12-04-2005, 18:29
|
|
|
Zojuist zat ik op msn en kreeg ik een bericht
'picture of you' gevolgd door een tweede regel met iets in de trant van kijk hier met vervolgens een link, waarin o.a. mijn emailadres voorkwam. Ik volgde de link en downloadde toen een bestandje. Toen ik hierop klikte verstuurde ik soortgelijke berichten naar mijn msn-contacten die online waren. Ik heb het bestandje gedeleted. Kunnen jullie zien of er verder nog verkeerde processen draaien? Ik heb niet opnieuw opgestart o.i.d. N.b. AVG en Avast accepteerden het bestand waarop ik klikte allebij toen ik ze het liet scannen. Logfile of HijackThis v1.98.2 Scan saved at 19:23:16, on 12-4-2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe C:\Program Files\McAfee\McAfee VirusScan\Webscanx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\Spyware Doctor\swdoctor.exe C:\Program Files\Microsoft Office\Office10\msoffice.exe C:\Program Files\MSN Apps\Updater\01.02.3000.1001\nl\msnappau.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\KEVIN\kevin.exe C:\WINDOWS\system32\svchost32.exe C:\Program Files\Messenger\msmsgs.exe C:\DOCUME~1\DHR~1.VAN\LOCALS~1\Temp\Tijdelijke map 5 voor hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.nl/0SENLNL/SAOS01 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen F3 - REG:win.ini: load=C:\Program Files\KEVIN\kevin.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\nl\msntb.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\nl\msntb.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [BCWipeTM Startup] "C:\Program Files\Jetico\BCWipe\BCWipeTM.exe" startup O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Universal USB Service] svchost32.exe O4 - HKLM\..\RunServices: [Universal USB Service] svchost32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Program Files\WashAndGo\checker.exe /check O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {162C79FA-1A40-417D-85C8-A98CDD1FD9CE} (VOGWeb Class) - http://offload.vogclub.com/activex/VOGWEB27.CAB O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/09b6efa0bf9d42f...p/RdxIE601.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab O16 - DPF: {E9790C6C-DCAA-4E4F-8048-FFEC3B62DFED} (VOGWeb2 Class) - http://engine.vogclub.com/activex/vogweb29.cab O16 - DPF: {F01B7AD7-3269-42C4-823D-7C1D4780F49D} (GLoad Class) - http://gameloader.spelpunt.nl/gloader.cab O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab 
|
| Advertentie | |
|
|
|
|
12-04-2005, 18:37
|
|
|
|
N.b. volgens de digitale hijack this analyser zou dat svchost32.exe verkeerd zijn. Het bestand kevin.exe kan ik zelf niet plaatsen en is rond het bewuste tijdstip aangemaakt, en zal er dus vermoedelijk mee te maken hebben.
hoe kan ik deze dingen verwijderen? Ik probeerde de online virusscanner pandasoft en toen gaf avast aan dat daar een worm in zat, een of andere Win32:Kuang2. Als ik Avast en AVG mijn PC laat scannen dan vinden ze niet direct iets, terwijl ze die svchost32 dan al voorbij zijn... Laatst gewijzigd op 12-04-2005 om 18:54.
|
|
12-04-2005, 18:55
|
||
|
Citaat:
__________________
The Return
|
|
|
12-04-2005, 19:09
|
|
|
|
zojuist kreeg ik de melding bij het opniew opstarten dat program.exe en kevin.exe wle in het register stonden maar niet konden worden gevonden.
Maar is dat svchost32.exe goed dan? Ik heb niet echt verstand van het programma maar als ik met process explorer kijk dan staat er niet bij dat het verified microsoft corporation is.
|
|
12-04-2005, 19:19
|
||||
|
Citaat:
(Virusprogammeurs proberen meestal bekende namen te gebruiken om zich zo te kunnen "verbergen") Citaat:
Citaat:
Doe het volgende:
__________________
"Typefouten zijn gratis" | "Daar is vast wel een knopje voor" | "Ik weet, want ik zoek" | Powered by Firefox, Chromium, Mac OS X, OpenSuse, and Google.
Laatst gewijzigd op 12-04-2005 om 19:48.
|
|||
|
12-04-2005, 19:58
|
|
|
|
Mijn hartelijke dank.
Voordat je reageerde/ik je bericht las had ik reeds met Spywaredoctor gescand en die heeft vermoedelijk al wat verwijderd. Voordat Spywaredoctor aan de slag ging vond ik 1 bestand waarin svchost32.exe voorkwam, en wel in de map c:/windows/prefetch. Het bestand heette SVCHOST32.EXE-0174CFFF.pf en was gemaakt rond de tijd dat ik op dat ding op msn klikte. Dit bestand vond ik ook weer nadat spywaredoctor aan de slag was geweest. Svchost32.exe kwam nu echter niet meer in mijn processenlijst voor. In een nieuw uitgevoerde hijack this log kon ik de volgende dingen vinden en heb ik die laten fixen F3 - REG:win.ini: load=C:\Program Files\KEVIN\kevin.exe O4 - HKLM\..\Run: [Universal USB Service] svchost32.exe O4 - HKLM\..\RunServices: [Universal USB Service] svchost32.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://___207.188.7.____150/09b6efa_...__IE601.cab___ (in de link heb ik diverse malen 3 underscores geplaatst om te voorkomen dat er wat gebeurt als iemand er per ongeluk op klikt) niet meer vinden kon ik C:\Program Files\KEVIN\kevin.exe C:\WINDOWS\system32\svchost32.exe Onder stap 4 heb ik het bestand svchost32.exe in de map windows/system32 niet meer kunnen vinden. Moet ik dat bestand uit c:/windows:/prefetch verwijderen? N.b. ik weet dat de / verkeerd om staat, dat is een probleem met het toetsenbord, waardoor ik dat teken niet krijgen kan, waarvan ik wel vaker last heb, maar dat hier volgens mij niks mee te maken heeft. Laatst gewijzigd op 12-04-2005 om 20:12.
|
|
01-05-2005, 13:15
|
|
|
Ik heb ook svchost op me pc- zelfde zooi
Ik heb een pentium4 met windows2000 erop, als ik opstart gaat t eerst heel mooi, ik log in, en krijg een error dat me virusscan is uitgevallen. Als ik op internet ga en op een link klikken wil dan komt die site maar niet, als ik op msn zit en op email druk laad ie niet, als ik inlog op hotmail redirect ie niet door naar mijn postvak. Netwerklocaties zijn foetsie. Als ik bij software iets wil verwijderen komt er geen beeld... Ik heb op spyware gescant, shkdk gescant... maar nix geen fouten
__________________
Wat is een leven zonder ananas?--->all bout ananas
|
|
01-05-2005, 13:23
|
|||
|
|
Citaat:
Citaat:
Want het heeft geen zin om te crossposten.
__________________
"Typefouten zijn gratis" | "Daar is vast wel een knopje voor" | "Ik weet, want ik zoek" | Powered by Firefox, Chromium, Mac OS X, OpenSuse, and Google.
|
||
| Advertentie |
|
|
 |
«
Vorige topic
|
Volgende topic
»
|
|
Alle tijden zijn GMT +1. Het is nu 09:06.
Adverteren