win32.Stepan.dr wil niet weg...

  • Onderwerp starter Onderwerp starter Mack
  • Startdatum Startdatum
Status
Niet open voor verdere reacties.
M

Mack

Terugkerende gebruiker
Lid geworden
1 jun 2001
Berichten
1.515
Kaspersky AVP herkent het wel, maar kan het niet verwijderen omdat het lopende processen betreft, denk ik...Als ik op Delete druk, krijg ik ook een blauw scherm te zien van XP, hetgeen wel te begrijpen is door die filetjes van explorer.exe

Een scan met Housecall leverde niets op. Bitdefender heeft hier geen aparte tool voor...Met msconfig zie ik geen vreemde dingen die opstarten. Ik heb volgens mij ook geen vreemde attachments geopend of gedownload. Alles is netjes op tijd geupdate...Sterker nog, win32.Stepan.dr zit bij de update van vandaag..

Win32.QQSendMess, VCL.309.b, Win32.HLLP.Lamfest,
Win32.Initx, Win32.Sality, Win32.Stepan.dr

http://www.avp.ch/E/dailyv2.stm

Iemand een idee hoe ik dit kan verwijderen zonder mijn Harde Schijf te hoeven formatteren?

ScreenHunter_001.jpg
 
Hoi, ook niet in veilige modus?

Groetjes
 
Mmm vergeten te vermelden :D
Nope ook in Veilige Modus wil 't niet weg...
 
Typ system.ini in start\uitvoeren [enter].

Zie je onder de bootsectie "shell=Explorer.exe" staan met daarachter nog iets?

Kijk ook in het register onder:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Zie je rechts iets "raars" staan?

Groetjes,
Bennie
 
Geplaatst door Bennie
Zie je rechts iets "raars" staan?
Klik om te vergroten...

Niet dat ik weet Bennie. Het ziet er allemaal redelijk normaal uit...

ScreenHunter_002.jpg

ScreenHunter_003.jpg
 
En onder deze sleutel?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Groetjes,
Bennie
 
Mmm vreemd..Die sleutel heb ik niet...

ScreenHunter_004.jpg
 
Sorry, je hebt gelijk (geldt alleen voor Win9*). Deze moeten het zijn:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Wat ik van het virus heb gelezen, is dat het een trojan is. Dat kan dus haast niet dat het een *.com of *.exe-bestand is. Mogelijk wordt dat vanuit het register opgestart. Je kan ook een Hijackthis-log posten als dat scannen écht niet gaat:

Download HijackThis. Uitleg en link vind je hier: <http://www.tomcoyote.org/hjt/>
Unzip en run het. Klik op Scan > Save log en sla het log op als een .txt bestand.
Kopieer en plak de inhoud in je volgende post.

Groetjes,
Bennie
 
ScreenHunter_005.jpg

ScreenHunter_006.jpg


En het resultaat van Hijack

Logfile of HijackThis v1.94.0
Scan saved at 17:29:39, on 27-May-03
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://wer-mit-wem.webhop.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=%SystemRoot%\system32\blank.htm
O1 - Hosts: 216.239.37.101 www.kazaagold.com
O1 - Hosts: 216.239.37.101 kazaagold.com
O1 - Hosts: 216.239.37.101 www.k-lite.com
O1 - Hosts: 216.239.37.101 www.kazaa-download.de
O1 - Hosts: 216.239.37.101 www.mp3downloadhq.com
O1 - Hosts: 216.239.37.101 www.easymusicdownload.com
O1 - Hosts: 216.239.37.101 easymusicdownload.com
O1 - Hosts: 216.239.37.101 www.mp3madeeasy.com
O1 - Hosts: 216.239.37.101 www.monstershare.com
O1 - Hosts: 216.239.37.101 www.kazaa-plus.net
O1 - Hosts: 216.239.37.101 kazaa-plus.net
O1 - Hosts: 216.239.37.101 www.kazaa-plus.com
O1 - Hosts: 216.239.37.101 www.edonkey.com
O1 - Hosts: 216.239.37.101 www.kazaa-file-sharing-downloads.com
O1 - Hosts: 216.239.37.101 www.kazaaplatinum.com
O1 - Hosts: 216.239.37.101 www.madeformusic.com
O1 - Hosts: 216.239.37.101 ikazaa.net
O1 - Hosts: 216.239.37.101 www.mp3u.com
O1 - Hosts: 216.239.37.101 www.mp3specialty.com
O1 - Hosts: 216.239.37.101 music-download-world.com
O1 - Hosts: 216.239.37.101 song-download-world.com
O1 - Hosts: 216.239.37.101 www.flixs.net
O1 - Hosts: 216.239.37.101 www.ishareit.net
O1 - Hosts: 216.239.37.101 www.ishareit.com
O1 - Hosts: 216.239.37.101 www.download-doctor.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O4 - HKLM\..\Run: [PopUpKiller] D:\PopUp Killer\PopUpKiller.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "D:\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "D:\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [DU Meter] D:\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Common Files\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [PCTVRemote] D:\Pinnacle\Remote\Remoterm.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall 1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKCU\..\Run: [StatBar] D:\StatBar\StatBar.exe
O4 - HKCU\..\Run: [Pulse] D:\Pulse\Pulse.exe -splash
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O8 - Extra context menu item: Download All by FlashGet - D:\FlashGet\jc_all.htm
O8 - Extra context menu item: Download Images by Pictures Finder - D:\Internet Pictures Finder\ipf_link.htm
O8 - Extra context menu item: Download using FlashGet - D:\FlashGet\jc_link.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .exe: D:\Opera\PLUGINS\NPFgc1.dll
O12 - Plugin for .mp3: D:\Opera\PLUGINS\NPFgc3.dll
O12 - Plugin for .msi: D:\Opera\PLUGINS\NPFgc1.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37695.3857060185
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
 
je zou nog iets anders kunnen proberen (zo heb ik geinfecteerde machines van 2 kennissen in 1 klap schoon gekregen) :

systeemherstel naar een datum waarvan je vermoedt / weet dat 't systeem niet geinfecteerd was !
 
Laatst bewerkt:
Er zitten nog wat resten van spyware op je computer:

Vink de onderstaande items aan, sluit alle IE, OE en verkenner vensters en klik op Fix checked:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://wer-mit-wem.webhop.net/
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O4 - HKCU\..\Run: [StatBar] D:\StatBar\StatBar.exe

Groetjes,

Pieter
 
Geplaatst door Pieter Arntz
Er zitten nog wat resten van spyware op je computer:

Vink de onderstaande items aan, sluit alle IE, OE en verkenner vensters en klik op Fix checked:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://wer-mit-wem.webhop.net/
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O4 - HKCU\..\Run: [StatBar] D:\StatBar\StatBar.exe

Groetjes,

Pieter
Klik om te vergroten...

Statbar is geen spyware...is gewoon een programma waarmee ik wat dingen in de gaten kan houden...
Maar inderdaad...ik heb al een week of zo geen Spybot of Ad-Aware gebruikt...Moet het maar even gaan doen...

Over dat virus..Ik heb geen flauw idee wat er is gebeurd, maar AVP geeft er geen melding meer van...Heb ook weer TrojanHunter geinstalleerd en laten draaien en ze vinden beiden niets meer....Beetje vreemd...

Maar iig iedereen bedankt die me heeft geholpen of dit heeft geprobeerd :thumb:
 
Mack,

Wat je in de toekomst in zo een geval moet doen als het weer gebeurd is het verwijderen in DOS.
Dat lukt altijd wel.
 
Windows XP heeft toch geen MS Dos?
En opstarten met een diskette lukt niet, omdat er geen diskettestation in mijn computer zit...
 
Geplaatst door Mack
Windows XP heeft toch geen MS Dos?
Klik om te vergroten...

Nee maar het heeft wel msdos prompt.
Zo moet je dan een virus verwijderen:
Start op in de veilige modus en ga naar start-uitvoeren-cmd-ok en verwijder het dan in DOS in de veilige modus.
 
Geplaatst door Mack


Statbar is geen spyware...is gewoon een programma waarmee ik wat dingen in de gaten kan houden...
Maar inderdaad...ik heb al een week of zo geen Spybot of Ad-Aware gebruikt...Moet het maar even gaan doen...
Klik om te vergroten...

Excuseer, ik heb een X zien staan en nam automatisch aan dat het spyware was:

StatBar  (system status bar) allows you to quickly get an overview of your system's condition (memory, CPU, uptime, and much more). Due to the sheer number of resources (over 60%) consumed by this program, it is unsuitable for Windows 95/98/SE/Me

Groetjes,

Pieter
 
Geplaatst door saldos


Nee maar het heeft wel msdos prompt.
Zo moet je dan een virus verwijderen:
Start op in de veilige modus en ga naar start-uitvoeren-cmd-ok en verwijder het dan in DOS in de veilige modus.
Klik om te vergroten...

Hoe weet ik welk filetje ik dan moet verwijderen?
 
Geplaatst door Mack


Hoe weet ik welk filetje ik dan moet verwijderen?
Klik om te vergroten...


Je zei: "Kaspersky AVP herkent het wel" en dus moet er ook in de logs van Kaspersky staan waar de trojan is.
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan