
En Dragon, ik ga zowiezo ff Malwarebytes, MBAM en HijackThis downloaden en laten draaien. De logs plaats ik hier wel ff.
(ben trouwens erg benieuwd wat ze vinden)
Heb um wel gevraagd welke sites hij bezoekt maar dat is er niet zo gek veel.
Niet nieuwe, steeds dezelfde sites die hij altijd al bezocht. Kan zijn dat de pc daardoor al een hele tijd zo traag was….alleen dat wordt steeds erger natuurlijk. En hij heeft van onderhoud niet echt veel kaas gegeten, maar heeft de pc wel elke dag nodig.
Anyway, ik hou jullie op de hoogte en ga morgen die programmaas ff laten draaien.
Bedankt voor het meedenken.
Groetenissen,
Margreet. - Oh ja, voordat ik het vergeet:kwa spywarebescherming heeft hij Super Anti Spyware (free edition) er op staan.
Maar ook daarvan staat de realtimescan uit omdat die de pc zo vertraagt.
Handmatig scan ik dan dus regelmatig zijn pc. - super antispyware is wel goed dacht ik ('k gebruikte het zelf nog niet) - maar zonder realtime-bescherming vis je natuurlijk steeds achter het net. Niet dat dat normaal zò erg is, hangt er allemaal af van welke sites je bezoekt en welke dingen je downloadt.
En goede surplus is (de freeware) Spywareblaster - het is geen anti-spy in de klassieke zin van het woord: het scant niet, maar het plaatst een aantal registersleutels die (veel) gekende spyware belet zich op je systeem te nestelen. 'k Raad het jou / je schoonzoon aan. - Hallo mensen,
Ik heb ff n tweetal scans gedraaid op de pc van mn schoonzoon.
Dit is wat MBAM vond:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Databaseversie: 4201
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
15-6-2010 23:12:35
mbam-log-2010-06-15 (23-12-35).txt
Scantype: Volledige scan (C:\|)
Objecten gescand: 174957
Verstreken tijd: 1 uur/uren, 17 minuut/minuten, 41 seconde(n)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 1
Registerdata geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 0
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registersleutels geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registerwaarden geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.
Registerdata geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Mappen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Bestanden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
_________________________________________________________________
En dit is wat HijackThis vond:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:14:52, on 15-6-2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21256)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\CrossLoop\CrossLoopService.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\VistaDrive\VistaDrive.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\CyberLink\PCM4Everio\EverioService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\oodtray.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Nokia\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\Nokia\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Documents and Settings\Administrator\Bureaublad\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [VistaDrive] C:\WINDOWS\VistaDrive\VistaDrive.exe
O4 - HKLM\..\Run: [NOD32view] C:\Program Files\NOD32view\NOD32view.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [EverioService] "C:\Program Files\CyberLink\PCM4Everio\EverioService.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [RemoteControl8] "C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NokiaMServer] C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles
O4 - HKLM\..\Run: [Nokia FastStart] "C:\Program Files\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-20\..\Run: [VisualTaskTips] C:\Program Files\Utilities\VisualTaskTips\VisualTaskTips.exe (User 'Netwerkservice')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Startup: OpenOffice.org 2.4 .lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: MS-KB - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: MS-KB - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: HP Slim selecteren - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: CrossLoop Service (CrossLoopService) - CrossLoop Inc - C:\Documents and Settings\Administrator\Local Settings\Application Data\CrossLoop\CrossLoopService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TwonkyMedia - PacketVideo - C:\Program Files\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe
O23 - Service: uvnc_service - UltraVNC - C:\Documents and Settings\Administrator\Local Settings\Application Data\CrossLoop\winvnc.exe
–
End of file - 9581 bytes
____________________________________________________
Tja die realtime bescherming….
Ik scan elke week de pc van mn schoonzoon met Super Anti Spyware en NOD.
Ik durf alleen niet die realscan aan te zetten omdat ik bang ben dat dat de pc nog meer vertraagt. Het is al niet zo'n snelle….
Kijk, en een Spywareblaster die via het register spyware blokkeert en niet meer dan dat doet lijkt me wel goed.
Ben erg benieuwd wat jullie vinden in de logjes.
Morgenmiddag moet ik er ook weer heen, dus dan log ik daar wel in.
Groetenissen,
Margreet. - Hallo Margreet, datgene wat het MBAM-log toont: forceclassiccontrolpanel - heb jij de mogelijkheid om de keuzemogelijkheid in het Configuratiescherm uitgeschakeld.
Zoniet dan is hett een malwareinstelling!
