[Software/OS] Worm of Bug?

[Choking Duck]

Bij een kennis zijn er, nadat er op de pc is ge-msnd, allerlei dingen verdwenen.
De hele lijst met koppelingen in het startmenu, (de lijst met meestgebruike programma's, en Internet explorer + Outlook, en de laatste 2 zijn ook niet via de opties van het startmenu terug te zetten.
Ik heb me een ongeluk gevinkt, tien keer toepassen geprobeerd, en ze bleven weg.)
Verder starten de virusscanner(S) niet op als windows dat doet (op de achtergrond ook niet.
Iemand een idee hoe ik 'm, als t al een worm is, op kan sporen?
Of welke het is?

[freyk]

Ik denk zelf aan een worm, omdat hij je virusscanner heeft uitgeschakeld.

Dus post hier ff een log dat je maakt met hijackthis

[Choking Duck]

Goed... leef je uit, alvast bedankt!!!!

Logfile of HijackThis v1.99.1
Scan saved at 11:35:50 AM, on 8/29/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\WINDOWS\TEMP\Rar$EX00.469\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Program Files\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\RunOnce: [NAVMD25] C:\WINDOWS\UpdtNv28.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Pervasive.SQL Workstation Engine.lnk = C:\PVSW\Bin\W3DBSMGR.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

[freyk]

Citaat:

Choking Duck schreef op 29-08-2005 @ 11:58 :
Goed... leef je uit, alvast bedankt!!!!

Er was weinig zooi om me uit te leven :(

Doe het volgende:

1. start hijackthis en fix het volgende:
   O4 - HKLM\..\RunOnce: [NAVMD25] C:\WINDOWS\UpdtNv28.exe
   O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
   O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
   O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
   O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
   O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
   
2. Klik op ctrl-alt-del -> tabblad processen en kijk of daar Updtnv28.exe staat.
   Zo ja, dan beindig je het proces en ga verder met de volgende stap.
   Zo nee, ga dan verder met de volgende stap
   
3. Ga nu naar deze computer -> c-schijf -> mapje windows en verwijder daar het bestandje UpdtNv28.exe.

Ook raad ik je aan om ff te gaan scannen met een paar
Online virusscanners

[Choking Duck]

Bedankt,
maar ik ben toch op formatteren over gegaan.
Alles wat er te veranderen was werd zat vast, ook in veilige modus.
De online scanners werkten niet omdat die (******) worm ActiveX uit had geschakeld, de bestanden die binnen gehaald werden corrupt maakten, of het hele downloaden verhinderde.
En de updates van Intelligentupdate werden ook onbruikbaar gemaakt.
Iemand achteraf nog een idee welke worm dit kan zijn?
Wat ik er in het volgende geval tegen kan doen?


[onzinmode]En bovenal wie de maker is? Want dan stuur ik die eff een dreigbrief met een paardenhoofd oid! [/onzinmode]

[freyk]

Formateren is toch zo'n zonde.

Als je nou eerder poste dat het niet lukte om mijn handleiding te volgen, kon ik je nog een paar oplossingen geven.
(voor die oplossingen, was het niet nodig om maar de veilige modus te gaan)

[Daantje_0705]

Is het niet ook slim om maar een ipv twee virusscanners te draaien en SP 2 te installeren?

[freyk]

Citaat:

Daantje_0705 schreef op 29-08-2005 @ 22:40 :
Is het niet ook slim om maar een ipv twee virusscanners te draaien en SP 2 te installeren?

Is het niet verstandig om het bij één virusscanner te laten?
(welke "persoon" installeert nou twee virusscanners?? )

[Daantje_0705]

Citaat:

freyk schreef op 30-08-2005 @ 08:49 :
Is het niet verstandig om het bij één virusscanner te laten?
(welke "persoon" installeert nou twee virusscanners?? )

Er zijn mensen die denken dat ze dan nog beter beveiligd zijn.

[Choking Duck]

Ik doe het oplappen van pc's min of meer als bijbaantje, en ik krijg er voor mijn idee ook dik voor betaald.
Maargoed, de eigenares van de pc moest er haar administratie op doen, dus hij moest snel weer draaien, en aangezien er een een goeie backup te maken was is dat het punt niet.
Stel dat er meer tijd was geweest, dan had ik ook meer tijd gehad om naar oplossingen te zoeken.
Maar alleen gister en eergister ben ik er iets van 10 uur mee bezig geweest en ik heb toch liever dat ze me vaker vragen om een klusje te doen.
Maar toch bedankt, en de volgende keer zal ik wel zorgen dat er wat meer ruimte is voor een oplossing.
De pc in kwestie had trouwens amper sp1 erop staan dus het was niet zo gek dat norton geen zin had.

