Messoo.exe - trojan?

[Coen111]

Kreeg een mailtje van mijn provider dat ik spam verstuur. Gedane actie in het hele netwerk: AVG virusscan, Panda virusscan, Kaspersky virusscan, Trojanhunter scan. Belangrijkste verdachte element: een CoolWebSearch entry. Ander verdacht element: messoo.exe in de windows/system32 map (heb WinXP). Alles verwijderd en alles lijkt OK, dus gisteravond de PC's weer vrijgegeven voor het gezin.

En nu vanavond verdacht veel modemverkeer. Ik zie in taakbeheer dat messoo.exe terug is in de system32 map en 30% van de CPU capaciteit in beslag neemt. Ik stop het proces en het modemverkeer stopt ook.

Nergens kan ik info vinden over messoo.exe. Het zit alleen in één PC, niet in de systeemmap van de andere PC's die ook XP hebben. Bij voorbaat verdacht dus. Wat is dit voor bestand? Heb ik hier mijn trojan te pakken?

 

[Sims]

Lijkt me nog dat de infectie aanwezig is.

Allereerst even dit doen (alleen stap 1 ). http://www.nucia.nl/forum/showthread.php?p=374154

Het probleem is er nog na bovenstaande methode:

Deze scanner zou ook goed zijn volgens mijn mede forumers

http://www.superantispyware.com/down...NTISPYWAREFREE

Als die er nu nog is

http://www.nucia.eu/forum/showthread.php?t=12 (even 3 berichte naar beneden scrollen, daar staat ''Handleiding Hijack'' die moet je even volgen

 

[Coen111]

Ja, fijn, dank je, stap 1 heeft in ieder geval de juiste file en bijbehorende registerentry opgeleverd. Alles verwijderd, zie log.
Morgen kijken of het ook definitief weg is bij opnieuw opstarten en een nieuwe datum. Nu eerst naar bed. Bedankt alvast.
Coen.

 

[Coen111]

Nee, jammer, messoo.exe is weer terug in de system32 map. Vanavond maar even naar stap 2 kijken.
Coen.

 

[mrmusic]

Doe stap 1 nog eens maar:

1) schakel eerst systeemherstel uit
2) zorg dat de pc NIET verbonden is met internet

 

[Coen111]

Is dat een goed idee, het uitschakelen van systeemherstel? Ik had juist het idee om een herstelbewerking te doen. Met het uitschakelen van systeemherstel verwijder ik de herstelpunten. Waarom adviseer je dit? Ik doe wel de scan met de internetverbinding eraf, dan vind hij natuurlijk weer de registerentry en de messoo.exe en verwijdert hij die. Ik probeer het, maar ben bang dat ze er morgen dan weer in staan.

 

[Coen111]

Advies opgevolgd met uitzondering van systeemherstel. Opnieuw opgestart en messoo.exe was al weer terug. Nu een HijackThis log geplaatst. Jammer, had het graag zelf opgelost.

 

[Coen111]

Ja, er moesten HijackThis en ComboFix aan te pas komen. Sinds woensdag herkende mijn virusscanner (AVG) messoo.exe wel als trojan. Kennelijk een nieuw virus. Alles weer schoon nu na een week.
Dank voor iedereen die zich er mee bemoeid heeft.
Coen.