paardengek Geplaatst: 31 maart 2008 Geplaatst: 31 maart 2008 Goedemorgen, Mijn deense kennissen hebben sinds gister een vervelende popup op het bureaublad. Deze popup vermeldt, dat er spyware is gedetecteerd en verzoekt om op een link te drukken. Ik heb mijn kennissen met klem ontraden om op die link te drukken. De popup verschijnt onmiddelijk na windows start op het bureaublad en het achtergrond van het bureaublad is niet meer gevuld met de ingestelde foto. In de veilige modes verschijnt de popup niet. Het betreft een deense windows xp computer. Hier de Hijackthis log file: Logfile of HijackThis v1.99.1 Scan saved at 20:55:15, on 30-03-2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\Programmer\CA\eTrust Antivirus\InoRpc.exe C:\Programmer\CA\eTrust Antivirus\InoRT.exe C:\Programmer\CA\eTrust Antivirus\InoTask.exe C:\Programmer\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\System32\svchost.exe C:\Documents and Settings\All Users\Application Data\dkreruhc\nwfklabk.exe C:\WINDOWS\zHotkey.exe C:\Programmer\Java\jre1.6.0_05\bin\jusched.exe C:\WINDOWS\system32\qttask.exe C:\Programmer\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programmer\CA\eTrust Antivirus\Realmon.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\rcfsvqba.exe C:\Programmer\Windows Media Player\WMPNSCFG.exe C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe C:\Programmer\Internet Explorer\iexplore.exe C:\Programmer\Outlook Express\msimn.exe C:\Documents and Settings\Anneke\Dokumenter\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer leveret af DLG Tele R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmer\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar3.dll O3 - Toolbar: stfngdvw - {E0BF9DFC-70C4-4A6A-B57C-28AC00C74E5D} - C:\WINDOWS\stfngdvw.dll O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [CHotkey] zHotkey.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmer\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime O4 - HKCU\..\Run: [swg] C:\Programmer\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Realmon] C:\Programmer\CA\eTrust Antivirus\Realmon.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [bbfydhty] C:\WINDOWS\system32\rcfsvqba.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmer\Windows Media Player\WMPNSCFG.exe O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_05\bin\ssv.dll O11 - Options group: [iNTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=http://www.dlg.dk O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5...b?1102509702906 O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=19588 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates - C:\Programmer\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates - C:\Programmer\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmer\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programmer\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programmer\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programmer\CA\eTrust Antivirus\InoTask.exe O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Programmer\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe Dit vertrouw ik niet: zHotkey.exe Maar ik wil proberen om op afstand deze computer te ontdoen van zijn spyware rommel. De gebruiker in denemarken is geen computer expert. Wat is de beste methode hiervoor ? Ik denk om via een bepaald programma even de besturing van die pc over te nemen. Welke is eenvoudig te installeren op de besmette pc ? Met vriendelijke groet, paardengek Door veel lezen en prutsen kom je er wel!
Jan Ambers Geplaatst: 31 maart 2008 Geplaatst: 31 maart 2008 Er is veel te veel tijdens de opstart geaktiveerd om het vlot te kunnen zeggen wat juist! Heb ook al zoiets soortgelijks meegemaakt en was een opdracht, een exe file die geaktiveerd werd en die in de windows/system32 dir zat... En aangezien er zo veel in zit zal dit wel een moeilijke opdracht worden!!!
paardengek Geplaatst: 31 maart 2008 Auteur Geplaatst: 31 maart 2008 Het is inderdaad een moeilijke opdracht, maar het is van mij dan ook een uitdaging. Die hotkey kan waarschijnlijk alleen in de veilige modes worden verijderd. Maar daar hoort vast ook een .dll bestand bij. Welke dat is ? Om er heen te rijden, vind ik nu net wat te gek. Ik ben in het paas weekend bij hun geweest. Met vriendelijke groet, paardengek Door veel lezen en prutsen kom je er wel!
Jan Ambers Geplaatst: 31 maart 2008 Geplaatst: 31 maart 2008 In vlaanderen zegt men:"Elk kent zijnen zot"... Maar anders gezegd hij zou moeten weten welke progr er geaktiveerd worden op zijn systeem tijdens de opstart! Aan de hand daarvan kan ie er een aantal verwijderen die niet "noodzakelijk zijn, soms lukt dit met Hijackthis soms moet er Unlocker bij gebruikt worden... Soms kunnen idd bepaalde "vreemde" *.dll files de oorzaak zijn, vooral als juf of meneer "vreemd" zijn geweest Ik zou d'r ne hoop rommel uithalen en me beperken tot het nodige tijdens de opstart. Als ie zijn virscanner aktiveerd en zijn systeem opnieuw laat scannen, moet ie toch wat vinden? Spybot S&D helpt ook wel!
paardengek Geplaatst: 31 maart 2008 Auteur Geplaatst: 31 maart 2008 Het systeem is gescand door: Trust antivirus AVG spyware 7.5 Resultaat: Niets gevonden, maar toch is de spyware actief. Citaat: Soms kunnen idd bepaalde "vreemde" *.dll files de oorzaak zijn, vooral als juf of meneer "vreemd" zijn geweest Ik denk hier sterk aan. Misschien dat adware van lavasoft nog uitkomst biedt. Maar, eigenlijk zoek ik een programma, zodat ik even die computer op afstand beheer. Met vriendelijke groet, paardengek Door veel lezen en prutsen kom je er wel!
WPW Geplaatst: 31 maart 2008 Geplaatst: 31 maart 2008 Origineel bericht van: paardengek Maar, eigenlijk zoek ik een programma, zodat ik even die computer op afstand beheer. Met vriendelijke groet, paardengek Al vaker aanbod geweest hiero, teamviewer. gr, WPW. -=[Deze ruimte is opzettelijk leeg gelaten]=-
paardengek Geplaatst: 31 maart 2008 Auteur Geplaatst: 31 maart 2008 Oké. Bedankt voor je tip. Ik zal vanavond laat eens op onderzoek uit via google en via sat4all. Met vriendelijke groet, paardengek Door veel lezen en prutsen kom je er wel!
Gast Richard7 Geplaatst: 31 maart 2008 Geplaatst: 31 maart 2008 Ik zou deze eens snel verwijderen: C:\Documents and Settings\All Users\Application Data\dkreruhc\nwfklabk.exe en deze is ook niet helemaal koosjer imo: C:\WINDOWS\system32\rcfsvqba.exe Met een snelle Google zoekopdracht kan ik ze ook niet vinden ... Zo te zien worden ze 'gewoon' geladen bij het opstarten en zou je ze met behulp van MsConfig kunnen uitvinken. Voor remote toegang kun je kijken naar de Remote Desktop van Windows zelf of UltraVNC.
Ome Merde Geplaatst: 31 maart 2008 Geplaatst: 31 maart 2008 1. online scan met bitdefender : http://www.bitdefender.com/scan8/ie.html 2. spyware-scan met ad-aware ( klik ) 3. spyware-scan met spybot ( klik ) 4. rotzooi ff opruimen met CrapCleaner ( klik ) knappe spyware die dan nog overleefd. eventueel na bovenstaande scans nog even een hijackthis-logje plaatsen check ook ff wat er allemaal geladen met msconfig merDe deze ruimte is te huur
paardengek Geplaatst: 31 maart 2008 Auteur Geplaatst: 31 maart 2008 Ik zal het één en ander nog nalezen. Ik probeer aankomende zaterdag deze rotzooi van afstand eraf te halen. Bedankt voor de tips. Met vriendelijke groet, paardengek Door veel lezen en prutsen kom je er wel!
paardengek Geplaatst: 5 april 2008 Auteur Geplaatst: 5 april 2008 Goedemorgen, Mooi programma, teamviewer. Maar even één vraag: ik ben nu via teamviewer ingelogd op de besmette pc. Deze pc heeft nu als gebruiker: administrator rechten. Maar via teamviewer heb ik dat dus niet. En eigenlijk wil ik een proces stoppen via: taskmgr.exe Dan krijg ik een popup te zien, dat ik geen administrator rechten heb. Hoe kan administrotor rechten dit wel krijgen ? P.S. De moeilijkheidsgraad is dat de besmette pc op Deenstalige windows xp draait. Met vriendelijke groet, paardengek Door veel lezen en prutsen kom je er wel!
paardengek Geplaatst: 5 april 2008 Auteur Geplaatst: 5 april 2008 Ik denk dat ik de pc schoon heb. Het viel niet mee. Zo was taskmgr.exe uitgeschakeld in het register. TrojanDownloader.XS was de boosdoener. Gescand met: Malwarebytes Antimalware. Deze haalden via een reboot trojan.fake.alert eruit ( rcfsvqba.exe; dwltqnmx.exe en stfnguvw.dll ) Ook verdween rogue pccleaner. En ook verdween deze: trojan_agent mssecu.exe / Itunesmusic.exe Daarna Tuneup-utility 2007 ; adware 2007 en Cccleaner gedraaid. Toen bleef ik nog zitten met zHotkey.exe. Even in het register aan het rommelen geweest: Twee register sleutels verwijderd: local_machiene/software/microsoft/windows/CurrentVersion/policies Daarna was taskmgr.exe op te starten en kon deze zHotkey.exe stoppen en verwijderen. Nu nog even systeem herstel uit en daarna weer inschakelen. En dan draait het weer zo als het moet: Logfile of HijackThis v1.99.1 Scan saved at 14:49:25, on 05-04-2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programmer\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\System32\svchost.exe C:\Programmer\CA\eTrust Antivirus\InoRpc.exe C:\Programmer\CA\eTrust Antivirus\InoRT.exe C:\Programmer\CA\eTrust Antivirus\InoTask.exe C:\Programmer\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmer\Java\jre1.6.0_05\bin\jusched.exe C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Programmer\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programmer\CA\eTrust Antivirus\Realmon.exe C:\Programmer\Windows Media Player\WMPNSCFG.exe C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe C:\WINDOWS\system32\HPZipm12.exe C:\Documents and Settings\Anneke\temp\TeamViewer3\TeamViewer.exe C:\Documents and Settings\Anneke\Dokumenter\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer leveret af DLG Tele R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmer\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar3.dll O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmer\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [swg] C:\Programmer\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Realmon] C:\Programmer\CA\eTrust Antivirus\Realmon.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmer\Windows Media Player\WMPNSCFG.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_05\bin\ssv.dll O11 - Options group: [iNTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=http://www.dlg.dk O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmer\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5...b?1102509702906 O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=19588 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmer\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates - C:\Programmer\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates - C:\Programmer\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmer\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programmer\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programmer\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programmer\CA\eTrust Antivirus\InoTask.exe O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Programmer\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe Bedankt voor de tips, Met vriendelijke groet, paardengek Door veel lezen en prutsen kom je er wel!
Aanbevolen berichten
Maak een account aan of log in om te reageren
Je moet een lid zijn om een reactie te kunnen achterlaten
Account aanmaken
Registreer voor een nieuwe account in onze community. Het is erg gemakkelijk!
Registreer een nieuwe accountInloggen
Heb je reeds een account? Log hier in.
Nu inloggen