En welke trojans (naam en lokatie) worden telkens weer gevonden? - Uh..waar vind ik die keuzemogelijkheid? Ik heb in de doftwarelaijst gekeken maar daar staat hij niet tussen.
De spywarescanner is momenteel aan het scannen (full scan).Tijdens de scan heeft hij dus die twee trojan downloaders al gevonden.
Als hij klaar is ga ik ff een screenshot plaatsen van zijn bevindingen.
Verder is het n dik 30 stuks adware wat hij vindt.
Groetenissen,
Margreet. - Uh, een screenshot was niet mogelijk omdat ik het venster niet maximaal kon zetten dus schrijf ik het maar hier.
Beide trojan downloaders blijken in een patch te zitten:
C:\ (zijn naam dus)\documents and settings\all users\menu start\programma's\elaboratebytes\clone dvd2\clone dvd2 v 2.8.5.1 crack\patch.exe
De tweede zegt eigelijk precies hetzelfde:
C:\(zijn naam)documents and settings\all users\menu start\programma's\elaboratebytes\clone dvd2\patch.exe
Als ik nou die patches verwijder, ben ik dan ook die hardnekkige trojan downloaders kwijt?
Of als er nog meer gebeuren moet, zie ik dat graag.
Verder had hij 34 adware tracking cookies in z'n C:\documents and settings\\administrator\Cookie…uh…map
Uh, ik hoop dat ik het op deze manier een beetje duidelijk heb neergezet.
Groetenissen,
Margreet. - Hallo Margreet, even voor alle duidelijkheid.
Het gebruik van illegale software, geactiveerd door cracks en keygens houdt in, dat de betreffende Windows nooit gevrijwaard zal blijven van besmettingen!
Al jaren worden deze vrijschakelprogramma's voor het illegaal gebruiken van betaalde software grotenddels door internetcriminelen gemaakt.
Want voor wat hoort wat: jij wil niet betalen voor je software, dan wil ik je computer ook kunnen gebruiken - heb je een leuke bankrekening - nog mooier - dan ga ik die proberen te plunderen!
Of je PC wordt een Zombie en laat ik je spam versturen of doe ik er andere criminele aktiviteiten mee!
http://marcvn.blogspot.com/2008/07/niets-voor-niets.html - Met andere woorden, verwijder de illegale software in zijn geheel!
Dat is ook de enige oplossing die we hier nog bieden, aangezien er bij illegale software geen hulp wordt geboden.
Als na het verwijderen nog steeds een probleem is dan kan je het hier melden dan kijken we er verder naar. - verwijder de cracks en je hebt geen last meer van de meldings
alleen heb je kans dat die software[clonedvd]niet meer werkt.
als de pc zo traag is , kijk dan ook eens wat hij zoal opstart met windows
start/uitvoeren/msconfig/opstarten
vink alles uit behalve nod32
even opnieuw opstarten
en run ccleaner eens:
http://www.filehippo.com/download_ccleaner
voor het opruimen van overtollige troep
stop niet te veel spyware scanners in je pc
dat kan ook heel vertragend werken
alleen nod32 en Windows Defender moet ruim voldoende zijn
om de pc te beschermen. - [quote:b21c5c6d3f="vedion"]verwijder de cracks en je hebt geen last meer van de meldings
alleen heb je kans dat die software[clonedvd]niet meer werkt.
als de pc zo traag is , kijk dan ook eens wat hij zoal opstart met windows
start/uitvoeren/msconfig/opstarten
vink alles uit behalve nod32
even opnieuw opstarten
en run ccleaner eens:
http://www.filehippo.com/download_ccleaner
voor het opruimen van overtollige troep
stop niet te veel spyware scanners in je pc
dat kan ook heel vertragend werken
alleen nod32 en Windows Defender moet ruim voldoende zijn
om de pc te beschermen.[/quote:b21c5c6d3f]
Hmmm, schrijver heeft niet helemaal begrepen dat CloneDVD dus ook illegaal wordt gebruikt!
En je kan je afvragen of EsetNod32 wel legitiem is!
Beantwoord deze vraag
Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.
Gerelateerde vragen
- URL zonder extensie wil niet helemaal lukken
- https verbinding met ssl in owncloud
- afspelen met audacity werkt niet goed
- Computer!Totaal-forum maakt plaats voor v&a-module
- computer start soms niet op
- Pro show gold 4 overgangen tussen tekstdia's
- wie kan mij meer vertellen over een Gigabyte GA-B85M-HD3
- Windows Tijdelijke bestanden