Wat zijn dat voor bestandjes?

AAXE.TMP en NSSCM.DLL

Ze blijven maar in mijn temp map staan en ik kan er niets over vinden.



Logfile of HijackThis v1.99.0
Scan saved at 12:39:31, on 26-1-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

kennelijk kijk je regelmatig in je tempfiles….
waarom die hijacklog erbij staat is me een raadsel.
wat ik zou doen:
-opstarten in veilige modus
- irriterende bestandjes meteen killen of eventueel eerst hernoemen om er zeker van te zijn dat ze echt nergens toe dienen.

Ik ben eruit en het was niet vreemd dat ik een hijackthislog plaatste.
Het bleek om een zeer agressieve executer te zijn en volledig onbekend. Toevallig ontdekt bij Winrar die melde dat een bestand mogelijk corrupt was.



[size=9:4d1506f50c]Zelfs in veilige modus kon ik de files en de hooker niet verwijderen. Aangezien ik NTFSdosPRO heb, heb ik via DOS deze bestanden kunnen verwijderen samen met de hooker. Daarna weer naar veilige modus en uit het registry elke naam verwnat aan de hooker verwijderd.

Niets meer gezien sindsdien. Temps zijn leeg en hooker is pleite :D
Bad streams corruption op NTFS is weer opgelost.

De hooker bleek gebruik te maken van NTFSstreams en zogenaamde badstreams die het zelf creëerde volgens mijn neef die ik uiteraart even heb opgehaald. Het gaat over "[b:4d1506f50c]Dead_k_h@@k.eXe en Game_me.txt[/b:4d1506f50c]". Op internet niets over te vinden :o [/size:4d1506f50c]

Ik verdenk een gametrainer voor NFSU als leverancier. Die is uiteraart ook verwijderd!

Mischien tijd voor een andere browser :roll:

Heeft niets met de browser te makewn toevallig.

Niet meer waargenomen sindsdien. Ik controleer mijn pc regelmatig met Hijackthis en daarbij bepaal ik zelf wel wat wel en niet mag draaien :)
NFTSPRO ligt keurig gereed voor noodgevallen. Mijn PC krijgen ze niet hendig kapot. Bij een hobbie hoort onderhoud.