win32/hidrag virus

[sutton]

Ik heb m`n computer opnieuw geinstalleerd met een andere virusscanner (AVG) en deze heeft een virus gevonden.

Dit is win32 hidrag,avg heeft een gedeelte verwijderd maar er blijven 50 geinfecteerde files achter die niet verwijderd kunnen worden.

is hier een manier voor om deze toch kwijt te raken?

 

[Kleinkramer]

Symantec noemt dit virus W32.Jeefo:

http://securityresponse.symantec.com/avcenter/venc/data/w32.jeefo.html

Het raadt aan de geïnfecteerde bestanden te wissen,. dus ik vrees dat daar verder niets meer aan te doen is.

 

[khk464]

Hoi, hier heb je meer info:

http://forums.techguy.org/t146453/s3e6160597231b55c1b9fca04fb45c8ac.html

groetjes

 

[Kleinkramer]

Overigens, zou je eerst het volgende eens willen doen:

Ga naar http://tomcoyote.org/hjt/ , en download daar 'Hijack This'.

Uitpakken, en vervolgens dubbelklikken op HijackThis.exe.
Klik op "Scan", en vervolgens op "Save Log File" , en post vervolgens de inhoud van die log hier.

Laat Hijack This niets fixen vóórdat je ons die log hebt laten zien, want het meeste mag absoluut niet weg!

 

[khk464]

Hoi, Kleinkramer, ik was net te laat nu zie ik dat jij zelf op de link van mij staat.


Groetjes

 

[Kleinkramer]

LOL!

Inderdaad. Dat had ik zelf nog niet eens gemerkt...

 

[sutton]

virus

hier is de logfile:

Logfile of HijackThis v1.96.0
Scan saved at 15:18:09, on 11-8-2003
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS.000\SYSTEM\KERNEL32.DLL
C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE
C:\WINDOWS.000\SYSTEM\mmtask.tsk
C:\WINDOWS.000\SYSTEM\MPREXE.EXE
C:\WINDOWS.000\SYSTEM\MSTASK.EXE
C:\WINDOWS.000\SYSTEM\STIMON.EXE
C:\WINDOWS.000\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS.000\SYSTEM\ZONELABS\MINILOG.EXE
C:\PROGRAM FILES\GRISOFT\AVG6\AVGSERV9.EXE
C:\WINDOWS.000\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS.000\SYSTEM\DDHELP.EXE
C:\WINDOWS.000\EXPLORER.EXE
C:\WINDOWS.000\TASKMON.EXE
C:\WINDOWS.000\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\WINDOWS.000\POWERS.EXE
C:\WINDOWS.000\SYSTEM\HPZTSB07.EXE
C:\PROGRAM FILES\GRISOFT\AVG6\AVGCC32.EXE
C:\WINDOWS.000\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\WINDOWS.000\SYSTEM\SPOOL32.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZAPRO.EXE
C:\PROGRAM FILES\DIAMOND\INCONTROL TOOLS 99\DMHKEY.EXE
C:\PROGRAM FILES\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE
C:\PROGRAM FILES\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE
C:\WINDOWS.000\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\WINZIP\WZQKPICK.EXE
C:\PROGRAM FILES\WINZIP\WINZIP32.EXE
C:\WINDOWS.000\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.brommerhobby.tk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.or-budelpackpoortvliet.tk"); (C:\WINDOWS.000\Application Data\Mozilla\Profiles\default\u0foborw.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CPROGRAM%20FILES%5CNETSCAPE%5CNETSCAPE%5Csearchplugins%5CSBWeb_01.src"); (C:\WINDOWS.000\Application Data\Mozilla\Profiles\default\u0foborw.slt\prefs.js)
O3 - Toolbar: @msdxmLC.dll,-1@1043,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS.000\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS.000\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS.000\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NewsUpd] C:\Program Files\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [PowerS] "C:\WINDOWS.000\PowerS.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS.000\SYSTEM\hpztsb07.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS.000\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [PowerManager] C:\WINDOWS.000\SVCHOST.EXE
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS.000\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS.000\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS.000\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKLM\..\RunServices: [eSafe Protect] C:\Program Files\eSafe\Protect\SERV95.EXE
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
O4 - Startup: InControl Desktop Manager.lnk = C:\Program Files\Diamond\InControl Tools 99\DMHKEY.EXE
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Encoder Agent.lnk = C:\Program Files\Windows Media Components\Encoder\WMENCAGT.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4280/mcfscan.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2003071801/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {D32C3BAD-5213-49BD-A7D5-E6DE6C0D8249} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

 

[Kleinkramer]

Twee problemen:

O4 - HKLM\..\Run: [PowerS] "C:\WINDOWS.000\PowerS.exe"
O4 - HKLM\..\RunServices: [PowerManager] C:\WINDOWS.000\SVCHOST.EXE

Svchost.exe is zeker een worm of trojan, en PowerS heb ik nog nooit gezien. Enig idee waar dat bestand voor dient?

Laat Hijack This in ieder geval beide items fixen, start dan even opnieuw op, wis het bestand C:\WINDOWS.000\SVCHOST.EXE, en hernoem C:\WINDOWS.000\PowerS.exe naar PowerS.bak.

Draai daarna je antivirus nog eens.

 

[sutton]

virus

ik heb svchost.exe verwijderd,er zijn nog 4 files besmet.
dit zijn allen c:\restore\temp\a0017999.cpy files (behalve de cijfers op het eind)

Kan het dat dit met de systeemherstel funtie te maken heeft? (ik draai WIN ME)

Als ik deze files laat staan verspreid het virus zich dan weer?

 

[Kleinkramer]

Nee hoor; alleen indien je onverhoopt een backupo moet terugzetten middels System Restore bestaat daar een kansje toe.

Doe het volgende:

Ga naar Configuratiescherm/systeem/prestaties/bestandsysteem, en klik dan op het tabblad 'probleemoplossing'.

Vink 'de Optie System Restore uitschakelen' aan, klik op toepassen, en OK.
Start de computer opnieuw op wanneer het je gevraagd wordt. Bij het opstarten worden de in de Restore map opgeslagen gegevens gewist, je virus is weg, en System Restore wordt automatisch weer opgestart.

 

[sutton]

virus

Volgens m`n virusscanner ben ik weer virus vrij.

Dank voor de tips!

 

[Kleinkramer]

Graag gedaan.