Vjom.exe & Yoq.exe --> Virus?

Status
Niet open voor verdere reacties.
Z-Dragon

Z-Dragon

Terugkerende gebruiker
Lid geworden
3 nov 2001
Berichten
1.479
Ey,

Ik ben erachter gekomen dat er waarschijnlijk een virus zit in de PC van een kennis van mij. Norton schiet steeds weer weg als ik hem open, en de vrijdagavondscan heeft er ook de brei aan gegeven. Ik heb de volgende bestanden gevonden in opstarten, en in het register: Vjom.exe en Yoq.exe. Nu zelfs als ik dezen verwijderd heb blijven ze terugkomen (die bestandjes), dus er moet een ander bestand zijn die die 2 aan maakt. Nu weet ik alleen niet welke andere sleutels en bestanden ik dan nog zou moeten verwijderen. Online scannen levert niets op. Er wordt gewoon aangegeven dat er geen virussen zijn gevonden?!!

Wie helpt mij?
 
StartupList report, 14-2-03, 15:26:20
StartupList version: 1.51
Started from : C:\PROGRAM FILES\ZIP ASSISTANT\TEMP2\STARTUPLIST.EXE
Detected: Windows 98 SE (Win9x 4.10.2222A)
Detected: Internet Explorer v5.50 SP1 (5.50.4522.1800)
* Using default options
==================================================

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\NORTON PERSONAL FIREWALL\NISSERV.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINJECT.EXE
C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\SYMTRAY.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\VJOM.EXE
C:\PROGRAM FILES\NORTON PERSONAL FIREWALL\SYMPROXYSVC.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\DPLAYSVQ.EXE
C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINSM32.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\Program Files\Norton SystemWorks\Norton CleanSweep\Monwow.exe
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\NORTON PERSONAL FIREWALL\NISUM.EXE
C:\PROGRAM FILES\ZIP ASSISTANT\ZIPASSIST.EXE
C:\PROGRAM FILES\ZIP ASSISTANT\TEMP2\STARTUPLIST.EXE

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\WINDOWS\Start Menu\Programma's\Opstarten]
Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
CleanSweep Smart Sweep-Internet Sweep.lnk = C:\Program Files\Norton SystemWorks\Norton CleanSweep\csinsm32.exe
yoq.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

iamapp = c:\Program Files\Norton Personal Firewall\IAMAPP.EXE
ScanRegistry = c:\windows\scanregw.exe /autorun
Taakcontrole = c:\windows\taskmon.exe
SystemTray = SysTray.Exe
LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
SUCATREF = C:\WINDOWS\OPTIONS\CABS\SUCATREF.EXE
DPLAYSVQ = C:\WINDOWS\SYSTEM\DPLAYSVQ.EXE
RNAAPO = C:\WINDOWS\SYSTEM\RNAAPO.EXE
NPROTECT = c:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

hdw = vjom.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

nisserv = c:\Program Files\Norton Personal Firewall\NISSERV.EXE
LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
SchedulingAgent = mstask.exe
CSINJECT.EXE = c:\Program Files\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE
NPROTECT = c:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
SymTray - Norton SystemWorks = c:\Program Files\Common Files\Symantec Shared\SymTray.exe "Norton SystemWorks"

--------------------------------------------------

C:\WINDOWS\WININIT.BAK listing:
(Created 11/1/2003, 13:38:48)

[rename]
c:\windows\SYSTEM\dcom95\oldole\uninstall.exe=c:\windows\SYSTEM\dcom95\oldole\uninstall.001
c:\windows\SYSTEM\ole32.dll=c:\windows\SYSTEM\ole32.001
c:\windows\SYSTEM\rpcrt4.dll=c:\windows\SYSTEM\rpcrt4.001
C:\WINDOWS\SYSTEM\IEPEERS.DLL=C:\WINDOWS\SYSTEM\IEPEERS.RCX
C:\WINDOWS\SYSTEM\SCHANNEL.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\SCHANNEL.DLL
C:\WINDOWS\SYSTEM\ENHSIG.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ENHSIG.DLL
C:\WINDOWS\SYSTEM\RSASIG.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\RSASIG.DLL
C:\WINDOWS\SYSTEM\XENROLL.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\XENROLL.DLL
C:\WINDOWS\SYSTEM\MSCAT32.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\MSCAT32.DLL
C:\WINDOWS\SYSTEM\MSSIP32.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\MSSIP32.DLL
C:\WINDOWS\SYSTEM\MSSIGN32.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\MSSIGN32.DLL
C:\WINDOWS\SYSTEM\CRYPTUI.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\CRYPTUI.DLL
C:\WINDOWS\SYSTEM\CRYPTNET.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\CRYPTNET.DLL
C:\WINDOWS\SYSTEM\CRYPTEXT.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\CRYPTEXT.DLL
C:\WINDOWS\SYSTEM\DIGEST.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\DIGEST.DLL
C:\WINDOWS\SYSTEM\WLDAP32.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\WLDAP32.DLL
C:\WINDOWS\SYSTEM\DXTMSFT.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\DXTMSFT.DLL
C:\WINDOWS\SYSTEM\DXTRANS.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\DXTRANS.DLL
C:\WINDOWS\SYSTEM\MSXML.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\MSXML.DLL
C:\WINDOWS\SYSTEM\JSNL.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\JSNL.DLL
C:\WINDOWS\SYSTEM\PLUGIN.OCX=C:\WINDOWS\SYSTEM\IE4SETUP\PLUGIN.OCX
C:\WINDOWS\SYSTEM\MSRATING.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\MSRATING.DLL
C:\WINDOWS\SYSTEM\MSHTMLED.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\MSHTMLED.DLL
C:\WINDOWS\SYSTEM\HLINK.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\HLINK.DLL
C:\WINDOWS\SYSTEM\PROCTEXE.OCX=C:\WINDOWS\SYSTEM\IE4SETUP\PROCTEXE.OCX
C:\WINDOWS\SYSTEM\URL.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\URL.DLL
C:\WINDOWS\SYSTEM\IMAGEHLP.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\IMAGEHLP.DLL
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE=C:\WINDOWS\SYSTEM\IE4SETUP\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\COMCTL32.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM4162.TMP
NUL=c:\windows\ttfcache.
C:\WINDOWS\SYSTEM\MSHTML.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM4170.TMP
C:\WINDOWS\SYSTEM\SHDOCVW.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM4181.TMP
C:\WINDOWS\SYSTEM\SHDOCLC.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM4182.TMP
C:\WINDOWS\SYSTEM\URLMON.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM4183.TMP
C:\WINDOWS\SYSTEM\JSCRIPT.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM4185.TMP
C:\WINDOWS\SYSTEM\WININET.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM4186.TMP
C:\WINDOWS\SYSTEM\SHLWAPI.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM4193.TMP
C:\WINDOWS\SYSTEM\CRYPT32.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM4194.TMP
C:\WINDOWS\SYSTEM\MLANG.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM41A3.TMP
C:\WINDOWS\SYSTEM\WINTRUST.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM41B1.TMP
C:\WINDOWS\SYSTEM\RSABASE.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM41B4.TMP
C:\WINDOWS\SYSTEM\BROWSEUI.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM41C0.TMP
C:\WINDOWS\SYSTEM\BROWSELC.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM41C1.TMP
C:\WINDOWS\SYSTEM\SHDOC401.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM41C2.TMP
C:\WINDOWS\SYSTEM\SHD401LC.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM41C3.TMP
C:\WINDOWS\SYSTEM\SHFOLDER.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM41C4.TMP
C:\WINDOWS\SYSTEM\MMUTILSE.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM41E5.TMP
NUL=C:\WINDOWS\SHELLI~1
NUL=C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE=C:\WINDOWS\SYSTEM\SET4275.TMP
NUL=C:\WINDOWS\SYSTEM\WEBCHECK.DLL
C:\WINDOWS\SYSTEM\WEBCHECK.DLL=C:\WINDOWS\SYSTEM\SET42A2.TMP
NUL=C:\WINDOWS\SYSTEM\MSIDLE.DLL
C:\WINDOWS\SYSTEM\MSIDLE.DLL=C:\WINDOWS\SYSTEM\SET42A3.TMP
NUL=C:\WINDOWS\SYSTEM\SENS.DLL
C:\WINDOWS\SYSTEM\SENS.DLL=C:\WINDOWS\SYSTEM\SET42A4.TMP
NUL=C:\WINDOWS\SYSTEM\ES.DLL
C:\WINDOWS\SYSTEM\ES.DLL=C:\WINDOWS\SYSTEM\SET42A5.TMP
NUL=C:\WINDOWS\SYSTEM\ESSHARED.DLL
C:\WINDOWS\SYSTEM\ESSHARED.DLL=C:\WINDOWS\SYSTEM\SET42A6.TMP
NUL=C:\WINDOWS\SYSTEM\ESTIER2.DLL
C:\WINDOWS\SYSTEM\ESTIER2.DLL=C:\WINDOWS\SYSTEM\SET42A7.TMP
NUL=C:\WINDOWS\SYSTEM\SCHANNEL.DLL
C:\WINDOWS\SYSTEM\SCHANNEL.DLL=C:\WINDOWS\SYSTEM\SET5090.TMP
NUL=C:\WINDOWS\fonts\COMIC.TTF
C:\WINDOWS\fonts\COMIC.TTF=C:\WINDOWS\COMIC.tt2
NUL=C:\WINDOWS\fonts\COMICBD.TTF
C:\WINDOWS\fonts\COMICBD.TTF=C:\WINDOWS\COMICBD.tt2
NUL=C:\WINDOWS\fonts\IMPACT.TTF
C:\WINDOWS\fonts\IMPACT.TTF=C:\WINDOWS\IMPACT.tt2
NUL=C:\WINDOWS\fonts\GEORGIA.TTF
C:\WINDOWS\fonts\GEORGIA.TTF=C:\WINDOWS\Georgia.tt2
NUL=C:\WINDOWS\fonts\GEORGIAB.TTF
C:\WINDOWS\fonts\GEORGIAB.TTF=C:\WINDOWS\Georgiab.tt2
NUL=C:\WINDOWS\fonts\GEORGIAI.TTF
C:\WINDOWS\fonts\GEORGIAI.TTF=C:\WINDOWS\Georgiai.tt2
NUL=C:\WINDOWS\fonts\GEORGIAZ.TTF
C:\WINDOWS\fonts\GEORGIAZ.TTF=C:\WINDOWS\Georgiaz.tt2
NUL=C:\WINDOWS\fonts\TREBUC.TTF
C:\WINDOWS\fonts\TREBUC.TTF=C:\WINDOWS\Trebuc.tt2
NUL=C:\WINDOWS\fonts\TREBUCBD.TTF
C:\WINDOWS\fonts\TREBUCBD.TTF=C:\WINDOWS\Trebucbd.tt2
NUL=C:\WINDOWS\fonts\TREBUCBI.TTF
C:\WINDOWS\fonts\TREBUCBI.TTF=C:\WINDOWS\Trebucbi.tt2
NUL=C:\WINDOWS\fonts\TREBUCIT.TTF
C:\WINDOWS\fonts\TREBUCIT.TTF=C:\WINDOWS\Trebucit.tt2
c:\windows\SYSTEM\cp_1250.nls=c:\windows\SYSTEM\cp_1250.001
c:\windows\SYSTEM\cp_1251.nls=c:\windows\SYSTEM\cp_1251.001
c:\windows\SYSTEM\cp_1258.nls=c:\windows\SYSTEM\cp_1258.001
c:\windows\SYSTEM\cp_1256.nls=c:\windows\SYSTEM\cp_1256.001
NUL=C:\WINDOWS\fonts\TAHOMA.TTF
C:\WINDOWS\fonts\TAHOMA.TTF=C:\WINDOWS\tahoma.tt2
NUL=C:\WINDOWS\fonts\TAHOMABD.TTF
C:\WINDOWS\fonts\TAHOMABD.TTF=C:\WINDOWS\tahomabd.tt2

--------------------------------------------------

C:\AUTOEXEC.BAT listing:

mode con codepage prepare=((850) c:\windows\COMMAND\ega.cpi)
mode con codepage select=850

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Toepassing Optimalisatie Start.job
Symantec NetDetect.job
Norton SystemWorks One Button Checkup.job

--------------------------------------------------

Enumerating Download Program Files:

[{093501ce-d290-11d3-a3d6-00c04fa32518}]
InProcServer32 = C:\Program Files\Oracle\JInitiator 1.1.7.27 Domestic\bin\beans.ocx

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\SWFLASH.OCX
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[HouseCall Besturing]
InProcServer32 = C:\WINDOWS\DOWNLO~1\XSCAN53.OCX
CODEBASE = http://a840.g.akamai.net/7/840/537/20011223/housecall.antivirus.com/housecall/xscan53.cab

[{0a454840-7232-11d5-b63d-00c04faedb18}]
InProcServer32 = C:\Program Files\Oracle\JInitiator 1.1.8.14\bin\beans.ocx

[{689ff870-2ac0-11d5-b634-00c04faedb18}]
InProcServer32 = C:\Program Files\Oracle\JInitiator 1.1.8.10\bin\beans.ocx

[Symantec RuFSI Registry Information Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUFSI.DLL
CODEBASE = http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab

[HouseCall Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\XSCAN51.OCX
CODEBASE = http://www.housecall.nl/housecall/xscan4.cab

--------------------------------------------------
End of report, 11.016 bytes
Report generated in 0,497 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
 
Het is yoq.exe en in de andere beschrijving van Jozo kan ik mijn bestanden ook niet herkennen.
 
Leg met behulp van Ctrl_Alt_Del DPLAYSVQ.EXE, Yoq.exe en vjom.exe stil, tenzij jij weet waar ze voor dienen natuurlijk.

Zorg dan dat de volgende niet meer opstarten:
yoq.exe

SUCATREF = C:\WINDOWS\OPTIONS\CABS\SUCATREF.EXE
DPLAYSVQ = C:\WINDOWS\SYSTEM\DPLAYSVQ.EXE
RNAAPO = C:\WINDOWS\SYSTEM\RNAAPO.EXE

hdw = vjom.exe

en spoor de bestanden op en noem ze om naar iets ongevaarlijks of verwijder ze.
Dan rebooten en even kijken of er dan nog rare dingen gaan lopen.

Groetjes,

Pieter
 
sucatref is een windows registratiebestand en dplaysvq is een directx bestand.
 
Het is heel goed mogelijk dat die bestandjes steeds de opstartlokaties weer terugschrijven.
Je moet dus die processen zien te stoppen en de bestanden onschadelijk zien te maken.
Probeer dan die drie waar je niet weet waar ze voor dienen weg te halen uit je opstartroutine.

Groetjes,

Pieter
 
Z-Dragon,

Doe dit:

Start op in de veilige modus. Je start op in de veilige modus door op F8 te drukken bij het opstarten. Ga eerst naar C:\WINDOWS\SYSTEM\ via de windows verkennen en verwijder daar Vjom.exe en Yoq.exe en leeg je prullenbak daarna.

Ga daana (nog steeds in de veilige modus) naar:

Start-uitvoeren-regedit-ok:


HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\run

Verwijder daar Vjom.exe en Yoq.exe. Restart de oc en normale modus.

Verwijder Norton en installeer hem opnieuw. Ga niet naar je email voordat je Norton opnieuw is geinstalleerd.
 
Geplaatst door Z-Dragon
sucatref is een windows registratiebestand en dplaysvq is een directx bestand.
Klik om te vergroten...

Beide onjuist. Er zijn geen Windowsbestanden van deze naam.

Het zijn alletwee virussen, evenals Rnaapo.exe.

Zoek maar eens met Google op deze bestandsnamen.

Ze zijn speciaal bedacht om verwarring te stichten met echte Windows files als sucatreG.exe, rnaapp.exe en Dplaysvr.exe

Verwijder de startups, en vind en verwijder die drie bestanden zelf, eventueel in Veilige Modus.

Groetjes,
 
Niet als je de bestanden zelf wist in Veilige Modus, lijkt me.

Heb je dat al geprobeerd?

Nog steeds in veilige Modus, wis je yoq.exe in Start > Programma's > Opstarten.

Vervolgens open je Regedit, en ga naar HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run.

Wis daar de volgende items in het rechtervenster:

SUCATREF = C:\WINDOWS\OPTIONS\CABS\SUCATREF.EXE
DPLAYSVQ = C:\WINDOWS\SYSTEM\DPLAYSVQ.EXE
RNAAPO = C:\WINDOWS\SYSTEM\RNAAPO.EXE

Vervolgens naar HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce waar je het volgende wist:

hdw = vjom.exe

Als je tenslotte weer opstart in Windows, horen ze echt weg te zijn.

Even on line laten scannen is ook geen slecht idee:

Trend Micro HouseCall

Panda Active Scan
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan