virus gecleaned......of toch niet?

Status
Niet open voor verdere reacties.

gmooij

Gebruiker
Lid geworden
6 feb 2001
Berichten
99
Omdat ZoneAlarm en McAfee het niet meer deden, kwam ik via Helpmij (http://www.helpmij.nl/forum/showthread.php?threadid=102048) erachter dat ik W32.Yaha en een Trojan Horse had. Beide gecleand met Symantec en McAfee. Het lijkt ok, maar ik vertrouw het nog niet:

Toen ZoneAlarm weer goed werktte zag ik dat tcpsvs32.exe probeerde het internet op te komen. ZoneAlarm zegt dat het in windows\system staat. Ik kan het daar niet vinden. Volgens mij is deze .exe een van de verschijningen van een worm of trojan.

Kan iemand me zeggen of dit zo is?

In de beschrijving om een Trojan Horse te verwijderen staat bij McAfee dat in het register (hkey-local-machine\software\microsoft\windows\currentversion\run) de volgende files verwijderd moeten worden:
Mnsvc.exe, ausvc.exe, bvt.exe, absr.exe, auupg.exe. coolstuff.ocx, ea.bin,
Mbtcd.bak, pl.dat, msvcp60.dll
Geen van deze files vind ik in het register bij ‘….currentversion\run’.
Ik vind ze wel bij ‘.….currentversion\explorer\doc find spec MRU’.

Weet iemand of ik deze files op deze plek uit het register ook moet verwijderen?

Met start-> zoeken -> bestanden vind ik alleen msvcp60.dll in zowel windows\system als in programfiles\musicmatch.
Weet iemand of ik deze file wel of niet moet verwijderen?

Bovengenoemde link (Internet->Internet Beveiliging) heb ik als opgelost afgesloten. Voor het virusprobleem stel ik hier m'n vraag.

Alvast bedankt, gr gert mooij
 
Geplaatst door gmooij
Toen ZoneAlarm weer goed werktte zag ik dat tcpsvs32.exe probeerde het internet op te komen.

Ik vind ze wel bij ‘.….currentversion\explorer\doc find spec MRU’.

Weet iemand of ik deze files op deze plek uit het register ook moet verwijderen?


Om hier alvast antwoord op te geven :
Je bent toevallig de tweede vandaag.
MRU staat voor : Most Recently Used.

Met andere woorden - het is een lijstje van bestanden die je 't laatst gezocht hebt :)

Probeer maar uit - tik Start / Zoeken, zoek een bestand. Kijk vervolgens onder de genoemde key. Je zoekopdracht zal er nu bij staan.

(Je hoeft ze dus niet te verwijderen)

Auk
 
hallo
ten eerste dat tcpsvs32.exe is deel van een virus
ik heb het zelf gehad
het staat onder windows map system of system32
deze bestanden komen daar vermoedelijk ook in voor:
dance.scr
love.scr
shake.scr
winservices.exe (deze draait ook op de achtergrond van windows)
friendship.scr
hotmail_hack.exe
best_friend.scr
sweet.scr
nav32_loader.exe
i_like_you.scr
deze SCR-bestanden hebben een rood, hartvormig icoontje en al de bestanden hierboven zijn deel van een virus
er bestaat een website van norton waarin alles uitgelegd wordt:
http://securityresponse.symantec.com/avcenter/venc/data/w32.yaha.h@mm.html
dit moet zo wel lukken lijkt me
suc6 dermee :thumb:

JPeetje
 
Auk en Jpeetje bedankt. Ik ga eerst eens neuzen op die site. Je hoort nog van me. grg
 
Hallo,
Ik heb al de .scr en .exe files gechecked zowel in windows\system als in register zoals door jullie en Symantec aangegeven. Geen van deze files gevonden. Het lijkt clean. Bedankt. Blijft nog de vraag:

Waarom geeft McAfee aan (als instructie how to remove the downloader-w Trojan) dat de file msvcp60.dll gedelete moet worden. Deze file heb ik in windows\system en programs\musicmatch.

Moet ik deze nu wel of niet deleten? Weten jullie het? grg
 
gmooij,

Ik heb een aantal vragen:
Ten 1e: Je hebt het over dat je gescand hebt met Symantec en mcaffee.
Heb je toevallig 2 virus scanners op de pc? Zo ja, verwijder er dan een van. Je hebt met 2 virus scanners juist geen bescherming.


Ten 2e: tcpsvs32.exe is een bestand van het Yaha.k virus:
http://securityresponse.symantec.com/avcenter/venc/data/w32.yaha.k@mm.html

When W32.Yaha.K@mm runs, it does the following:

1. Copies itself as the following files and sets the attribute of the files to hidden:

C:\%System%\WinServices.exe.
C:\%System%\Nav32_loader.exe
C:\%System%\Tcpsvs32.exe


Download en run daarom deze tool in de veilige modus:
http://securityresponse.symantec.com/avcenter/FixYaha.com

Ten 3e: welk trojan heb je eigenlijk?
msvcp60.dll hoeft helemaal geen trojan te zijn.

Nero gebruikt het onder andere.
En verder staat het ook in de map c-windows-system en ook in c-windows-pchealth-support.
 
Hallo Saldos,
Ik heb McAfee op mijn PC draaien. Omdat ik toen ik het virus binnenkreeg niet de laatste update van McAfee had, heb ik via Symantec een online scan gedaan. Deze gaf aan dat ik in windows\system een aantal w32.Yaha.K bestanden had en in temp.internet files een Trojan Horse test.vbs. Deze heb ik met Fix.Yaha.com (gedownload van Symantec) verwijderd. Daarna heb ik de laatste update van McAfee geinstalleerd en het gehele systeem nog eens gechecked. Na reboot nog een keer. Alles lijkt weg, behalve msvcp60.dll. Die staat inderdaad in windows\system. Misschien is het geen virus, maar in de tekst die McAfee aangeeft op hun pagina geven ze aan deze ook te verwijderen. Misschien een foutje?
gr gert
 
Hallo Saldos,

Geen van de verschijningsvormen zoals in de link genoemd heb ik in m'n computer (voor zover ik kan zien). Behalve msvcp60.dll. Ik heb deze 1x in windows\system en 1x in program files\musicmatch. Kan het niet zo zijn dat deze dll vanuit 'goeie' programma's geladen en nodig zijn? Ik zou deze dll toch even uit de musicmatch map kunnen halen om te zien of musicmatch deze echt nodig heeft? gr gert
 
gmooij,

Waarom wil je perse msvcp60.dll nou verwijderen?
Zoals ik al zei: je moet hem dus niet verwijderen.
Ik heb ook jou een link erbij gegeven waarin staat dat MSVCP60.DLL bij je Microsoft Visual C++ runtime library hoort. Dus Nogmaals: je moet hem dus niet verwijderen.
 
Hallo Saldos,
Dan hou ik het zo. Bedankt voor support. gr gert
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan