Waarschuwing MSN-virus? + Verzoek om controle Hijack This Log
 

Zojuist zat ik op msn en kreeg ik een bericht
'picture of you'

gevolgd door een tweede regel met iets in de trant van kijk hier met vervolgens een link, waarin o.a. mijn emailadres voorkwam.

Ik volgde de link en downloadde toen een bestandje. Toen ik hierop klikte verstuurde ik soortgelijke berichten naar mijn msn-contacten die online waren. Ik heb het bestandje gedeleted. Kunnen jullie zien of er verder nog verkeerde processen draaien? Ik heb niet opnieuw opgestart o.i.d.

N.b. AVG en Avast accepteerden het bestand waarop ik klikte allebij toen ik ze het liet scannen.

Logfile of HijackThis v1.98.2
Scan saved at 19:23:16, on 12-4-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
C:\Program Files\McAfee\McAfee VirusScan\Webscanx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\Microsoft Office\Office10\msoffice.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\nl\msnappau.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\KEVIN\kevin.exe
C:\WINDOWS\system32\svchost32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\DOCUME~1\DHR~1.VAN\LOCALS~1\Temp\Tijdelijke map 5 voor hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.nl/0SENLNL/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F3 - REG:win.ini: load=C:\Program Files\KEVIN\kevin.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\nl\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\nl\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [BCWipeTM Startup] "C:\Program Files\Jetico\BCWipe\BCWipeTM.exe" startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Universal USB Service] svchost32.exe
O4 - HKLM\..\RunServices: [Universal USB Service] svchost32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Program Files\WashAndGo\checker.exe /check
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {162C79FA-1A40-417D-85C8-A98CDD1FD9CE} (VOGWeb Class) - http://offload.vogclub.com/activex/VOGWEB27.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/09b6efa0bf9d42f...p/RdxIE601.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab
O16 - DPF: {E9790C6C-DCAA-4E4F-8048-FFEC3B62DFED} (VOGWeb2 Class) - http://engine.vogclub.com/activex/vogweb29.cab
O16 - DPF: {F01B7AD7-3269-42C4-823D-7C1D4780F49D} (GLoad Class) - http://gameloader.spelpunt.nl/gloader.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

N.b. volgens de digitale hijack this analyser zou dat svchost32.exe verkeerd zijn. Het bestand kevin.exe kan ik zelf niet plaatsen en is rond het bewuste tijdstip aangemaakt, en zal er dus vermoedelijk mee te maken hebben.

hoe kan ik deze dingen verwijderen?

Ik probeerde de online virusscanner pandasoft en toen gaf avast aan dat daar een worm in zat, een of andere Win32:Kuang2.

Als ik Avast en AVG mijn PC laat scannen dan vinden ze niet direct iets, terwijl ze die svchost32 dan al voorbij zijn...

svchost32.exe is een systeem bestand, geen hijack shit dus.

zojuist kreeg ik de melding bij het opniew opstarten dat program.exe en kevin.exe wle in het register stonden maar niet konden worden gevonden.

Maar is dat svchost32.exe goed dan?

Ik heb niet echt verstand van het programma maar als ik met process explorer kijk dan staat er niet bij dat het verified microsoft corporation is.

nee, svchost.exe is een systeembestand en svchost32.exe niet.
(Virusprogammeurs proberen meestal bekende namen te gebruiken om zich zo te kunnen "verbergen")

Dat is een vals alarm, lees dit maar eens.

Als je de C:\WINDOWS\system32\svchost32.exe bedoelt, wel ja.

Doe het volgende:

1. Scan met hijackthis en fix het volgende:
   C:\Program Files\KEVIN\kevin.exe
   C:\WINDOWS\system32\svchost32.exe
   F3 - REG:win.ini: load=C:\Program Files\KEVIN\kevin.exe
   O4 - HKLM\..\Run: [Universal USB Service] svchost32.exe
   O4 - HKLM\..\RunServices: [Universal USB Service] svchost32.exe
   O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/09b6efa0bf9d42f...p/RdxIE601.cab
2. Druk op ctrl-alt-del en probeer in je processenlijst kevin en svchost32 te stoppen
3. Ga nu naar "deze computer"-> c-schijf -> mapje program files en verwijder daar kevin (met inhoud)
4. Ga terug naar je c-schijf -> mapje windows -> system32 en verwijder daar svchost32.exe.

Kan je ze niet verwijderen, probeer ze dan in veiligemodus te verwijderen.

Mijn hartelijke dank.

Voordat je reageerde/ik je bericht las had ik reeds met Spywaredoctor gescand en die heeft vermoedelijk al wat verwijderd. Voordat Spywaredoctor aan de slag ging vond ik 1 bestand waarin svchost32.exe voorkwam, en wel in de map c:/windows/prefetch. Het bestand heette SVCHOST32.EXE-0174CFFF.pf en was gemaakt rond de tijd dat ik op dat ding op msn klikte. Dit bestand vond ik ook weer nadat spywaredoctor aan de slag was geweest. Svchost32.exe kwam nu echter niet meer in mijn processenlijst voor.

In een nieuw uitgevoerde hijack this log kon ik de volgende
dingen vinden en heb ik die laten fixen

F3 - REG:win.ini: load=C:\Program Files\KEVIN\kevin.exe
O4 - HKLM\..\Run: [Universal USB Service] svchost32.exe
O4 - HKLM\..\RunServices: [Universal USB Service] svchost32.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://___207.188.7.____150/09b6efa_...__IE601.cab___

(in de link heb ik diverse malen 3 underscores geplaatst om te voorkomen dat er wat gebeurt als iemand er per ongeluk op klikt)

niet meer vinden kon ik
C:\Program Files\KEVIN\kevin.exe
C:\WINDOWS\system32\svchost32.exe

Onder stap 4 heb ik het bestand svchost32.exe in de map windows/system32 niet meer kunnen vinden. Moet ik dat bestand uit c:/windows:/prefetch verwijderen?


N.b. ik weet dat de / verkeerd om staat, dat is een probleem met het toetsenbord, waardoor ik dat teken niet krijgen kan, waarvan ik wel vaker last heb, maar dat hier volgens mij niks mee te maken heeft.

Ik heb ook svchost op me pc- zelfde zooi

Ik heb een pentium4 met windows2000 erop, als ik opstart gaat t eerst heel mooi, ik log in, en krijg een error dat me virusscan is uitgevallen.
Als ik op internet ga en op een link klikken wil dan komt die site maar niet, als ik op msn zit en op email druk laad ie niet, als ik inlog op hotmail redirect ie niet door naar mijn postvak.
Netwerklocaties zijn foetsie. Als ik bij software iets wil verwijderen komt er geen beeld...

Ik heb op spyware gescant, shkdk gescant... maar nix geen fouten

Dat heeft iedereen, flipje.


Ik wacht nog steeds op een hijackthis log,..post dat maar in de topic die je het aanmaakte.
Want het heeft geen zin om te crossposten.