Backdoor.Trojan - msd.dll

Status
Niet open voor verdere reacties.
E

EmielB

Gebruiker
Lid geworden
21 jul 2004
Berichten
10
Backdoor.Trojan - msd.dll OPGELOST!

Hoewel ik allerlei scans (Norton, Swinger, Ad-Aware, Spybot etc.) erop heb losgelaten, in het register heb zitten klooien, met de veilig modus heb gewerkt en al die dingen meer, blijft Norton Antivirus een waarschuwing geven voor een Backdoor.Trojan-virus, dat te vinden zou zijn in C:\windows\system32. Daar zit niks. In het register komt steeds de gerelateerde file ÁppInit_DLLs terug, hoe vaak en op welke manier ik hem ook verwijder. Ik kom er niet meer uit, ook niet met behulp van live ondersteuning van Symantec. Hier zitten vast veel slimmere mensen. Wie kan mij helpen? Ik wordt hier :( van...
 
Laatst bewerkt:
Jazeker, ook de optie Systeemherstel is gebruikt. Ik ga nu eerst even met de optie van Jozo aan de slag, daarna laat ik weer van me horen. Alvast bedankt zover!
 
Geplaatst door EmielB
Jazeker, ook de optie Systeemherstel is gebruikt.
Klik om te vergroten...

Ja okay gebruikt!! Maar heb je de optie uitgezet tijdens het verwijderen van het virus??
 
Jazeker, Raymond, dat heb ik gedaan. Op alle mogelijke manieren, zowel in de gewone als in de veilige modus. Op dit moment wordt mijn computer gescand door Trend Micro. In de tussentijd lees ik de aanbevolen threads!
 
Welnu, het scannen met HouseCall leverde een juichend bericht op dat ik virusvrij. Maar... AdAware was wel gealarmeerd. Omdat ik HiJackThis niet aan de praat kreeg (hij mist een of andere dll, en geen idee hoe ik daar aan kom), doe ik het maar met de log van AdAware. Hier is het enige stukje met info daaruit dat mij van belang lijkt:

Started deep registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank

Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Rootkey : HKEY_CURRENT_USER
Object : Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"


Deep registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 1
Objects found so far: 1

Hopelijk kunnen jullie hier iets mee...
 
Questions related to HijackThis

Q. Why am I getting an 'Unexpected error' about a missing DLL when running HijackThis?

You need the Visual Basic Runtime Libraries to be able to run HijackThis. Most recent Windows have these installed by default, but if you don't have them, they're available from
Microsoft.com. .

BRON
 
Makkelijk toch: voor elk probleem een oplossing bij de hand. Ik heb daar bewondering voor. Hier is de logfile:

Logfile of HijackThis v1.98.0
Scan saved at 15:39:24, on 21-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\Program Files\Eicon\Diva\DiTask.exe
C:\Program Files\Eicon\Diva\Divamon.exe
C:\Program Files\Eicon\Diva\watch.exe
C:\Program Files\Eicon\Diva\cgserver.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Common Files\Logitech\QCDriver\LVCOMS.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Winamp3\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Eicon\Diva\diinfo.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe
C:\Documents and Settings\Emiel Bootsma\Mijn documenten\Mijn ontvangen bestanden\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {01EC6196-B0EE-47CC-877F-FD7639939033} - C:\WINDOWS\System32\cnnchoa.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [DiTask.exe] "C:\Program Files\Eicon\Diva\DiTask.exe"
O4 - HKLM\..\Run: [Divamon.exe] "C:\Program Files\Eicon\Diva\Divamon.exe"
O4 - HKLM\..\Run: [Eicon TechnologyLAN_DAEMON] "C:\Program Files\Eicon\Diva\watch.exe"
O4 - HKLM\..\Run: [CGServer] "C:\Program Files\Eicon\Diva\cgserver.exe"
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Common Files\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Spyware Begone] C:\Program Files\Spyware Begone\freescan.exe -FastScan
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\googletoolbar.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\googletoolbar.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\googletoolbar.dll/cmcache.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\googletoolbar.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\googletoolbar.dll/cmtrans.html
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\LingoCom\Translator.lnk
O9 - Extra 'Tools' menuitem: Translator - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\LingoCom\Translator.lnk
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/TerraExplorer/Install/TEInstallPlugIn.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://www.p3.postbank.nl/GTO/PBGNX.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2511E94C-B0F9-4D7E-AB5D-1D1D5D5648ED}: NameServer = 195.121.1.34 195.121.1.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{2511E94C-B0F9-4D7E-AB5D-1D1D5D5648ED}: NameServer = 195.121.1.34 195.121.1.66
O18 - Protocol: cdefs - {B5F329B4-2BBD-48F5-ADAF-9EAF2AFE37B3} - C:\Program Files\Easy Computing\3D Modeltreinen\monki.dll
O18 - Filter: text/html - {9804EB01-BA99-471D-8CBE-D31D96EE16B1} - C:\WINDOWS\System32\cnnchoa.dll
O18 - Filter: text/plain - {9804EB01-BA99-471D-8CBE-D31D96EE16B1} - C:\WINDOWS\System32\cnnchoa.dll
O20 - AppInit_DLLs: C:\WINDOWS\System32\msd.dll
 
