NAV update in de lijst HijackThis

Status
Niet open voor verdere reacties.

joyrider

Terugkerende gebruiker
Lid geworden
21 jul 2001
Berichten
1.416
wil graag weten of allemaal wel goed is ..spyware of iets wat er niet hoort te zijn ...norton gebruik ik allang niet meer maar NAV auto update( die in de lijst staat ) krijg ik maar niet weg .
 

Bijlagen

Hoi Joyrider,

Kun je ook een Startuplist maken en die plaatsen?
SVP gewoon knippen en plakken. Geen doc als bijlage.

Mooie beveiligings-progjes trouwens. :thumb:

Groetjes,

Pieter
 
Dank je wel ..heb veel plezier van die Progjes...


Logfile of HijackThis v1.95.0
Scan saved at 9:42:41, on 25-6-2003
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Sygate\SPF\Smc.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
F:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
F:\WINDOWS\System32\BOClean.exe
F:\Program Files\Eset\nod32krn.exe
F:\Program Files\Eset\nod32kui.exe
F:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
F:\Program Files\MSN Messenger\MsnMsgr.Exe
F:\WINDOWS\System32\ctfmon.exe
F:\PROGRA~1\NSClean\BOClean\BOCSEC.EXE
F:\WINDOWS\System32\svchost.exe
F:\PROGRA~1\PANICW~1\POP-UP~1\POPUPS~1.EXE
F:\Program Files\Netropa\Onscreen Display\OSD.exe
F:\Program Files\SpywareGuard\sgmain.exe
F:\Program Files\SpywareGuard\sgbhp.exe
C:\Opera 711 nl\Opera.exe
F:\Documents and Settings\XP\Bureaublad\Werkmap\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://joyrider.tiscaliweb.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://ie.search.google.nl/{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title=-Joyrider-
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=F:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
O1 - Hosts: 203.161.127.141 www.dcsresearch.com
O2 - BHO: (no name) - {00C6482D-C502-44C8-8409-FCE54AD9C208} - F:\Program Files\TechSmith\SnagIt 6\SnagItBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\nieuwe loads\dos\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - F:\Program Files\SpywareGuard\dlprotect.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - F:\Program Files\TechSmith\SnagIt 6\SnagItIEAddin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] F:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [SmcService] F:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [NAV Auto Update] NAVAUTOUPDATE.EXE
O4 - HKLM\..\Run: [BOCleanautostart] BOClean.exe
O4 - HKLM\..\Run: [nod32kui] F:\Program Files\Eset\nod32kui.exe /WAITSERVICE
O4 - HKCU\..\Run: [MsnMsgr] "F:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PopUpStopperProfessional] "F:\PROGRA~1\PANICW~1\POP-UP~1\POPUPS~1.EXE"
O4 - Startup: SpywareGuard.lnk = F:\Program Files\SpywareGuard\sgmain.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Maintain Block List... - c:\maintain.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Broken Internet access because of LSP provider 'imon.dll' missing
O16 - DPF: {8E65B894-C2E9-11D5-BCD3-00E018987517} - http://195.57.118.137/17/cabs/akifondos283nl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37729.4143634259
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/search/lobby/searchsettings.cab
 
Startuplist: in hijackthis klik op Config > Misc > Generate Startuplist.

Als je deze laat Fixen door HijackThis houdt die updater er niet mee op:
O4 - HKLM\..\Run: [NAV Auto Update] NAVAUTOUPDATE.EXE
Wel opnieuw opstarten na het klikken op Fix checked.

Groetjes,

Pieter
 
Dank je wel ...zie je nog iets bijzonders ????of is het goed zo..geen spyware ...


Logfile of HijackThis v1.95.0
Scan saved at 10:20:45, on 25-6-2003
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Sygate\SPF\Smc.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
F:\WINDOWS\System32\BOClean.exe
F:\Program Files\Eset\nod32kui.exe
F:\Program Files\MSN Messenger\MsnMsgr.Exe
F:\WINDOWS\System32\ctfmon.exe
F:\PROGRA~1\PANICW~1\POP-UP~1\POPUPS~1.EXE
F:\Program Files\SpywareGuard\sgmain.exe
F:\PROGRA~1\NSClean\BOClean\BOCSEC.EXE
F:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
F:\Program Files\SpywareGuard\sgbhp.exe
F:\Program Files\Netropa\Onscreen Display\OSD.exe
F:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
F:\Program Files\Eset\nod32krn.exe
F:\WINDOWS\System32\oodag.exe
F:\WINDOWS\System32\svchost.exe
F:\Documents and Settings\XP\Bureaublad\Werkmap\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://joyrider.tiscaliweb.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://ie.search.google.nl/{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title=-Joyrider-
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=F:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
O1 - Hosts: 203.161.127.141 www.dcsresearch.com
O2 - BHO: (no name) - {00C6482D-C502-44C8-8409-FCE54AD9C208} - F:\Program Files\TechSmith\SnagIt 6\SnagItBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\nieuwe loads\dos\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - F:\Program Files\SpywareGuard\dlprotect.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - F:\Program Files\TechSmith\SnagIt 6\SnagItIEAddin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] F:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [SmcService] F:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [BOCleanautostart] BOClean.exe
O4 - HKLM\..\Run: [nod32kui] F:\Program Files\Eset\nod32kui.exe /WAITSERVICE
O4 - HKCU\..\Run: [MsnMsgr] "F:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PopUpStopperProfessional] "F:\PROGRA~1\PANICW~1\POP-UP~1\POPUPS~1.EXE"
O4 - Startup: SpywareGuard.lnk = F:\Program Files\SpywareGuard\sgmain.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Maintain Block List... - c:\maintain.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Broken Internet access because of LSP provider 'imon.dll' missing
O16 - DPF: {8E65B894-C2E9-11D5-BCD3-00E018987517} - http://195.57.118.137/17/cabs/akifondos283nl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37729.4143634259
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/search/lobby/searchsettings.cab
 
Laatst bewerkt:
Nee, dat is wéér een Hijack This log.

Doe precies wat Pieter zei:

in hijackthis klik op Config > Misc > Generate Startuplist
 
dit is een nieuwe lijst ..nav zit er nu niet meer in na opstart..of moet ik die Generate list hier neer zetten...???zoja hier staat hij...

StartupList report, 25-6-2003, 10:51:06
StartupList version: 1.52
Started from : F:\Documents and Settings\XP\Bureaublad\Werkmap\HijackThis.EXE
Detected: Windows XP (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
==================================================

Running processes:

F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Sygate\SPF\Smc.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
F:\WINDOWS\System32\BOClean.exe
F:\Program Files\Eset\nod32kui.exe
F:\Program Files\MSN Messenger\MsnMsgr.Exe
F:\WINDOWS\System32\ctfmon.exe
F:\PROGRA~1\PANICW~1\POP-UP~1\POPUPS~1.EXE
F:\Program Files\SpywareGuard\sgmain.exe
F:\PROGRA~1\NSClean\BOClean\BOCSEC.EXE
F:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
F:\Program Files\SpywareGuard\sgbhp.exe
F:\Program Files\Netropa\Onscreen Display\OSD.exe
F:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
F:\Program Files\Eset\nod32krn.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\MailWasher Pro\MailWasher.exe
F:\Program Files\G6 FTP Server\G6FTPSrv.exe
F:\Program Files\No-IP\DUC20.exe
C:\Opera 711 nl\Opera.exe
F:\Documents and Settings\XP\Bureaublad\Werkmap\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[F:\Documents and Settings\XP\Menu Start\Programma's\Opstarten]
SpywareGuard.lnk = F:\Program Files\SpywareGuard\sgmain.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = F:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

MULTIMEDIA KEYBOARD = F:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
SmcService = F:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
BOCleanautostart = BOClean.exe
nod32kui = F:\Program Files\Eset\nod32kui.exe /WAITSERVICE

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

MsnMsgr = "F:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
ctfmon.exe = F:\WINDOWS\System32\ctfmon.exe
PopUpStopperProfessional = "F:\PROGRA~1\PANICW~1\POP-UP~1\POPUPS~1.EXE"

--------------------------------------------------

Shell & screensaver key from F:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=F:\WINDOWS\System32\plusaqar.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - F:\Program Files\TechSmith\SnagIt 6\SnagItBHO.dll - {00C6482D-C502-44C8-8409-FCE54AD9C208}
(no name) - c:\nieuwe loads\dos\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
SpywareGuard Download Protection - F:\Program Files\SpywareGuard\dlprotect.dll - {4A368E80-174F-4872-96B5-0B27DDD11DB2}

--------------------------------------------------

Enumerating Task Scheduler jobs:

1 Copernic Intra-Daily ~XP-5IV53Y0D6WC8 XP.job
2 Copernic Daily ~XP-5IV53Y0D6WC8 XP.job
3 Copernic Weekly ~XP-5IV53Y0D6WC8 XP.job
4 Copernic Monthly ~XP-5IV53Y0D6WC8 XP.job

--------------------------------------------------

Enumerating Download Program Files:

[{8E65B894-C2E9-11D5-BCD3-00E018987517}]
CODEBASE = http://195.57.118.137/17/cabs/akifondos283nl.cab

[Update Class]
InProcServer32 = F:\WINDOWS\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37729.4143634259

[Shockwave Flash Object]
InProcServer32 = F:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[Microsoft Search Settings Control]
InProcServer32 = F:\WINDOWS\Downloaded Program Files\searchsettings.ocx
CODEBASE = http://lg.home.microsoft.com/search/lobby/searchsettings.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: F:\WINDOWS\system32\SHELL32.dll
CDBurn: F:\WINDOWS\system32\SHELL32.dll
WebCheck: F:\WINDOWS\System32\webcheck.dll
SysTray: F:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 5.500 bytes
Report generated in 0,030 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
 
Laatst bewerkt:
Nee, je hebt gelijk. :rolleyes:

Overigens heeft deze Navautoupdate.exe niets te maken met Norton, maar is/was het gegarandeerd een trojan.

Zoek eens naar dat bestand. Als je het nog hebt, kun je er mij dan een copietje van zenden om eens te bekijken?



Bedankt! :)
 
Laatst bewerkt:
ik vind alleen een pf bestand..stuur hem nu op
 
Ja, maar het gaat écht om een bestand NAVAUTOUPDATE.EXE, want dat is hetgene waar je log naar verwijst.

Het is dus geen pdfje
 
O, ik zie het al: het is geen pdfje, maar een copie van het bestand uit je Prefetch map. Daar heb ik helaas niets aan.

Ga eens naar Mapopties > Beeld, en zorg ervoor dat verborgen bestanden óók weergegeven worden.

Zoek nu nóg eens. Vind je nu het "echte" exemplaar?
 
ik heb nog wat in de prullebak zitten ..stuur ik even op..
 
Bedankt! :)

Dit zegt de Kasperski virus checker ervan:

Current object: NAVAutoupdate.exe

NAVAutoupdate.exe Packed: UPX
NAVAutoupdate.exe Infected: Worm.P2P.SpyBot.gen

Groetjes,
 
waarom pak NOD32 hem dan niet ..???!!!

en wat doe ik eraan ..ben ik hem kwijt als hij in de prullenbak zit??
 
Laatst bewerkt:
Ja, dan is ie weg. Wel de prullenbak even legen.

Het is kennelijk een nieuwe of anders gecomprimeerde versie. Ik heb hem al verzonden naar ESET en DiamondCS, dus het kan niet lang meer duren voordat ie gedetecteerd zal worden.

Groetjes,
 
Packed: UPX

Dat is waarschijnlijk de reden dat NOD hem niet ziet.

Welke versie en welke update gebruik jij?

Ton,

Ik heb ook alleen nod32kui.exe in mijn opstart, maar NOD is bij mij on-demand. Als ik me niet vergis is hij bij jou resident. Moet er dan niet nog meer staan?

Groetjes,

Pieter
 
Ik heb gewoon de oude versie van Nod32, maar ze gebruiken dezelfde update definitions.

Trouwens, de Dialogue Science Dr. Web Online virus checker herkent hem ook...

Online check result

--------------------------------------------------------------------------------
E:\Dump\NAVAutoupdate.exe packed by UPX
>E:\Dump\NAVAutoupdate.exe infected with Win32.HLLW.SpyBot

Twee handige sites:

<A HREF="http://www.kaspersky.com/remoteviruschk.html">Kasperski anti virus checker</A><BR>
<A HREF="http://www.dials.ru/english/www_av/">Dialogue Science on-line virus checker</A><BR>
 
Geplaatst door Pieter Arntz
Dat is waarschijnlijk de reden dat NOD hem niet ziet.


Ja, maar dat vind ik dus helemaal geen reden. Als Kasperski en Dr.Web hem wél herkennen heeft Nod32 geen excuus om dat niet te doen.

Maar niet getreurd, hij zit vast bij de volgende database updates.

Ik zal je een copietje sturen.

Groetjes,
 
Ik heb de nieuwste versie ( 2) en de nieuwe update 1.4444---23-060-2003

oke hartelijk dank voor jullie hulp...

zal de link's bij de favorieten zetten..
 
Laatst bewerkt:
Joyrider,

Gebruik jij versie 2 van NOD32 en zoja, is het icoontje in je systray rood of groen?

Ton,

Volgens mij zou NOD hem moeten herkennen op het moment dat hij actief wordt zoals bij Joyrider, dus op het moment dat hij uitgepakt wordt. Vandaar mijn vraag.


Groetjes,

Pieter
 
Status
Niet open voor verdere reacties.
Terug
Bovenaan Onderaan