user32

Status
Niet open voor verdere reacties.
Wim1960

Wim1960

Meubilair
Lid geworden
25 dec 2001
Berichten
5.533
Gisteren en vandaag vond ik in het bestand C:\Windows\User32 een groot aantal exe-bestanden waarvan het logo op WinRAR bestanden lijkt. Zij werden in een hoog tempo aangemaakt zo'n 90 per uur.

Ik heb daarop de computer gescant op virussen met zowel Housecall als met NAV2002. Zij vonden niets. Ik moet eerlijk bekennen dat er vrijdag veel is gedownload van KaZaA, met name cracks. Ik weet natuurlijk niet of het er iets mee te maken heeft, maar waarschijnlijk wel. Ik heb alle temp-files leeggegooid en ook vrijwel alle zip-bestanden verwijderd. Ook heb ik KaZaA-lite verwijderd en de map user32. Hij wordt nu niet meer aangemaakt.

Ook Spybot vond weinig bijzonders.

Om een indruk te geven van de bestanden heb ik een bijlage van ee deen van de inhoud bijgevoegd.

In het vervolg bericht voeg ik een print bij van masconfig opstarten. Ook daar zie ik niet veel bijzonders.

Mijn vragen zijn. Waarvoor is de map C Windows User32? Is het vullen een normaal verschijnsel, het lijkt mij niet. Of is er sprake van een virus en welke is dat dan en hoe krijg ik hem weg? Of is het spyware en wordt het niet herkend? De Pc werkt verder naar behoren. Alvast bedankt voor jullie reactie.
 

Bijlagen

  • user32.jpg
    user32.jpg
    94 KB · Weergaven: 52
Ik zie daar nergens een vermelding van die User32 map.
Kijk eens of je in taakbeheer het proces CMD32 ziet lopen, zoals beschreven in de link die ik je gaf.
Stop dat proces en gooi die User32 map helemaal weg, zodat je in ieder geval ophoudt met die zooi zelf te verspreiden.

Groetjes,

Pieter
 
In het schermpje dat verschijnt als ik Control -Alt-Delete toets staat geen CMD32. Dan loopt het toch niet? De map User32 heb ik al weggegooit, nu KAZAA eraf ligt maakt hij hem ook niet meer aan.
 
OK. Kijk dan even in je register of deze sleutel voorkomt:
HKEY_CURRENT_USER\Software\Kazaa\LocalContent "Dir6"
We moeten wel zeker weten of we wel op het goede spoor zitten.

Groetjes,

Pieter
 
Kazaa komt niet (meer) voor, maar misschien is die vanmiddag verwijderd met jv16. Zie bijlage.

KL Cheater staat er nog wel. Sinds ik Kazaa-lit heb verwijderd vult hij user32 ook niet meer.
 

Bijlagen

  • register.jpg
    register.jpg
    50,3 KB · Weergaven: 37
Dit is de volledige text:

StartupList report, 16-02-2003, 22:22:38
StartupList version: 1.51
Started from : C:\WINDOWS\TEMP\RAR$EX01.029\STARTUPLIST.EXE
Detected: Windows ME (Win9x 4.90.3000)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
==================================================

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\NORTON INTERNET SECURITY\NISSERV.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAM FILES\NORTON INTERNET SECURITY\NISUM.EXE
C:\PROGRAM FILES\NORTON INTERNET SECURITY\SYMPROXYSVC.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE
C:\PROGRAM FILES\CREATIVE\LAUNCHER\CTLAUNCHER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\ICSMGR.EXE
C:\PROGRAM FILES\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\WINDOWS\SYSTEM\HPZTSB03.EXE
C:\PROGRAM FILES\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAM FILES\NORTON INTERNET SECURITY\IAMAPP.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\HPZSTATX.EXE
C:\PROGRAM FILES\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAM FILES\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\PROGRAM FILES\RAMBOOSTER\RAMBOOSTER.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\REALPOPUP\REALPOPUP.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVW32.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\QSERVER.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\1043\WFXMSRVR.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\1043\OLFMOD32.EXE
C:\WINDOWS\REGEDIT.EXE
C:\PROGRAM FILES\WINRAR\WINRAR.EXE
C:\WINDOWS\TEMP\RAR$EX01.029\STARTUPLIST.EXE

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\WINDOWS\Start Menu\Programma's\Opstarten]
Office Opstarten.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ScanRegistry = C:\WINDOWS\scanregw.exe /autorun
TaskMonitor = C:\WINDOWS\taskmon.exe
PCHealth = C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
SystemTray = SysTray.Exe
AudioHQ = C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
Creative Launcher = C:\Program Files\Creative\Launcher\CTLauncher.exe
Register MediaRing Talk = C:\Program Files\MediaRing Talk 99\register.exe
Disc Detector = C:\Program Files\Creative\ShareDLL\CtNotify.exe
internat.exe = internat.exe
ICSMGR = ICSMGR.EXE
POINTER = point32.exe
HPDJ Taskbar Utility = C:\WINDOWS\SYSTEM\hpztsb03.exe
RealTray = C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
iamapp = C:\Program Files\Norton Internet Security\IAMAPP.EXE
LoadQM = loadqm.exe
LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
CloneCDTray = "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
NAV Agent = C:\PROGRA~1\NORTON~2\NAVAPW32.EXE
CreateCD = C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

StillImageMonitor = C:\WINDOWS\SYSTEM\STIMON.EXE
nisserv = C:\Program Files\Norton Internet Security\NISSERV.EXE
LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
SchedulingAgent = mstask.exe
SSDPSRV = C:\WINDOWS\SYSTEM\ssdpsrv.exe
*StateMgr = C:\WINDOWS\System\Restore\StateMgr.exe
ScriptBlocking = "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

UNILEX01 =
RamBooster = C:\PROGRAM FILES\RAMBOOSTER\RAMBOOSTER.EXE
msnmsgr = "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
RealPopup = "C:\PROGRAM FILES\REALPOPUP\REALPOPUP.EXE" BOOT

--------------------------------------------------

C:\WINDOWS\WININIT.BAK listing:
(Created 16/2/2003, 18:37:40)

[rename]
NUL=C:\WINDOWS\TEMP\_iu14D2N.tmp

--------------------------------------------------

C:\AUTOEXEC.BAT listing:

SET COMSPEC=C:\WINDOWS\COMMAND.COM
SET windir=C:\WINDOWS
SET winbootdir=C:\WINDOWS
SET PATH=C:\WINDOWS;C:\WINDOWS\COMMAND
SET PROMPT=$p$g
SET TEMP=C:\WINDOWS\TEMP
SET TMP=C:\WINDOWS\TEMP
SET CLASSPATH=C:\PROGRA~1\PHOTOD~1.0\ADOBEC~1

--------------------------------------------------

C:\WINDOWS\WINSTART.BAT listing:

C:\WINDOWS\tmpcpyis.bat

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
NAV Helper - C:\Program Files\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Toepassing Optimalisatie Start.job
PCHealth-planner voor gegevensverzameling.job
Symantec NetDetect.job
Onderhoud-Schijfcontrole.job
Onderhoud-Schijfopruiming.job

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[sys Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\PCPITSTOP.DLL
CODEBASE = http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB

[Microsoft Terminal Services Control (redist)]
InProcServer32 = C:\WINDOWS\DOWNLO~1\MSRDP.OCX
CODEBASE = http://www.bibliotheekculemborg.nl/catalogus/mstscax.cab

[CV3 Class]
InProcServer32 = C:\WINDOWS\SYSTEM\WUV3IS.DLL
CODEBASE = http://windowsupdate.microsoft.com/R1009/V31Controls/x86/mil/nl/actsetup.cab

[Symantec RuFSI Registry Information Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUFSI.DLL
CODEBASE = http://security2.norton.com/SSC/SharedContent/sc/bin/cabsa.cab

[{41F17733-B041-4099-A042-B518BB6A408C}]
CODEBASE = http://a1540.g.akamai.net/7/1540/52...apple.com/qt505/nl/win/QuickTimeInstaller.exe

[HouseCall Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\XSCAN51.OCX
CODEBASE = http://www.housecall.nl/housecall/xscan4.cab

[iPIX ActiveX Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\IPIXX.OCX
CODEBASE = http://www.ipix.com/download/ipixx.cab

[GSDACtl Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\GSDA.DLL
CODEBASE = http://launch.gamespyarcade.com/software/launch/alaunch.cab

[HeartbeatCtl Class]
InProcServer32 = C:\WINDOWS\DOWNLO~1\HRTBEAT.OCX
CODEBASE = http://fdl.msn.com/zone/datafiles/heartbeat.cab

[OPUCatalog Class]
InProcServer32 = C:\WINDOWS\SYSTEM\OPUC.DLL
CODEBASE = http://office.microsoft.com/ProductUpdates/content/opuc.cab

[MSN Chat Control 4.5]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\MSNCHAT45.OCX
CODEBASE = http://fdl.msn.com/public/chat/msnchat45.cab

[{8AD9C840-044E-11D1-B3E9-00805F499D93}]

[{CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA}]

[Update Class]
InProcServer32 = C:\WINDOWS\SYSTEM\IUCTL.DLL
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37654.0854282407

--------------------------------------------------
End of report, 8.687 bytes
Report generated in 0,427 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
 
Met virusdefinities van 13-02-2003 vindt Norton niets. Hij scant nu met die van 14-02-2003.
 
Ik zie hem niet meer draaien en ook nergens opstarten.
Laat KaZaa maar even uit voorlopig tot NAV hem ook in zijn definities heeft.
En kijk af en toe of die map niet toch nog opduikt.

Groetjes,

Pieter
 
Ik doe even rustig aan. Zonder KAZAA kan ik heel goed leven. Vrijdag waren de kinderen bezig geweest. Heb ik het weekend ook weer wat te doen. In ieder geval mijn hartelijke dank voor al je inspanningen.
 
Graag gedaan.
Wel toevallig: ik had net die website zitten lezen en zag toen jouw vraag verschijnen. :)

Groetjes,

Pieter
 
Wim1960,

Je hebt echt teveel programma's op de achtergrond lopen zie ik in msconfig.

Vink in msconfig alles uit behalve je Norton virus scanner en je Norton firewall. Je zult zien dat je pc dan veel sneller wordt.
 
Geplaatst door Wim1960
Over de snelheid heb ik niet echt veel te klagen.
Klik om te vergroten...

Je hebt inderdaad wel wat dingetjes staan die weg kunnen - maar het is helemaal niet zo'n goed idee om dan maar even alles uit te vinken in MSCONFIG.

Neem bijvoorbeeld : C:\WINDOWS\scanregw.exe /autorun

"The Registry Checker, SCANREGW, loads on boot-up and checks that the Windows Registry is in good order"
Microsoft raadt aan om dit NIET uit te schakelen.

Op deze pagina's kun je vinden welke opstart-programma's je wel probleemloos kunt - en waarschijnlijk zelfs liever wilt - uitschakelen:
http://www.answersthatwork.com/

Auk
 
In vervolg op het Krypton verhaal van Pieter. Met jv 16 heb ik de volgende zaken gevonden in het register van de ME computer (zie bijlage).

Ik denk dat ik deze kan verwijderen. Klopt dat?

Moet ik ook nog wat met de exe bestanden met name in de Windows-map? Ik weet namelijk niet of ik deze zomaar weg kan gooien zonder andere problemen te veroorzaken.
 

Bijlagen

  • kryton me.jpg
    kryton me.jpg
    43,7 KB · Weergaven: 34
Eigenlijk dezelde vraag m.b.t. een XP PC die in hetzelfde netwerk staat.
 

Bijlagen

  • krypton xp.jpg
    krypton xp.jpg
    49,9 KB · Weergaven: 25
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan