Helpmij tegen spyware offensief (deel 3)

[Pieter Arntz]

Geplaatst door Berjos3


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank

O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\PROGRAM FILES\MYSEARCH\BAR\1.BIN\S4BAR.DLL
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: My &Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\PROGRAM FILES\MYSEARCH\BAR\1.BIN\S4BAR.DLL

O11 - Options group: [TOEGANKELIJKHEID] Toegankelijkheid

Hoi Berjos3,

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op en verwijder:
C:\PROGRAM FILES\MYSEARCH <= de hele map

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door Raisa
Pieter,

Hier de inhoud van het gevraagde bestand:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Dat is hem dus niet.

Svp hetzelfde voor:
regedit /e c:\hkcurun.txt "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

Het bestand dat gemaakt wordt is dan c:\hkcurun.txt

Groetjes,

Pieter

 

[Pieter Arntz]

Re: troep

Geplaatst door kneh


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://omegasearch.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://omegasearch.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = omegasearch.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://omegasearch.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://omegasearch.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://omegasearch.com/searchbar.html

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: (no name) - {03F30970-FE98-0F0C-AB5C-70AEB5CCB270} - C:\PROGRA~1\SENDTR~1\Fork Bike.dll

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL

O3 - Toolbar: that window eq - {DE171211-9236-1802-D413-AFBD20C4240B} - C:\PROGRA~1\SENDTR~1\Fork Bike.dll

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [Sect Film] C:\PROGRA~1\about mode hole\insidecash.exe
O4 - HKLM\..\Run: [winactive] C:\Program Files\Window Active\winactive.exe

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE

O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb029

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx

Hoi kneh,

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op en verwijder:
C:\Program Files\MyWebSearch <= de hele map
C:\Program Files\SENDTR~1 <= de hele map met het bestand Fork Bike.dll erin
C:\Program Files\about mode hole <= de hele map
C:\Program Files\Window Active <= de hele map

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door Allard
He pieter...

heb housecall laten scannen en die zegt dat ik virus vrij ben... heb jij nog suggesties?

Jammer. Vaak kent die ook veel trojans. Dan maar even een echte trojan scanner.

Download de gratis trial van TDS3 hier:
http://tds.diamondcs.com.au/index.php?page=home
Update als hier beschreven:
http://tds.diamondcs.com.au/index.php?page=update
Als je daarmee klaar bent start je TDS3 en klik System Testing > Full sytem scan

Kijk ook op mijn site bijna onderaan voor Regprot:
http://home.planet.nl/~kleyn080/Spywareinfonl.html
Een programma dat je waarschuwt als er iets nieuws probeert op te starten.

Groetjes,

Pieter

 

[Pieter Arntz]

Geplaatst door gerke


O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)

O2 - BHO: (no name) - {60F20EED-00F7-B32F-1F5E-CBF8406C8D2F} - C:\PROGRA~1\CHINFO~1\OBJ INSIDE.dll (file missing)

O3 - Toolbar: Bolt Body 01 - {D70FD167-9B2A-0EB6-3C84-E7F93E737866} - C:\PROGRA~1\CHINFO~1\OBJ INSIDE.dll (file missing)

O4 - HKLM\..\Run: [SpyHunter] C:\Program Files\downloaded programs\spyhunter\SpyHunter.exe
O4 - HKLM\..\Run: [icdlll] C:\WINDOWS\System32\icdlll.exe

Hoi gerke,

Voor je begint wil ik je aanraden om HijackThis naar een aparte map uit te pakken. Het programma maakt backups in de map waar het staat en
zoals jij het nu draait (uit de zipmap) gaat dat niet.

Vink dan de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op.
Wil je C:\WINDOWS\System32\icdlll.exe naar me mailen, zodat ik er even naar kijk. Dat lijkt mij de hoofdverdachte.

=>Klik hier voor het adres<=

Als je SpyHunter gekocht hebt, mag je het van mij houden, maar verwijder het anders svp:
http://home.planet.nl/~kleyn080/Spywareinfonl.html

Groetjes,

Pieter

 

[groen]

dank

:thumb:

Het is gelukt!!!!!
Heel erg bedankt, top !!

Een groet

Groen

 

[Pieter Arntz]

Re: Wordt er gek van!

Geplaatst door Christa Bouwens

Ik kreeg een virusmelding met iets van "Paard van Troje"

Geen toegang bij een poging DCOM Server te starten met DefaultLaunchPermssion. De server is:
{00020906-0000-0000-C000-000000000046}
De gebruiker is Unavailable/Unavailable met SID Unavailable.

Hoi Christa,

Winword probeert een server te starten op je computer en heeft daarvoor niet voldoende rechten.
Dat is vrij vertaald de strekking van je foutmelding.
Gebruikte je Winword op dat moment en kun je die virusmelding iets nauwkeuriger weergeven?

Groetjes,

Pieter

 

[chrispie]

Re: Re: mijn hijacklog

Geplaatst door Pieter Arntz


Hoi chrispie,

Vink de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Download en run http://www.spywareinfo.com/~merijn/files/CWShredder.exe
Gebruik de Fix knop en let goed op de aanwijzingen van het programma.

Start daarna opnieuw op in veilige modus en verwijder:
C:\WINDOWS\system32\llass.exe <= LET GOED OP de spelling. NIET lsass.exe verwijderen.
C:\WINDOWS\reg33.exe
C:\windows\5-1-25-85.exe
C:\windows\5-1-35-16.exe
C:\windows\5-1-25-224.exe

Wil je me het volgende bestandje mailen?
C:\WINDOWS\AddCLS.exe
=>Klik hier voor het adres<=

Groetjes,

Pieter

Pieter,

na het opvolgen van jouw instructies lijkt alles weer pico-bello in orde : bedankt voor de deskundige hulp.

Het versturen van het gevraagde bestand is teruggekomen met volgende melding :
This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

pieter@wilderssecurity.org
This message has been rejected because it has
a potentially executable attachment "AddCLS.exe"
This form of attachment has been used by
recent viruses or other malware.
If you meant to send this file then please
package it up as a zip file and resend it.

+ nog een hoop andere info.
Moet ik deze totale info posten of kan ik hier mijn probleem afsluiten ??

groeten,

Chrispie

 

[Pieter Arntz]

Re: Re: Re: mijn hijacklog

Geplaatst door chrispie


Pieter,

na het opvolgen van jouw instructies lijkt alles weer pico-bello in orde : bedankt voor de deskundige hulp.

Het versturen van het gevraagde bestand is teruggekomen met volgende melding :

Moet ik deze totale info posten of kan ik hier mijn probleem afsluiten ??

Hoi chrispie,

Zou je het bestand gezipt naar me op willen sturen?
Dat kan een hoop mensen dezelfde ellende die jij had besparen.
Laat maar even weten als je niet weet hoe dat moet.

Groetjes,

Pieter

 

[remcos]

hey pieter nog bedankt heb er nu 1 van me andere pc zou je kijken of daar ook wat in zit en k zal je zo het bestand sturen


Logfile of HijackThis v1.97.7
Scan saved at 8:46:03 PM, on 4/18/2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
D:\WINAMP3\WINAMPA.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
D:\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl/
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\PROGRAM FILES\MYWEBSEARCH\BAR\1.BIN\MWSBAR.DLL (file missing)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\PROGRAM FILES\MYWEBSEARCH\SRCHASTT\1.BIN\MWSSRCAS.DLL (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAM FILES\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\PROGRAM FILES\MYWEBSEARCH\BAR\1.BIN\MWSBAR.DLL (file missing)
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\BAR\1.BIN\MWSOEMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] F:\\checker.exe /check
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\BAR\1.BIN\MWSOEMON.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm483
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38046.3216550926
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab

 

[Raisa]

Voila, hier is de volgende Pieter (hkcurun.txt):

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SB Audigy 2 Startup Menu"=" /LUT"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NVMCTRAY.DLL,NvTaskbarInit"
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"

 

[Pieter Arntz]

Geplaatst door remcos

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\PROGRAM FILES\MYWEBSEARCH\BAR\1.BIN\MWSBAR.DLL (file missing)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\PROGRAM FILES\MYWEBSEARCH\SRCHASTT\1.BIN\MWSSRCAS.DLL (file missing)

O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\PROGRAM FILES\MYWEBSEARCH\BAR\1.BIN\MWSBAR.DLL (file missing)

O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\BAR\1.BIN\MWSOEMON.EXE

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\BAR\1.BIN\MWSOEMON.EXE

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm483

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab

Hoi remcos,

Vink dan de bovenstaande aan, sluit alle vensters behalve HijackThis en klik op Fix checked.

Start daarna opnieuw op in veilige modus en verwijder:
C:\PROGRAM FILES\MYWEBSEARCH <= de hele map
en verwijder P2P Networking in Configuratioescherm > Software.

Groetjes,

Pieter

 

[Christa Bouwens]

Hoi Pieter,
Ik kan echt niet duidelijker staan, want dat is alles wat er staat.... ik heb een kopie van het logboek hier bij gedaan.... misschien dat er iets in staat waar je iets aan hebt?

Groetjes!

 

[Christa Bouwens]

Oh en die virusmelding ging zo snel, dat kon ik niet volgen... ik denk wel dat Adaware en McAfee het opgepikt hebben, maar voor de zekerheid had ik toch die log geplaatst.
Groetjes!

ps. winword??? ik gebruik gewoon Word.. of is dat hetzelde? En wat voor server is dat dan, ben toch een zogezegde 'standalone'? begrijp er niets van!

 

[Eagle Creek]

Geplaatst door Christa Bouwens
Oh en die virusmelding ging zo snel, dat kon ik niet volgen... ik denk wel dat Adaware en McAfee het opgepikt hebben, maar voor de zekerheid had ik toch die log geplaatst.
Groetjes!

ps. winword??? ik gebruik gewoon Word.. of is dat hetzelde? En wat voor server is dat dan, ben toch een zogezegde 'standalone'? begrijp er niets van!

winword.exe is de interne naam voor Word ja. Een server is gewoon PC met toegang voor anderen. Dus een standalone kan simpel een server worden.

De rest legt Pieter je wel uit .

 

[Pieter Arntz]

Geplaatst door Christa Bouwens
Oh en die virusmelding ging zo snel, dat kon ik niet volgen... ik denk wel dat Adaware en McAfee het opgepikt hebben, maar voor de zekerheid had ik toch die log geplaatst.
Groetjes!

ps. winword??? ik gebruik gewoon Word.. of is dat hetzelde? En wat voor server is dat dan, ben toch een zogezegde 'standalone'? begrijp er niets van!

Als je Word gebruikte op het moment dat die foutmeldingen optraden, dan is dat niet echt iets om je zorgen over te maken.

De meeste antivirusprogrammas houden een log bij van wat ze gedaan hebben. Kijk daar eens in.

Groetjes,

Pieter

 

[Christa Bouwens]

Okee Thanx weer!
Groetjes!

 

[Allard]

He Pieter..ik heb inmiddels die full system scan gedaan met dat TDS3 programma en hij heeft wel het een en ander gevonden... maar wat moet ik nu doen? Kan dat programmaatje het ook fixen of niet?

hier is de uitslag:

Scan Control Dumped @ 21:55:14 18-04-04
RegVal Trace: RAT.NetCrack: HKEY_LOCAL_MACHINE
File: Software\Microsoft\Windows\CurrentVersion\Run [Systems=C:\WINDOWS\System32\scchost.exe]

File Trace: Default trojan filename: RAT.Retribution
File: c:\autoexec.exe

Positive identification: TrojanDownloader.Win32.Small.ar
File: c:\q.exe

Positive identification <Adv>: Possible WebDownloader
File: c:\wupdate.exe

Suspicious Filename: Dual extensions
File: c:\documents and settings\eigenaar\bureaublad\ut2004_demo_[2004-02-10_03.01].exe

Positive identification: Adware.IeSearchBar Dropper
File: c:\documents and settings\eigenaar\local settings\temp\bar.exe

Positive identification: TrojanDownloader.Win32.Dluca.p
File: c:\documents and settings\eigenaar\local settings\temp\delwbi.tmp

Positive identification (embedded in file): Adware.Blazefind (dll)
File: c:\documents and settings\eigenaar\local settings\temp\installer2.exe

Positive identification <Adv>: Suspicious: Microsoft-tagged exe built with Borland compiler
File: c:\documents and settings\eigenaar\local settings\temp\installer2.exe

Positive identification <Adv>: Possible WebDownloader
File: c:\documents and settings\eigenaar\local settings\temp\msolic.exe

Suspicious Filename: Excessive space characters
File: c:\documents and settings\eigenaar\mijn documenten\mijn muziek\albums\trance marcelwoods lady dana\10 dana - relax .mp3

Suspicious Filename: Dual extensions
File: c:\hp\bin\python-2.2.1.exe

Suspicious Filename: Dual extensions
File: c:\program files\allard\adaware 6.181 with crack\setup\ad-aware.6.pro.built.181.exe

Positive identification: Trojan.Win32.Krepper.i
File: c:\windows\6fww86shwd.exe

Suspicious Filename: Dual extensions
File: c:\windows\bwunin-6.1.0.153.exe

Positive identification (DLL): TrojanSpy.Win32.KeyLogger.bc (dll)
File: c:\windows\msrt32.dll

Positive identification: Trojan.Win32.Dialer.j
File: c:\windows\q20561156.exe

Positive identification: Pornware.Dialer.Pormd
File: c:\windows\q2308953.exe

Positive identification: Trojan.Win32.Dialer.j
File: c:\windows\q8551859.exe

Positive identification: Trojan.Win32.Krepper.i
File: c:\windows\ydigl3n2rp.exe

Positive identification (embedded in file): TrojanSpy.Win32.Agent.h
File: c:\windows\downloaded program files\sysupdcontainer.dll

Positive identification (embedded in file): TrojanSpy.Win32.Agent.h (dll)
File: c:\windows\downloaded program files\sysupdcontainer.dll

Positive identification (embedded in file): TrojanSpy.Win32.Agent.h
File: c:\windows\downloaded program files\conflict.1\sysupdcontainer.dll

Positive identification (embedded in file): TrojanSpy.Win32.Agent.h (dll)
File: c:\windows\downloaded program files\conflict.1\sysupdcontainer.dll

Positive identification: TrojanDropper.Win32.Small.ff
File: c:\windows\system32\lstb4drc.exe

Positive identification: TrojanDropper.Win32.Small.fp
File: c:\windows\system32\p3.exe



thanks

 

[Pieter Arntz]

Geplaatst door Allard

File Trace: Default trojan filename: RAT.Retribution
File: c:\autoexec.exe

Positive identification: TrojanDownloader.Win32.Small.ar
File: c:\q.exe

Positive identification <Adv>: Possible WebDownloader
File: c:\wupdate.exe

Positive identification: Adware.IeSearchBar Dropper
File: c:\documents and settings\eigenaar\local settings\temp\bar.exe

Positive identification: TrojanDownloader.Win32.Dluca.p
File: c:\documents and settings\eigenaar\local settings\temp\delwbi.tmp

Positive identification (embedded in file): Adware.Blazefind (dll)
File: c:\documents and settings\eigenaar\local settings\temp\installer2.exe

Positive identification <Adv>: Suspicious: Microsoft-tagged exe built with Borland compiler
File: c:\documents and settings\eigenaar\local settings\temp\installer2.exe

Positive identification <Adv>: Possible WebDownloader
File: c:\documents and settings\eigenaar\local settings\temp\msolic.exe

Positive identification (DLL): TrojanSpy.Win32.KeyLogger.bc (dll)
File: c:\windows\msrt32.dll

Positive identification: Trojan.Win32.Dialer.j
File: c:\windows\q20561156.exe

Positive identification: Pornware.Dialer.Pormd
File: c:\windows\q2308953.exe

Positive identification: Trojan.Win32.Dialer.j
File: c:\windows\q8551859.exe

Positive identification: Trojan.Win32.Krepper.i
File: c:\windows\ydigl3n2rp.exe

Positive identification (embedded in file): TrojanSpy.Win32.Agent.h
File: c:\windows\downloaded program files\sysupdcontainer.dll

Positive identification (embedded in file): TrojanSpy.Win32.Agent.h (dll)
File: c:\windows\downloaded program files\sysupdcontainer.dll

Positive identification (embedded in file): TrojanSpy.Win32.Agent.h
File: c:\windows\downloaded program files\conflict.1\sysupdcontainer.dll

Positive identification (embedded in file): TrojanSpy.Win32.Agent.h (dll)
File: c:\windows\downloaded program files\conflict.1\sysupdcontainer.dll

Positive identification: TrojanDropper.Win32.Small.ff
File: c:\windows\system32\lstb4drc.exe

Positive identification: TrojanDropper.Win32.Small.fp
File: c:\windows\system32\p3.exe

Hoi Allard,

Als je in het onderste gedeelte van het scherm de bestanden die ik gequote heb rechtsklikt, dan kun je Delete File kiezen.

Let op, want ik heb niet alles gequote dat gevonden was.

Daarna moet je dan nog even een HijackThis log plaatsen.

En gebruik Regprot om niets meer toe te laten.

Groetjes,

Pieter

 

[janky]

Hallo Pieter,

Nadat ik rommel met adaware heb verwijderd krijg ik bij opnieuw opstarten de melding dat Rundll 32.exe niet kan beeindigen.
Vandaar graag even jou advies bij dit Hijacklog, misschien dat jij iets vindt wat te maken heeft met deze melding.
Alvast bedankt.

Logfile of HijackThis v1.97.7
Scan saved at 10:13:49, on 19-4-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\WINDOWS\DitExp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Jan Kuiper\Mijn documenten\Mijn ontvangen bestanden\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.aldi.com/
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Snelkoppeling naar AUPDATE.EXE.lnk = C:\Program Files\Symantec\LiveUpdate\AUPDATE.EXE
O4 - Global Startup: Ulead Photo Express 4.0 SE Calendar Checker .lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/06515a6300000e48c405/netzip/RdxIE601.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37899.1631597222
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab