hier klopt iets niet.......

Status
Niet open voor verdere reacties.
B

Babette

Gebruiker
Lid geworden
14 mrt 2001
Berichten
220
hallo mededenkers

als ik bij de Rabo in wil loggen krijg ik opeens de mededeling: u gebruikt momenteel IE 4.0 ???? terwijl ik de nieuwste versie gebruik....
Opeens is de computer traag...... en krijg ik bij Adaware steeds :registry keys identified:
Dialer RegKey Malware
Iedere keer als ik opstart en Adaware draai floept die melding er als eerste in.....
Ik heb via Housecall de pc na laten kijken maar geen virus.....Wat kan het dan zijn?
Help?
Groetjes van
Babette
 
Verwijder je wel de gevonden zaken in Ad-Aware, dus als hij de scan resultaten laat zien, even aanvinken en dan verder gaan.

Doe daarna even met Hijachthis een scan en plaats de log even hier.
Hier downloaden
http://www.tomcoyote.org/hjt/
 
ja, die verwijder ik iedere keer!

Logfile of HijackThis v1.96.0
Scan saved at 0:0:08:36, on 11-8-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Norton Personal Firewall\ccPxySvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\system32\pctspk.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Program Files\Philips ToUcam Camera\VProperty.exe
C:\windows\system32\win32info.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Local Settings\Temp\Tijdelijke map 1 voor hijackthis[1].zip\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst.cab
O16 - DPF: {47F591A2-8783-11D2-8343-00A0C945A819} (RFXPlayer Class) - http://www.greetingcenter.com/download/twophase.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37564.5049768519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5820AD3-9B20-423E-B2AA-7AF2B4055746} (CRegistryDownload Class) - http://download.paltalk.com/webregtest/RegDload.CAB
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
 
Laatst bewerkt:
Schoon mijns inziens.

Heb je de zaken al kunnen verwijderen met Ad-Aware?

Geeft hij de resultaten gewoon weer na een scan? En staan die gewoon aangevinkt? Maar toch gaan ze niet weg..... hmmm.....

Probeer het eens met SpyBot, installeren, bij de knop Online even de update doen een scannen, alles verwijderen wat hij vindt.
http://security.kolla.de/index.php?lang=en&page=download
 
Dit bestand C:\windows\system32\win32info.exe lijkt me een Trojan. Ik zie dat het niet in de run staat, maar ik zou het maar in de prullenbak gooien.

Groetjes,
Bennie
 
nog iets vreemds: als ik de windows update uit wil voeren krijg ik deze melding:Bedankt voor uw belangstelling voor Windows Update

Windows Update is de on line uitbreiding van Windows die nog meer mogelijkheden binnen handbereik brengt.

U kunt Windows Update alleen gebruiken als u een Microsoft Windows-besturingssysteem gebruikt.
?????
ook de IE versie wordt niet herkend.
Kan het zijn dat die Trojan deze schade al aangericht heeft?
Hoe verwijder ik die? En is daarmee het probleem opgelost? Waarom herkende Housecall het niet?

Het zou een ramp zijn als ik nu opnieuw moet formatteren......AUB help me welke wegen er te bewandelen zijn om dit op te lossen,.....
De pc wordt ook steeds trager.......
Ik wacht met smart op een antwoord
Groetjes van
Babette
 
Laatst bewerkt:
vink het vakje aan voor C:\windows\system32\win32info.exe en klik op "fix it" in hijack this.
 
Hier is de windows update troubleshooter om je probleem met windows update op te lossen.
http://v4.windowsupdate.microsoft.com/troubleshoot/

Het zou eventueel ook door de trojan/virus kunnen komen.
En housecall herkent je trojan/virus niet, omdat de trojan misschien nog niet bekend is bij housecall (als het inderdaad een trojan/virus is).
 
Geplaatst door saldos
vink het vakje aan voor C:\windows\system32\win32info.exe en klik op "fix it" in hijack this.
Klik om te vergroten...

Hijackthis laat geen vakje zien. Het zal handmatig moeten.

Groetjes,
Bennie
 
Ok Babette,

het zal dan handmatig moeten gebeuren.
Start op in de veilige modus en zoek via je zoekfunctie in windows win32info.exe of je gaat via de windows verkenner naar C:\windows\system32 en daar zul je hem vinden. verwijder hem en leeg je prullenbak.
Ga daarna naar start-uitvoeren-regedit-ok:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

En kijk aan de rechterkant.

En verwijder win32info.exe ook van daar.

Start op in normale modus. Probleem opgelost.
 
Hij staat niet in de "run". Zie mijn eerdere bericht.:)

Groetjes,
Bennie
 
er staan 2 meldingen in system 32:
win32info en win32info uninstall Moet ik ze beide verwijderen?

maar nog een probleem
de melding tussen de Microsoft site die jullie me gaven geeft aan dat dit probleem van mij komt doordat ik een te lage IE versie heb.......terwijl ik de nieuwste heb?????Ik kan het dus niet "hetstellen" naar een hogere versie omdat ik er niet in kom........
Bovendien wordt de pc met de minuut trager.....
Zou het al te laat zijn? En kan ik na verwijdering nog meer problemen verwachten?
 
Laatst bewerkt:
Die melding kan ook komen door een Firewall. Zet die UIT als je Windows-update bezoekt. Je hebt al de "hoogste" versie (6.0) van IE.

Groetjes,
Bennie
 
ik kan het via de windows verkenner niet verwijderen......krijg steeds de melding: toegang is geweigerd....
daarna heb ik via regedit per ongeluk de HELE map run verwijderd en die is nu leeg......
Wat heeft dit tot gevolg?
Na die onbezonnen aktie staat win32info.exe nog steeds in Win32......
en nu?
groetjes van Babette
 
Wat moest je in het register doen?:8-0: Heb je een eerder herstelpunt dat je terug kan zetten? Zo ja, doe dat (via Start\Help en Ondersteuning). In welke modus heb je geprobeerd om het bestand te verwijderen? Gewone modus of veilige modus? Probeer het eerst onder veilige modus.

Groetjes,
Bennie
 
Wa niet echt een goed idee om de gehele Run map in je register te verwijderen Babette, want nu kan geen enkel programma met windows meer opstarten.
 
Geplaatst door saldos
Wa niet echt een goed idee om de gehele Run map in je register te verwijderen Babette, want nu kan geen enkel programma met windows meer opstarten.
Klik om te vergroten...

Het was ook bepaald geen goed idee om iemand het register in te sturen. Volstrekt ONNODIG....

Groetjes,
Bennie
 
Geplaatst door Bennie
Het was ook bepaald geen goed idee om iemand het register in te sturen. Volstrekt ONNODIG....
Groetjes,
Bennie
Klik om te vergroten...

Als je een trojan hebt, dan is het register toch echt de plaats om te kijken.
 
Saldos, je leest WEER SLECHT, of je weet NIET hoe je een Hijackthislog moet lezen\interpreteren. Ik zeg nog in mijn eerste bericht: "Ik zie dat het niet in de run staat (...)". Ik herhaal mijn antwoord daarna nog eens: "Hij staat niet in de "run". Zie mijn eerdere bericht".

Sorry, maar als een Trojan z'n werk wil doen, zal die toch eerst opgestart (actief) moeten worden. Waar zie jij dat die Trojan wordt opgestart?

Groetjes,
Bennie
 
Eggzactly! :rolleyes:

Als ie in de Run key staat, vind je hem dus in een Hijack This log terug.

Met een Hijack This log tot je beschikking is er dan ook geen énkele reden om iemand het register in te sturen om die Run key ook nog een keer handmatig te onderzoeken.
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan