anoniem Geplaatst: 2 april 2004 Delen Geplaatst: 2 april 2004 Hallo, Bij de scan door Kaspersky Virusscanner worden Trojan.Spy.Win32.Briss.f en Trojan.Clicker.Win32.Delf.r gevonden. Als ik op delete klik dan kan Kaspersky deze niet verwijderen. Zij bevinden zich steeds op een andere plaats. Ook op C:\FOUND002 en C:\FOUND004 die ik in verkenner niet kan traceren. Ook op ProgramFiles\bridge.dll die ik niet kan vinden. Wie kan me helpen om die Tojans te verwijderen? Alvast bedankt. Jan Quote Link naar reactie
anoniem Geplaatst: 2 april 2004 Auteur Delen Geplaatst: 2 april 2004 Download [url=http://www.spywareinfo.com/~merijn/files/HijackThis.exe]HijackThis[/url]. Sla het bestand op in eigen map. Niet op je bureaublad of in je Temp-files. HijackThis maak namelijk backups in de map waar het opgestart wordt. Run het programma. Klik op scan, save log en sla het log op als een .txt bestand. Kopieer en plak de inhoud in je volgende bericht. Quote Link naar reactie
anoniem Geplaatst: 2 april 2004 Auteur Delen Geplaatst: 2 april 2004 Hallo Marc, Hierbij de nieuwe log-file: Logfile of HijackThis v1.97.7 Scan saved at 23:01:09, on 2-4-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Program Files\Ahead\InCD\InCD.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\WINDOWS\System32\WF2K.EXE C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\Program Files\Preventon\Personal Firewall\PFwall.exe C:\DOCUME~1\DHR~1.SMO\LOCALS~1\Temp\~ef7194.tmp C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Dhr. Smolders\Mijn documenten\Downlaods\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planet.nl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\\NVCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings O4 - HKLM\..\Run: [WinFoxV2] C:\WINDOWS\System32\WF2K.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Preventon Personal Firewall.lnk = C:\Program Files\Preventon\Personal Firewall\PFwall.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://195.18.69.102/activex/AxisCamControl.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab Wat te doen? Alvast bedankt. Jan Smolders. Quote Link naar reactie
anoniem Geplaatst: 3 april 2004 Auteur Delen Geplaatst: 3 april 2004 Dag Jan, Blijkbaar nog steeds last van dat 'oude probleem'. Heb even je vorige post nog eens doorgenomen want ik zie eigenlijk niks bijzonders in deze log. Het enige wat je kan laten repareren is nog steeds dat BackWeb-verhaal: O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe Kijk ik tussen je processen dan zie ik dit: C:\DOCUME~1\DHR~1.SMO\LOCALS~1\Temp\~ef7194.tmp Lijkt me ook raar. Ik kan het niet thuisbrengen. Bridge.dll zou, indien aanwezig, in je c:\Windows\system32\ map moeten zitten. Als je gaat zoeken op bestanden of mappen om te verwijderen, doe je dit bij voorkeur in [url=http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001052409420406]veilige modus[/url].Zorg ook dat alle [url=http://www.xtra.co.nz/help/0,,4155-1916458,00.html]verborgen bestanden weergegeven worden[/url]. Probeer ook eens te scannen op virussen in veilige modus. Doe ook eens een online-scan: http://www.tiscali.nl/actueel/cmult/viru/viru_center.asp Hopelijk kan je er iets mee. groeten Marc Quote Link naar reactie
anoniem Geplaatst: 3 april 2004 Auteur Delen Geplaatst: 3 april 2004 Wat ik nog mis in de verder uitstekende adviezen is dit: Het is vrij logisch dat je het bestand niet kan verwijderen, want het nestelt zich in de opstartbestanden. Bij een poging het te verwijderen krijg je dan zoals te verwachten de boodschap dat het bestand in gebruik is etc. Inderdaad zoals M@rc zegt is dan Veilige Modus de oplossing, want dan wordt de complete lijst van opstartbestanden overgeslagen. In feite heb je daarvoor HijackThis niet nodig. Jan de Boer Quote Link naar reactie
anoniem Geplaatst: 3 april 2004 Auteur Delen Geplaatst: 3 april 2004 Met HijackThis kan je de opstartbestanden uitschakelen. (zie de O4-items.) Quote Link naar reactie
anoniem Geplaatst: 4 april 2004 Auteur Delen Geplaatst: 4 april 2004 Beste Marc, EF7194.TMP en Backweb 8876480.exe zitten ook in in het venster Taakbeheer van Windows. Dit verklaart misschien de aanwezigheid in de log-file. Waar zouden die vandaan komen? Kunnen we hier iets mee? Graag bericht. Vriendelijk bedankt en groetend, Jan. Quote Link naar reactie
anoniem Geplaatst: 4 april 2004 Auteur Delen Geplaatst: 4 april 2004 Jan, Die 2 bestanden kan verwijderen in veilige modus. Die backweb moet je laten fixen door HijackThis. (zie in een vorige post) Wat heeft de onlin-scan opgeleverd? Heb je al een virusscan gedaan in veilige modus? grt Marc Quote Link naar reactie
anoniem Geplaatst: 4 april 2004 Auteur Delen Geplaatst: 4 april 2004 Beste Marc, Het blijkt toch een ingewikkeld probleem. Het wordt een uitdaging. De twee bestanden ~ef7194 (bij local settings/temp) en Backweb ... (in Hijackthis) heb ik in veilige modus verwijdert. In de veilige modus naar Taakbeheer gekeken en daar staan ze niet meer. Start ik de computer weer normaal op en ~ef7194.tmp staat weer in het Taakbeheervenster (1647 kb). Er wordt ergens iets geladen tijdens het starten, maar wat? Hieronder zie je 2 logfiles : 1. Uit de veilige modus Logfile of HijackThis v1.97.7 Scan saved at 18:25:31, on 4-4-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Documents and Settings\Dhr. Smolders\Mijn documenten\Downlaods\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planet.nl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\\NVCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings O4 - HKLM\..\Run: [WinFoxV2] C:\WINDOWS\System32\WF2K.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Preventon Personal Firewall.lnk = C:\Program Files\Preventon\Personal Firewall\PFwall.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://195.18.69.102/activex/AxisCamControl.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab 2. Nadat ik de computer wer normaal opgestart heb ~ef7194.tmp en Backweb ... staan er weer bij: Logfile of HijackThis v1.97.7 Scan saved at 18:33:49, on 4-4-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Program Files\Ahead\InCD\InCD.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\WINDOWS\System32\WF2K.EXE C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Preventon\Personal Firewall\PFwall.exe C:\DOCUME~1\DHR~1.SMO\LOCALS~1\Temp\~ef7194.tmp C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Documents and Settings\Dhr. Smolders\Mijn documenten\Downlaods\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planet.nl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\\NVCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings O4 - HKLM\..\Run: [WinFoxV2] C:\WINDOWS\System32\WF2K.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Preventon Personal Firewall.lnk = C:\Program Files\Preventon\Personal Firewall\PFwall.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://195.18.69.102/activex/AxisCamControl.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab Backweb ... staat in de Logitech groep. Heeft dit misschien iets met het toetsenbord te maken? Verder heb ik online proberen te scannen. Die doet het niet. Eerst krijg ik een schermpje met update Housecall. Nadat de drie regels doorlopen zijn moet er eigenlijk een schermpje komen warop je aan kunt geven wat er gescand moet worden. Dit schermpje krijg ik niet, dus kan ik ook niets aangeven. Bestaat er nog een andere manier? Vriendelijk groetend, Jan Smolders. [/b] Quote Link naar reactie
anoniem Geplaatst: 4 april 2004 Auteur Delen Geplaatst: 4 april 2004 Voor die backweb moet je deze twee regels fixen: O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe Verwijder na de herstart, bij voorkeur in de veilige mode, deze (eventueel nog) aanwezige bestanden of mappen (let op: Sommige kunnen verborgen staan dus eerst even dit uitvoeren: Start > instellngen > configuratiescherm > Mapopties > tabblad Weergave > klik "verborgen bestanden en mappen weergeven" en verwijder het vinkje bij Extensies voor bekende bestandstypen verbergen. > OK): C:\DOCUME~1\DHR~1.SMO\LOCALS~1\Temp\~ef7194.tmp <= dit bestand of leeg de hele "temp" map :cry: Ik zie ook niet hoe hij opgestart wordt.. Temp internet files ook al leeg gemaakt? Quote Link naar reactie
anoniem Geplaatst: 4 april 2004 Auteur Delen Geplaatst: 4 april 2004 Het wordt een uitdaging... In veilige modus maak je de volledige TEMP-map leeg. [quote:bded2a8ec1]Backweb ... staat in de Logitech groep. Heeft dit misschien iets met het toetsenbord te maken?[/quote:bded2a8ec1] Dit programma controleert of er nieuwe updates (drivers)zijn voor je toetsenbord. Kan ook op een andere manier. We zullen de Logitech Deskptop messenger ook uitschakelen. Misschien helpt dit. BLijft Backweb terugkomen dan gooi je het bestand BackWeb-8876480.exe in de prullenbak. BTW: Dit heeft echter niks met je trojan-probleem te maken. Probeer een andere online-scan: http://housecall.antivirus.com/housecall/start_corp.asp of http://www.pandasoftware.com/activescan/ of http://www.ravantivirus.com/scan/ Sluit alle open vensters. Run HijackThis nog een keer en laat volgende items repareren: O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe Quote Link naar reactie
anoniem Geplaatst: 4 april 2004 Auteur Delen Geplaatst: 4 april 2004 Quasi3, Je bent me net voor. Zie jij verder iets verdachts in de log? Ik het gevoel dat ik iets over het hoofd zie.. Enig idee wat dit C:\DOCUME~1\DHR~1.SMO\LOCALS~1\Temp\~ef7194.tmp tussen de lopende processen doet? Marc Quote Link naar reactie
anoniem Geplaatst: 4 april 2004 Auteur Delen Geplaatst: 4 april 2004 Hallo Mac en Quasi3, Dit is mijn actuele log. Ik zie Backweb ... en ~ef7194.temp niet meer staan. ~ef7194.temp staat wel weer in de Local Settings/Temp en ook weer in lopende processen. Ik heb via Housecall gescand. Hij vroeg me of ik het bestand Patchw32.dll wilde vervangen. Hier heb ik nee op geantwoord omdat ik het niet vertrouwde. Op het laatst krijg ik tijdens het scannen via Housecall de melding van Kaspersky dat er Trojans zitten in de file bi.dll in C:\Found\File002 en C:\Found\File004. Alsof als deze aangeraakt of bekeken worden een melding geven. Ik kan in verkenner of Deze Computer die map 'Found' niet vinden ook nadat ik het advies van Quasi3 i.v.m. verbrogen bestanden heb uitgevoerd. Logfile of HijackThis v1.97.7 Scan saved at 20:53:57, on 4-4-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Program Files\Ahead\InCD\InCD.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\WINDOWS\System32\WF2K.EXE C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Preventon\Personal Firewall\PFwall.exe C:\DOCUME~1\DHR~1.SMO\LOCALS~1\Temp\~ef7194.tmp C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Dhr. Smolders\Mijn documenten\Downlaods\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planet.nl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\\NVCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings O4 - HKLM\..\Run: [WinFoxV2] C:\WINDOWS\System32\WF2K.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Preventon Personal Firewall.lnk = C:\Program Files\Preventon\Personal Firewall\PFwall.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/7d90ae05585062/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://195.18.69.102/activex/AxisCamControl.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab Hoe verder? Jan. Quote Link naar reactie
anoniem Geplaatst: 4 april 2004 Auteur Delen Geplaatst: 4 april 2004 Found002 en Found004 zijn dat soms de quarantainemappen die Kaspersky aanmaakt. Probeer ze anders te verwijderen via het anti-virusprogramma. Quote Link naar reactie
anoniem Geplaatst: 4 april 2004 Auteur Delen Geplaatst: 4 april 2004 Ik heb in de map van Kaspersky gekeken. Bij het programma zelf gekeken. Helaas zonder reslultaat. bi.dll is ook niet te vinden in de veilige modus en ook niet met 'zoeken' (het programma van Windows) en ook niet in Mijn Computer. Wat vind u overigens van de log-file? Kunnen we nog verder zoeken? Jan. Quote Link naar reactie
anoniem Geplaatst: 4 april 2004 Auteur Delen Geplaatst: 4 april 2004 Tja Google geeft heel wat resultaten over dit bestand: http://groups.google.nl/groups?q=~ef7194.tmp&hl=nl&lr=&ie=UTF-8&oe=UTF-8&sa=N&tab=wg "These files are created by the SafeDisc2 protection mechanism incorporated" Heeft blijkbaar met een CD (game) te maken. heb je een CD in je speler zitten tijdens het maken van het logje ? Bi.dll als je hem niet meer kunt vinden zal hij nu wel weg zijn :lol: Quote Link naar reactie
anoniem Geplaatst: 4 april 2004 Auteur Delen Geplaatst: 4 april 2004 [quote:b9f70e90ac="smold037"] Wat vind u overigens van de log-file?[/quote:b9f70e90ac] Log ziet er goed. (uitgezonded C:\DOCUME~1\DHR~1.SMO\LOCALS~1\Temp\~ef7194.tmp - daar heb ik het nog wat moeilijk mee.) [quote:b9f70e90ac="smold037"] Kunnen we nog verder zoeken? [/quote:b9f70e90ac] Ik weet het niet. Je zou toch zeggen dat die 'FOUNDxxx'-mappen ergens moeten staan... edit: Mee leren leven misschien :( Quote Link naar reactie
anoniem Geplaatst: 4 april 2004 Auteur Delen Geplaatst: 4 april 2004 Beste Marc en Quasi3, De aanhouder wint. Ik kan de mappen "Found" wel vinden als in het Nero-programma. In het rijtje onder de vaste schijf staan ze te pronken. Het zijn er 6 te weten: C:\Found.000 t/m Found.005. In deze mappen zitten files: Herstelde Bestandsfragmenten Per map verschilt dit van 1 tot 10 files, genaamd file0001.chk, file0002.chk enz. Per map wel allemaal met dezelfde datum en dezelfde tijd. De grootte varieert van 16384 kb, 32768, 65536, 114688, 147456, 180224, 540672 tot 1064960 kb. Heeft dit misschien iets met defragmenteren te maken? Kan ik deze bestanden verwijderen? Bij het maken van de log zit er overigens geen CD in het apparaat. Bij het opstarten van mijn computer start er wel een programma: InCD. Heeft het hier misschien iets mee te maken. Ik hoor of zie graag jullie mening. Vriendelijk dank en groetend, Jan Smolders. Quote Link naar reactie
anoniem Geplaatst: 5 april 2004 Auteur Delen Geplaatst: 5 april 2004 Nee, die founddingen zijn backupfiles van ScanDisk --> als je copmputer weer eens crasht (laat me raden, XP? :P) draait scandisk, uit verloren clusters (clusters zonder bestandstoewijzingen) haaltie dan deze bestanden.. :) --> heeft niets met defragmenteren te maken en AFAIK kan je zze gewoon wissen :) Quote Link naar reactie
anoniem Geplaatst: 5 april 2004 Auteur Delen Geplaatst: 5 april 2004 [quote:c153fe7575="webspider"]Nee, die founddingen zijn backupfiles van ScanDisk --> als je copmputer weer eens crasht (laat me raden, XP? :P) draait scandisk, uit verloren clusters (clusters zonder bestandstoewijzingen) haaltie dan deze bestanden.. :) [/quote:c153fe7575] Die CHK's ken ik wel. Dat van die Founddingen wist ik niet. Weer wat geleerd. Toch raar dat in die mappen trojans gevonden worden? Quote Link naar reactie
Aanbevolen berichten
Om een reactie te plaatsen, moet je eerst inloggen