Ga naar inhoud

Hoe kom van die Trojans af???


Aanbevolen berichten

Hallo, Bij de scan door Kaspersky Virusscanner worden Trojan.Spy.Win32.Briss.f en Trojan.Clicker.Win32.Delf.r gevonden. Als ik op delete klik dan kan Kaspersky deze niet verwijderen. Zij bevinden zich steeds op een andere plaats. Ook op C:\FOUND002 en C:\FOUND004 die ik in verkenner niet kan traceren. Ook op ProgramFiles\bridge.dll die ik niet kan vinden. Wie kan me helpen om die Tojans te verwijderen? Alvast bedankt. Jan
Link naar reactie
Download [url=http://www.spywareinfo.com/~merijn/files/HijackThis.exe]HijackThis[/url]. Sla het bestand op in eigen map. Niet op je bureaublad of in je Temp-files. HijackThis maak namelijk backups in de map waar het opgestart wordt. Run het programma. Klik op scan, save log en sla het log op als een .txt bestand. Kopieer en plak de inhoud in je volgende bericht.
Link naar reactie
Hallo Marc, Hierbij de nieuwe log-file: Logfile of HijackThis v1.97.7 Scan saved at 23:01:09, on 2-4-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Program Files\Ahead\InCD\InCD.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\WINDOWS\System32\WF2K.EXE C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\Program Files\Preventon\Personal Firewall\PFwall.exe C:\DOCUME~1\DHR~1.SMO\LOCALS~1\Temp\~ef7194.tmp C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Dhr. Smolders\Mijn documenten\Downlaods\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planet.nl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\\NVCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings O4 - HKLM\..\Run: [WinFoxV2] C:\WINDOWS\System32\WF2K.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Preventon Personal Firewall.lnk = C:\Program Files\Preventon\Personal Firewall\PFwall.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://195.18.69.102/activex/AxisCamControl.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab Wat te doen? Alvast bedankt. Jan Smolders.
Link naar reactie
Dag Jan, Blijkbaar nog steeds last van dat 'oude probleem'. Heb even je vorige post nog eens doorgenomen want ik zie eigenlijk niks bijzonders in deze log. Het enige wat je kan laten repareren is nog steeds dat BackWeb-verhaal: O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe Kijk ik tussen je processen dan zie ik dit: C:\DOCUME~1\DHR~1.SMO\LOCALS~1\Temp\~ef7194.tmp Lijkt me ook raar. Ik kan het niet thuisbrengen. Bridge.dll zou, indien aanwezig, in je c:\Windows\system32\ map moeten zitten. Als je gaat zoeken op bestanden of mappen om te verwijderen, doe je dit bij voorkeur in [url=http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001052409420406]veilige modus[/url].Zorg ook dat alle [url=http://www.xtra.co.nz/help/0,,4155-1916458,00.html]verborgen bestanden weergegeven worden[/url]. Probeer ook eens te scannen op virussen in veilige modus. Doe ook eens een online-scan: http://www.tiscali.nl/actueel/cmult/viru/viru_center.asp Hopelijk kan je er iets mee. groeten Marc
Link naar reactie
Wat ik nog mis in de verder uitstekende adviezen is dit: Het is vrij logisch dat je het bestand niet kan verwijderen, want het nestelt zich in de opstartbestanden. Bij een poging het te verwijderen krijg je dan zoals te verwachten de boodschap dat het bestand in gebruik is etc. Inderdaad zoals M@rc zegt is dan Veilige Modus de oplossing, want dan wordt de complete lijst van opstartbestanden overgeslagen. In feite heb je daarvoor HijackThis niet nodig. Jan de Boer
Link naar reactie
Beste Marc, Het blijkt toch een ingewikkeld probleem. Het wordt een uitdaging. De twee bestanden ~ef7194 (bij local settings/temp) en Backweb ... (in Hijackthis) heb ik in veilige modus verwijdert. In de veilige modus naar Taakbeheer gekeken en daar staan ze niet meer. Start ik de computer weer normaal op en ~ef7194.tmp staat weer in het Taakbeheervenster (1647 kb). Er wordt ergens iets geladen tijdens het starten, maar wat? Hieronder zie je 2 logfiles : 1. Uit de veilige modus Logfile of HijackThis v1.97.7 Scan saved at 18:25:31, on 4-4-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Documents and Settings\Dhr. Smolders\Mijn documenten\Downlaods\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planet.nl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\\NVCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings O4 - HKLM\..\Run: [WinFoxV2] C:\WINDOWS\System32\WF2K.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Preventon Personal Firewall.lnk = C:\Program Files\Preventon\Personal Firewall\PFwall.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://195.18.69.102/activex/AxisCamControl.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab 2. Nadat ik de computer wer normaal opgestart heb ~ef7194.tmp en Backweb ... staan er weer bij: Logfile of HijackThis v1.97.7 Scan saved at 18:33:49, on 4-4-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Program Files\Ahead\InCD\InCD.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\WINDOWS\System32\WF2K.EXE C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Preventon\Personal Firewall\PFwall.exe C:\DOCUME~1\DHR~1.SMO\LOCALS~1\Temp\~ef7194.tmp C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Documents and Settings\Dhr. Smolders\Mijn documenten\Downlaods\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planet.nl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\\NVCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings O4 - HKLM\..\Run: [WinFoxV2] C:\WINDOWS\System32\WF2K.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Preventon Personal Firewall.lnk = C:\Program Files\Preventon\Personal Firewall\PFwall.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://195.18.69.102/activex/AxisCamControl.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab Backweb ... staat in de Logitech groep. Heeft dit misschien iets met het toetsenbord te maken? Verder heb ik online proberen te scannen. Die doet het niet. Eerst krijg ik een schermpje met update Housecall. Nadat de drie regels doorlopen zijn moet er eigenlijk een schermpje komen warop je aan kunt geven wat er gescand moet worden. Dit schermpje krijg ik niet, dus kan ik ook niets aangeven. Bestaat er nog een andere manier? Vriendelijk groetend, Jan Smolders. [/b]
Link naar reactie
Voor die backweb moet je deze twee regels fixen: O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe Verwijder na de herstart, bij voorkeur in de veilige mode, deze (eventueel nog) aanwezige bestanden of mappen (let op: Sommige kunnen verborgen staan dus eerst even dit uitvoeren: Start > instellngen > configuratiescherm > Mapopties > tabblad Weergave > klik "verborgen bestanden en mappen weergeven" en verwijder het vinkje bij Extensies voor bekende bestandstypen verbergen. > OK): C:\DOCUME~1\DHR~1.SMO\LOCALS~1\Temp\~ef7194.tmp <= dit bestand of leeg de hele "temp" map :cry: Ik zie ook niet hoe hij opgestart wordt.. Temp internet files ook al leeg gemaakt?
Link naar reactie
Het wordt een uitdaging... In veilige modus maak je de volledige TEMP-map leeg. [quote:bded2a8ec1]Backweb ... staat in de Logitech groep. Heeft dit misschien iets met het toetsenbord te maken?[/quote:bded2a8ec1] Dit programma controleert of er nieuwe updates (drivers)zijn voor je toetsenbord. Kan ook op een andere manier. We zullen de Logitech Deskptop messenger ook uitschakelen. Misschien helpt dit. BLijft Backweb terugkomen dan gooi je het bestand BackWeb-8876480.exe in de prullenbak. BTW: Dit heeft echter niks met je trojan-probleem te maken. Probeer een andere online-scan: http://housecall.antivirus.com/housecall/start_corp.asp of http://www.pandasoftware.com/activescan/ of http://www.ravantivirus.com/scan/ Sluit alle open vensters. Run HijackThis nog een keer en laat volgende items repareren: O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
Link naar reactie
Hallo Mac en Quasi3, Dit is mijn actuele log. Ik zie Backweb ... en ~ef7194.temp niet meer staan. ~ef7194.temp staat wel weer in de Local Settings/Temp en ook weer in lopende processen. Ik heb via Housecall gescand. Hij vroeg me of ik het bestand Patchw32.dll wilde vervangen. Hier heb ik nee op geantwoord omdat ik het niet vertrouwde. Op het laatst krijg ik tijdens het scannen via Housecall de melding van Kaspersky dat er Trojans zitten in de file bi.dll in C:\Found\File002 en C:\Found\File004. Alsof als deze aangeraakt of bekeken worden een melding geven. Ik kan in verkenner of Deze Computer die map 'Found' niet vinden ook nadat ik het advies van Quasi3 i.v.m. verbrogen bestanden heb uitgevoerd. Logfile of HijackThis v1.97.7 Scan saved at 20:53:57, on 4-4-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Program Files\Ahead\InCD\InCD.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\WINDOWS\System32\WF2K.EXE C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Preventon\Personal Firewall\PFwall.exe C:\DOCUME~1\DHR~1.SMO\LOCALS~1\Temp\~ef7194.tmp C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Dhr. Smolders\Mijn documenten\Downlaods\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planet.nl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\\NVCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings O4 - HKLM\..\Run: [WinFoxV2] C:\WINDOWS\System32\WF2K.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Preventon Personal Firewall.lnk = C:\Program Files\Preventon\Personal Firewall\PFwall.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/7d90ae05585062/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://195.18.69.102/activex/AxisCamControl.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab Hoe verder? Jan.
Link naar reactie
Ik heb in de map van Kaspersky gekeken. Bij het programma zelf gekeken. Helaas zonder reslultaat. bi.dll is ook niet te vinden in de veilige modus en ook niet met 'zoeken' (het programma van Windows) en ook niet in Mijn Computer. Wat vind u overigens van de log-file? Kunnen we nog verder zoeken? Jan.
Link naar reactie
Tja Google geeft heel wat resultaten over dit bestand: http://groups.google.nl/groups?q=~ef7194.tmp&hl=nl&lr=&ie=UTF-8&oe=UTF-8&sa=N&tab=wg "These files are created by the SafeDisc2 protection mechanism incorporated" Heeft blijkbaar met een CD (game) te maken. heb je een CD in je speler zitten tijdens het maken van het logje ? Bi.dll als je hem niet meer kunt vinden zal hij nu wel weg zijn :lol:
Link naar reactie
[quote:b9f70e90ac="smold037"] Wat vind u overigens van de log-file?[/quote:b9f70e90ac] Log ziet er goed. (uitgezonded C:\DOCUME~1\DHR~1.SMO\LOCALS~1\Temp\~ef7194.tmp - daar heb ik het nog wat moeilijk mee.) [quote:b9f70e90ac="smold037"] Kunnen we nog verder zoeken? [/quote:b9f70e90ac] Ik weet het niet. Je zou toch zeggen dat die 'FOUNDxxx'-mappen ergens moeten staan... edit: Mee leren leven misschien :(
Link naar reactie
Beste Marc en Quasi3, De aanhouder wint. Ik kan de mappen "Found" wel vinden als in het Nero-programma. In het rijtje onder de vaste schijf staan ze te pronken. Het zijn er 6 te weten: C:\Found.000 t/m Found.005. In deze mappen zitten files: Herstelde Bestandsfragmenten Per map verschilt dit van 1 tot 10 files, genaamd file0001.chk, file0002.chk enz. Per map wel allemaal met dezelfde datum en dezelfde tijd. De grootte varieert van 16384 kb, 32768, 65536, 114688, 147456, 180224, 540672 tot 1064960 kb. Heeft dit misschien iets met defragmenteren te maken? Kan ik deze bestanden verwijderen? Bij het maken van de log zit er overigens geen CD in het apparaat. Bij het opstarten van mijn computer start er wel een programma: InCD. Heeft het hier misschien iets mee te maken. Ik hoor of zie graag jullie mening. Vriendelijk dank en groetend, Jan Smolders.
Link naar reactie
Nee, die founddingen zijn backupfiles van ScanDisk --> als je copmputer weer eens crasht (laat me raden, XP? :P) draait scandisk, uit verloren clusters (clusters zonder bestandstoewijzingen) haaltie dan deze bestanden.. :) --> heeft niets met defragmenteren te maken en AFAIK kan je zze gewoon wissen :)
Link naar reactie
[quote:c153fe7575="webspider"]Nee, die founddingen zijn backupfiles van ScanDisk --> als je copmputer weer eens crasht (laat me raden, XP? :P) draait scandisk, uit verloren clusters (clusters zonder bestandstoewijzingen) haaltie dan deze bestanden.. :) [/quote:c153fe7575] Die CHK's ken ik wel. Dat van die Founddingen wist ik niet. Weer wat geleerd. Toch raar dat in die mappen trojans gevonden worden?
Link naar reactie

Om een reactie te plaatsen, moet je eerst inloggen

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Herstel opmaak

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
×
  • Nieuwe aanmaken...