[freyk]

Offtopic:

Citaat:

Daantje_0705 schreef op 30-08-2005 @ 11:22 :
Er zijn mensen die denken dat ze dan nog beter beveiligd zijn.

Iedere virusscanner werkt ontgeveer hetzelfde.
Ze controleren met behulp van vaste viruspatronen bestanden, processen, enz.
Als men twee virusscanners gebruikt, is het dus dubbel werk en te vertragen de werking van de computer nogal.

Virussen komen op twee manieren binnen:
De gebruiker haalt ze zelf binnen (softwarematig) of ze komen "hardwarematig" binnen.
Om een "softwarematige besmetting" te kunnen ontwijken, is het verstandig om de nieuwste viruspatronen voor de virusscanner binnenhalen, een firewall installeren en geen vreemde bestanden binnenhalen.
Om een "hardwarematige besmetting" te kunnen ontwijken, is het verstandig om een een router te installeren, regelmatig updates van je stuurprogramma's te downloaden, enz.

Citaat:

Choking Duck schreef op 30-08-2005 @ 13:24 :
Maar alleen gister en eergister ben ik er iets van 10 uur mee bezig geweest.

10 uur?
Dan doe je iets niet goed,..

Citaat:

Choking Duck schreef op 30-08-2005 @ 13:24 :
ik heb toch liever dat ze me vaker vragen om een klusje te doen.

Wat misschien handig is om een remote administrator te installeren. (programma waarmee je een computer vanaf een afstand kan besturen).
Dat scheelt je weer tijd in vervoer en je kan alles thuis doen.

Citaat:

Choking Duck schreef op 30-08-2005 @ 13:24 :
De pc in kwestie had trouwens amper sp1 erop staan dus het was niet zo gek dat norton geen zin had.

Ja, dat las ik in je log.
Naar mijn ervaringen heeft norton (bijna) nergens zin in en vertraagt de boel nogal.
En de meeste virussen zijn geprogrammeert om populaire virusscanners uit te schakelen.
Ik raad je aan om op zoek te gaan naar een betere virusscanner.

[Daantje_0705]

Citaat:

freyk schreef op 30-08-2005 @ 14:06 :
Offtopic:
Iedere virusscanner werkt ontgeveer hetzelfde.
Ze controleren met behulp van vaste viruspatronen bestanden, processen, enz.
Als men twee virusscanners gebruikt, is het dus dubbel werk en te vertragen de werking van de computer nogal.

Virussen komen op twee manieren binnen:
De gebruiker haalt ze zelf binnen (softwarematig) of ze komen "hardwarematig" binnen.
Om een "softwarematige besmetting" te kunnen ontwijken, is het verstandig om de nieuwste viruspatronen voor de virusscanner binnenhalen, een firewall installeren en geen vreemde bestanden binnenhalen.
Om een "hardwarematige besmetting" te kunnen ontwijken, is het verstandig om een een router te installeren, regelmatig updates van je stuurprogramma's te downloaden, enz.


Ja, dat las ik in je log.
Naar mijn ervaringen heeft norton (bijna) nergens zin in en vertraagt de boel nogal.
En de meeste virussen zijn geprogrammeert om populaire virusscanners uit te schakelen.
Ik raad je aan om op zoek te gaan naar een betere virusscanner.

Offtopic: I know, ik heb er ook maar een draaien, als die het naar mijn idee niet goed doet dan scan ik nog wel een keer met Housecall op internet zodat mijn pc iig niet trager wordt van twee virusscanners. Firewall heb ik lopen, virusscanner is up to date en vreemde bestanden scan ik altijd eerst.

Ik zit achter een router en heb alle nieuwe updates lopen.

Is AVG dan naar jouw idee wel een goede virusscanner?

[Choking Duck]

Naar mijn idee is een Remote Admin geen goed idee, aangezien de verbinding hier ontzettend slecht is, en ik geen dingen als bv de boot kan zien, en ook niet in de BIOS kan.
En dat ik iets niet goed doe dat kan ik begrijpen, anders was het ook wel gelukt
Maargoed, daarom vraag ik om een oplossing, voor de volgende keer.
Er is vast wel een manier om om een worm heen te komen die alles gewoon vastzet.
De resolutie van het beeldscherm was bij wijze van spreken nog niet eens te veranderen.
AVG is een goed gratis alternatief naar mijn idee, ook voor de oude beestjes, omdat het niet zoveel bronnen vreet.