Ik heb de log geplaatst waar hij blijkbaar heen moest. Na lezing van wat threads heb ik begrepen dat mijn pc blijkbaar iets bijzonders mankeert. De oplossingen snap ik nog niet zo - misschien ook wel omdat er het nodige door elkaar heen staat. Dit alles zorgt eigenlijk voor twee vragen: 1. moet ik me zorgen dat mijn pc op korte termijn crasht (ik ben journalist/tekstschrijver van beroep en dat zou een ramp zijn met alle deadlines in het vooruitzicht); 2. laat het zich zodanig oplossen dat zelfs ik als digibeet begrijp hoe ik fouten voorkom?
Overigens ben ik nu al onder de indruk van jullie kennis!
 
Uit de tekst van Computing.Net waarop werd gewezen, heb ik dit stukje gekopieerd:

"The way to remove the registry key is not obvious. If you just delete it from regedit, since the trojan DLL is loaded, it will re-add it right back. (Try it. Delete the AppInit_DLLs registry key and hit F5. Notice that it's added right back by the trojan). So what you have to do is the following which worked for me.

1. Rename the HLM\Software\Microsoft\Windows NT\CurrentVersion\Windows folder to Windows2.
2. Now delete the AppInit_DLLs key under the Windows2 folder.
3. Hit F5 and notice that AppInit_DLLs doesn't come back.
4. Rename the Windows2 folder back to Windows.

Now that AppInit_DLLs is gone, run the latest Adaware 6 to remove the trojan for good. Reboot your machine. Check the registry and make sure AppInit_DLLs is still gone. Your computer should be free of this for good now."

Dit kan ik volgen.Heb ik het dan goed begrepen? En moet ik dit doen terwijl systeemherstel is uitgeschakeld? Of in de veilige modus?
 
Geplaatst door EmielB
Ik heb de log geplaatst waar hij blijkbaar heen moest. Na lezing van wat threads heb ik begrepen dat mijn pc blijkbaar iets bijzonders mankeert. De oplossingen snap ik nog niet zo - misschien ook wel omdat er het nodige door elkaar heen staat. Dit alles zorgt eigenlijk voor twee vragen: 1. moet ik me zorgen dat mijn pc op korte termijn crasht (ik ben journalist/tekstschrijver van beroep en dat zou een ramp zijn met alle deadlines in het vooruitzicht); 2. laat het zich zodanig oplossen dat zelfs ik als digibeet begrijp hoe ik fouten voorkom?
Overigens ben ik nu al onder de indruk van jullie kennis!
Klik om te vergroten...


Om met het goede nieuws te beginnen: ik heb dit twee maal eerder gezien en beide keren is het volledig opgelost, al had dit de nodige voeten in aarde.

Ik denk niet dat je bang hoeft te zijn dat je pc volledig zal crashen, hoewel ik erbij moet zeggen dat niet echt bekend is wat deze CWS-infectie nu eigenlijk voor gevolgen heeft. Maar CWS-infecties kennende, zullen de symptomen vooral tijdens het internetten merkbaar zijn: vertragingen, ongewenste start- en zoekpagina's en redirects, reclame pop-ups, etcetera.

Ik ga eens voor je kijken of deze variant al op de echt gespecialiseerde fora is langsgekomen en of er misschien inmiddels een enigszins eenvoudige oplossing is.
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan