Verbinding gaat vanzelf aan

[noahjazz]

Ondanks dat ik alle instellingen gecontroleerd heb, de reg bekeken heb voor auto dials ofzo, kan ik niets vinden. Probleem is dat mijn adsl modem iedere keer contact zoekt. Aan de ene kant voel ik me een beetje kwetsbaar als de lijn continue openstaat. Zeker als ik die instelling niet zelf aangegeven heb en het sinds vandaag is. ....Ik heb de pc ook al met "ad-aware" gescand, ook op virussen.

Kan het zijn dat ik een vinkje toch vergeten ben?

Groetjes,
Robin

 

[Pieter Arntz]

Download eens http://www.lurkhere.com/~nicefiles/hijackthis191.zip
Unzip en run het klikdan Config > Misc Tools > Generate Startuplist.
Knip en plak de inhoud van het gemaakte bestand in je volgende post.

Groetjes,

Pieter

 

[Blue Thunder]

Kijk eens of je instellingen van je verbinding nog wel goed staan.
Menubalk IE: Instellingen > Internet-opties > Tabblad vebindingen en kijk daar of de keuze Nooit een verbinding kiezen is aangevinkt.
Controleer gelijk even in het vakje waar je inbelverbinding staat of daar geen meerdere inbel verbindingen zijn ingesteld....Je kunt daar op de ADSL vebinding na alles verwijderen.

 

[harmen__666]

geen firewall /virusscanner actief?

 

[noahjazz]

Pieter,

Hierbij de lijst: (ben benieuwd en alvast bedankt voor de moeite)

Robin


Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\WINDOWS\System32\syscfg32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Spybot - Search & Destroy 1.1\SpybotSD.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Robin Pluim\Local Settings\Temp\HijackThis.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

SpeedTouch USB Diagnostics = "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
REGSHAVE = C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
InstantAccess = C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
RegisterDropHandler = C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
NvCplDaemon = RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
Configuration Loader = syscfg32.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

RegisterDropHandler = C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
Configuration Loader = syscfg32.exe

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave ActiveX Control]
InProcServer32 = C:\WINDOWS\system32\Macromed\Director\SwDir.dll
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

[EARTPatchX Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\EARTPX.dll
CODEBASE = http://www.ea.com/downloads/rtpatch/EARTPX.cab

[GSDACtl Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\gsda.dll
CODEBASE = http://launch.gamespyarcade.com/software/launch/alaunch.cab

[Update Class]
InProcServer32 = C:\WINDOWS\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37672.05875

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[Microsoft Office Tools on the Web Control]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\OUTC.DLL
CODEBASE = http://officeupdate.microsoft.com/TemplateGallery/downloads/outc.cab

[HouseCall Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\xscan51.ocx
CODEBASE = http://www.housecall.nl/housecall/xscan4.cab

--------------------------------------------------
End of report, 4,154 bytes
Report generated in 0.040 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

 

[Pieter Arntz]

Het lijkt er sterk op dat je dit wormpje te pakken hebt: http://www.f-secure.com/v-descs/lolol.shtml

Vink deze twee uit in msconfig of verwijder ze in het register:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Configuration Loader = syscfg32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Configuration Loader = syscfg32.exe

Start dan opnieuw op en scan dan eens bij: http://security.symantec.com/ssc/home.asp?j=1&langid=us&venid=sym&plfid=22&pkj=JZYKSKVYRMHCGVRVRMN
Scan for viruses.

Groetjes,

Pieter

 

[Pieter Arntz]

Hmmm. Ik weet nou niet of dit dezelfde is:

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.sdbot.b.html

Maar dat mag Symantec uitzoeken.

Groetjes,

Pieter

 

[noahjazz]

Ik zie het inderdaad al, ik heb ze! Ik heb vanmorgen mijn pc nog bij Tiscali online gescand, stelt dus ook niks voor zeg, die zag niets!

Hartstikke bedankt, hoop dat het opgelost is.

Robin

 

[Pieter Arntz]

Ik hoop ook dat het opgelost is.

Welke bleek het nou te zijn?

Groetjes,

Pieter

 

[noahjazz]

Ik bleek erg veel besmette bestandje te hebben. Goei scanner dus!!
Ook met bijv. W97M.thus.a. Nu alle docs. verwijderd.
Blijft die backdoor.sdbot over denk ik. Moet ik nog weg zien te krijgen. Suggesties?

Robin

 

[Pieter Arntz]

Kijk nog even in je KaZaa folder of je een van de genoemde bestanden tegenkomt:
http://www.viruslist.com/eng/viruslist.html?id=58453
Als dat niet zo is, zou nu alles opgeruimd moeten zijn.

Groetjes,

Pieter

 

[noahjazz]

Ik heb maar mijn hele shared folder leeg gegooid van Kazaa, die is schoon dus. Blijft alleen deze over:

C:\WINDOWS\system32\syscfg32.exe is infected with Backdoor.Sdbot

Dit is een hardnekkige volgens mij, toch?

Robin

 

[Pieter Arntz]

Had je hem wel bij beide opstartplaatsen weggehaald?
Start eens op in veilige modus en zoek dat bestandje dan eens op en verwijder het.
In veilige modus zou het niet in gebruik moeten zijn.

Groetjes,

Pieter

 

[noahjazz]

vreemd, onder msconfig kan ik hem niet vinden, in de reg heb ik hem verwijderd net.....

 

[Pieter Arntz]

En lukt het nu wel om het bestand te verwijderen?

Groetjes,

Pieter

 

[noahjazz]

Pieter,
Het is gelukt in veilige modus! Ik (PC) ben virusvrij!
Wijze les in deze: niet meer bij tiscali scannen en firewall installen

Bedankt!

Robin

 

[Pieter Arntz]

Een virusscanner zou anders ook geen slecht idee zijn:

Groetjes,

Pieter