Archief - klote trojan

hallo
kzit met een irritante virus denk ik
telkens ik IE opstart krijg ik melding van norton antivirus dat em trojan heeft gedelete, tegelijkertijd kommek op zo ne louche site terecht en daarna foutmelding van IE
heb al gescant op virussen, vindt niks, ook adaware vindt niks meer, heb temporary internet verwijderd, cookies, alles maar da blijft maar doorgaan

wa zou k nog kunnen doen? Liefst geen format..

IE settings op standaard zetten &/of hijackthis logje posten

allo
ik heb gedaan wa dit me voorstelde:
http://securityresponse.symantec.com/avcenter/venc/data/downloader.trojan.html

maar t komt nogaltijd terug ze alsek trug in normal mode zit
en wa is hijack

heeeeeelp

mss eens andere anti virus gebruiken zoals kaspersky
www.kaspersky.com

hallo
heb nu hijackthis log
kunnen jullie me helpen

Logfile of HijackThis v1.99.0
Scan saved at 17:37:08, on 4/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\AdStatus Service\AdStatServ.exe
C:\WINDOWS\System32\hiden.exe
C:\Program Files\AdStatus Service\AdStatKeep.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\telcmd.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\DOCUME~1\Wim\LOCALS~1\Temp\tmp50.tmp
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\tmpf00.exe
C:\WINDOWS\System32\dload.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.allwebsearcher.com/?said=1212
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.allwebsearcher.com/?said=1212
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.allwebsearcher.com/?said=1212
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll (file missing)
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKLM\..\Run: [hiden.exe] hiden.exe
O4 - Startup: winupdate83034947[1].exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4416/mcfscan.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/15008/CTPID.cab
O21 - SSODL: NTWSMON - {25BE650E-7B5F-4658-B4D1-85F3485BCB63} - C:\WINDOWS\System32\rdpcphbk.dll
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Manageer Network Connections - Unknown - C:\WINDOWS\System32\telcmd.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Working Network Connections - Unknown - C:\WINDOWS\System32\hicom.exe
O23 - Service: Ulead Burning Helper - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

vooral die hiden.exe lijkt me verdacht
da duikt zo om de halve second op in processing scherm maar kan da ni afzette

hmmm nu blijkt het te gaan om deze virus (trojan):
Backdoor.Haxdoor.D
ben m proberen aant wegkrijgen maar tis ni echt simpel pff

Start in veilige modus met netwerkondersteuning.
Scan on line op virussen.
C:\WINDOWS\System32\tmpf00.exe trojaan

Stuur C:\Program Files\AdStatus Service\ ,C:\WINDOWS\System32\dload.exe en C:\WINDOWS\System32\tmpf00.exe naar de prullenmand.
Verwijder:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.allwebsearcher.com/?said=1212
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.allwebsearcher.com/?said=1212
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.allwebsearcher.com/?said=1212
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll (file missing)
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKLM\..\Run: [hiden.exe] hiden.exe
O4 - Startup: winupdate83034947[1].exe
O21 - SSODL: NTWSMON - {25BE650E-7B5F-4658-B4D1-85F3485BCB63} - C:\WINDOWS\System32\rdpcphbk.dll


Deze twee zijn verdacht(zeer zeldzaam); tenzij je weet wat het is, zou ik ze ook afvinken. Als ze toch nodig zijn, kan je ze met de backupfunctie van hijackthis terugzetten.
O23 - Service: Manageer Network Connections - Unknown -
C:\WINDOWS\System32\telcmd.exe
O23 - Service: Working Network Connections - Unknown - C:\WINDOWS\System32\hicom.exe

hey ik heb net ook die crap gehad met dload.exe,tmpf00.exe etc. (backdoor-h)

is een zeer nasty dingske slaagt alle paswoorden die je opgeslagen hebt in internet explorer, in files op in de system32 dir samen met alles wat je in typt, programma's die runnen en paswoorden die je in typt. nadien upload hij ze ergens naar toe.

wat hier boven vermeld staat gaat hem niet helemaal verwijderen althans niet met de versie die ik had en die recent de ronde doet. (wordt niet gedetect door enige antispywar, juist laatste geupdate spybot geeft nen hint door iets te zeggen over klogini.dll, een van de files die gebruikt worden.)

ge moet uw system 32 dir maar is controleren, komen altijd paar bestandjes terug zoals mszx23.exe, p2.ini, kio5.sys, een paar .a3d files dier er niet horen te staan. Bekijk je ze met een hexeditor en je zult zien dat in sommige van die files de paswoorden opgeslagen werden en andere informatie / data. De headers komen ook ni overeen, klogini.dll heeft totaal geen dll header maw is fileke gewoon genoemd als een .dll om u in de lure te legge)

onder staande site geeft meer uitleg, je kan het best is controleren of die files ook aanwezig zijn bij, en ze is bezien voor ge ze wist zodat ge weet welke informatie (paswoorden) juist gepikt geweest waren door diene trojan (as ze doorgestuurd zijn, men firewall reageerde constant, en liet het blokere). tis vrij simple wat ge moet doen, ge moet gewoon eerst die reg entry die wissen. en nadien de files wissen terwijl windows niet geladen is (dus niet in safe mode / normal mode). bvb linux,fat32 winschijf -> w9x bootdisk, w9x bootdisk met ntfs loaderke, xp cd -> repair command prompt etc..

http://forums.maddoktor2.com/index.php?showtopic=2659

hmm moestek nu gewoon toch maar formatteren

want ik begrijp er ni echt zoveel van

je moet die bestanden verwijderen, maar je mag windows daarvoor niet gebruiken
dus je moet linux, ... gebruiken en via die site alle acties ondernemen om het virus te verwijderen

hmm ja ik heb hier geen linux bij de hand
via winxp cd en dan repair mode gaat ook ni want m kent mn harde schijven ni ofzo

probeer eens via dos ofzo
te downloaden op www.freedos.org

shit ik denk dak er eindelijk vanaf ben
kheb ook et bestandje gevonde da al mn paswoorden opgeslagen heeft, toch stuk of 20-30
als da effectief werd doorgestuurd naar iemand hoopek dat da toch geen nare gevolgen zal hebben voor mij

ja staken hier ook paar belangrijke zakes in, ie geen paswoorden meer late opslagen is een oplossing, maar dan kunne ze nog altijd aan uw email paswoorden etc.

as ge wilt zeker zijn dat em weg is, moete gewoon uw system32 dir bezien, als ge die trojan gedeeltelijk verwijderd, zal em bij eerste volgende login, alle files teruggezet hebben. als ze niet terugkomen zeder vanaf, anders niet