hag-10261

[Jitzuh]

Er staan in mijn winnt map een paar bestanden die ik nog nooit eerder ben tegengekomen. hdl-10520 en hag-10261 met een picto van een schedel en de ander een soort duiveltje.
Hoort dit bestand hier thuis, of is het een virus en kan ik het maar beter verwijderen?

 

[Bennie]

Nee, die bestanden lijken me niet helemaal pluis. Ik ga er gemakshalve vanuit dat je al gescand heb.

Doe ook het volgende: Download HijackThis. Uitleg en link vind je hier: <http://www.tomcoyote.org/hjt/>
Unzip en run het. Klik op Scan > Save log en sla het log op als een .txt bestand.
Kopieer en plak de inhoud in je volgende post.

Groetjes,
Bennie

 

[Jitzuh]

Logfile of HijackThis v1.94.0
Scan saved at 16:09:00, on 15-6-2003
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL=http://searchbar.linksummary.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL=http://www.search-explorer.net/search_page.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://searchbar.linksummary.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://searchbar.linksummary.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=file:///c:/Startpagina.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL=http://searchbar.linksummary.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://www.search-explorer.net/search_page.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINNT\System32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=%SystemRoot%\system32\blank.htm
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINNT\Downloaded Program Files\ycomp5_1_1_0.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\WINNT\Speech\Dragon\web_ie.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRA~1\DAP\dapiebar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINNT\Downloaded Program Files\ycomp5_1_1_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ssisrv32] C:\PROGRA~1\IPROTE~1\iprsrv32.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [ck-start] c:\ck-start
O4 - HKLM\..\Run: [MessengerPlus] "C:\Program Files\Messenger Plus! Extension\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Update Files] C:\Program Files\microsoft hardware\dnetc.exe
O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [Vmm 32] C:\WINNT\system\vmm32.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Download &All by FD - fdiectx2.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download with &FD - fdiectx.htm
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {3717DF55-0396-463D-98B7-647C7DC6898A} - http://tb-static.adpowerzone.com/mtb/toolbar.cab
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://sexlinker.x0.nl/exe/love16nl093.exe
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Program Files\AutoCAD 2002\AcDcToday.ocx
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {8522F9B3-38C5-4AA4-AE40-7401F1BBC851} - http://www.cerials.net/download_serial.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37735.2659490741
O16 - DPF: {A51DEDCD-20F7-11D4-98A5-00C0CA130748} (Tintel Class) - http://www.tintel.nl/download/tcw.cab
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Program Files\AutoCAD 2002\InstBanr.ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Program Files\AutoCAD 2002\InstFred.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF6A0F17-0B1E-11D4-829D-00C04F6843FE} (Microsoft Office Tools on the Web Control) - http://dgl.microsoft.com/downloads/outc.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://195.124.234.138/install/StarInstall.ocx
O16 - DPF: {E87A6788-1D0F-4444-8898-1D25829B6755} (MSN Chat Control 4.0) - http://fdl.msn.com/public/chat/msnchat4.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Companion) - http://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/yiebio5_1_1_0.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Program Files\AutoCAD 2002\AcPreview.ocx
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab

 

[Bennie]

Wederom een leuke verzameling rotzooi

Laat Hijackthis de volgende zaken fixen. Alle vensters van je browser sluiten, inclusief Outlook Express.

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL=http://searchbar.linksummary.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://searchbar.linksummary.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://searchbar.linksummary.com/
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINNT\Downloaded Program Files\ycomp5_1_1_0.dll
O4 - HKLM\..\Run: [ck-start] c:\ck-start
O16 - DPF: {3717DF55-0396-463D-98B7-647C7DC6898A} - http://tb-static.adpowerzone.com/mtb/toolbar.cab
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://sexlinker.x0.nl/exe/love16nl093.exe
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {8522F9B3-38C5-4AA4-AE40-7401F1BBC851} - http://www.cerials.net/download_serial.exe
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://195.124.234.138/install/StarInstall.ocx
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Companion) - http://us.dl1.yimg.com/download.yah...ebio5_1_1_0.cab

Start de PC daarna opnieuw op.

Groetjes,
Bennie

 

[Pieter Arntz]

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL=http://www.search-explorer.net/search_page.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://www.search-explorer.net/search_page.php

VIRUSO4 - HKLM\..\Run: [Windows Update Files] C:\Program Files\microsoft hardware\dnetc.exe

O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab

Voeg de bovenstaande aan het lijstje van Bennie toe en laat je PC online scannen. (bv. www.housecall.nl )

Deze zegt me niets:
O4 - HKLM\..\Run: [ssisrv32] C:\PROGRA~1\IPROTE~1\iprsrv32.exe

Groetjes,

Pieter

 

[saldos]

Jitzuh,

Het kan zijn dat je in virus hebt, maar die 2 bestanden hoeven niet perse een virus te zijn.
Je kunt wat meer informatie over die bestanden krijgen door er met de rechter muisknop op te klikken (dat is dus niet links) en dan naar "eigenschappen" te gaan-en dan tabblad "versie" als je dan op "bedrijfsnaam" klik of "wettige handelsmerken" gaat dan kun je wat meer informatie krijgen over die bestanden.

De reden dat ik niet zeker weet of dit virussen zijn is omdat over het algemeen virussen zich niet zo duidelijk laten zien dat het virussen zijn. Een virusmaker zal er altijd voor zorgen dan zijn virussen ongemerkt verborgen blijven tussen zijn windows bestanden en zal dus nooit een doodskop of een duivel maken als icoontje van zijn virus.

 

[Bennie]

Uche uche.... geef me één goed argument waar bestanden met een duiveltje of schedeltje goed voor zijn. You must be joking.... Of het wel of geen virus\trojan is, lijkt me niet eens meer belangrijk. Weg ermee!!!! Dat kan per definitie niets anders zijn dan (illegale) rotzooi.

Groetjes,
Bennie

 

[Pieter Arntz]

dnetc.exe is al eerder gesignaleerd als virus.
Helaas onbekend welke het is (dus misschien is het ook wel een trojan), maar zoals je wellicht weet gebruikt Micro$oft een andere bestandsnaam voor zijn updater en laten ze de hardware over het algemeen aan anderen over.

Groetjes,

Pieter

 

[saldos]

Geplaatst door Bennie
Uche uche.... geef me één goed argument waar bestanden met een duiveltje of schedeltje goed voor zijn. You must be joking.... Of het wel of geen virus\trojan is, lijkt me niet eens meer belangrijk. Weg ermee!!!! Dat kan per definitie niets anders zijn dan (illegale) rotzooi.

Groetjes,
Bennie

Natuurlijk kan het een virus zijn Bennie.

Maar het kan ook een onderdeel van een spelletje zijn.
Ik heb genoeg spelletjes gezien die een schedel of duivel gebruiken als icoon.

Maar het kan ook een dialer zijn.

Zoals ik al zei: een virus laat (meestal) niet zien dat het een virus is. Het verbergd zichzelf meestal.
Anders was het wel heel erg makkelijk geweest om virussen te verwijderen.

 

[Bennie]

Een spelletje met als icoon een schedel of duivel is misschien nog tot daaraan toe. Maar als het zich nestelt in een windows-systeemmap, is er meer aan de hand, om nog maar te zwijgen van de naam... En als ik zo de Hijacklog bekijk, heb ik nou niet bepaald het idee dat het rechte pad wordt bewandeld

Pieter,
O4 - HKLM\..\Run: [ssisrv32] C:\PROGRA~1\IPROTE~1\iprsrv32.exe

Dit bestand behoort vermoedelijk bij dit programma:
http://yippee.i4free.co.nz/html/win/utilities/title4005.htm

Groetjes,
Bennie

 

[Auk]

Geplaatst door Bennie
Een spelletje met als icoon een schedel of duivel is misschien nog tot daaraan toe. Maar als het zich nestelt in een windows-systeemmap, is er meer aan de hand, om nog maar te zwijgen van de naam... En als ik zo de Hijacklog bekijk, heb ik nou niet bepaald het idee dat het rechte pad wordt bewandeld

Ik kom nog maar zelden logs tegen waar NIET iets mee aan de hand is :-(

Dnetc is geen virus - het is de Distributed Net Client
Hoewel Dnetc.exe op zich onschuldig is, wordt het wel gedropt door - onder andere - de Bymer worm.

Zie :
http://www.distributed.net/
en
http://www.f-secure.com/v-descs/bymer.shtml

Auk

 

[Auk]

Geplaatst door Jitzuh
Logfile of HijackThis v1.94.0

O4 - HKLM\..\Run: [Vmm 32] C:\WINNT\system\vmm32.exe

En da's ook niet goed - duidt op een virus.
Misschien deze : http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.nautic.html, maar er zijn wel meer virussen die namen gebruiken die op die van systeembestanden lijken. Het echte systeembestand heet AFAIK vmm32.VXD en niet vmm32.EXE !

Auk