Archief - WTF (virussen)

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
g

gerto

Legacy Member
Ik heb dus zojuist een pc volledig geïnstalleerd:
splinternieuwe HD van vanmorgend,
dus, ik installeer win xp
ik installeer office
ik installeer 2 bekende boekhoudprogramma's (pc is nie v mij :) )
ik installeer norton antivirus
ik reboot en eens ik connect op internet :
hopen virussen, startpagina verandert, als ik google.be opvraag krijg'k 1 of andere zoekpagina enzo,
leg mij nu is uit how the **** da kan , ik snap het echt nie,
ik had dat een tijdje geleden hier ook al, exact hetzelfde,
toen waren er zoveel problemen dat ik pc naar mij thuis mee had moeten nemen, thuis volledige format gedaan, geen problemen
ma nu heb ik die hier weeral moeten formatteren en nieuwe schijf en al: hier terug hopen virussen, ik vroegm ij af: kan die modem geïnfecteerd raken ofzo, want ik snap het nie echt :)
het virus dat hier nu juist weeral opspringt v norton is
W32.sasser.e.worm ,
volledige controle enzo heb'k al gedaan, maar dan verwijdert hij er een tiental , maar direct weer hoop terug enzo, hoe kan da nu :confused:
norton is volledig ge-update enzo

edit: ff voor de info: als'k naar bv google ga of yahoo ofzo krijg'k zo een searchsite: http://start-page.info/?u=1526&error=www.yahoo.com
s

st3ph3n

Legacy Member
Ik neem aan dat je geformatteerd hebt ?
Staat die pc in netwerk ?

Virussen in de installatiebestanden is ook een mogelijkheid...

Steven
F

FuLcRuM

Legacy Member
da is nen browser hijack...

ma het is echt een merde, ge krijgt'm ni weg met adaware ofzo...

probeer CWShredder eens...

Ik geloof da er een speciaal removal toolke voor bestaat...

Hij linkt alle zoekpagina's naar die 1 pagina éh...

Vandaag nog op het werk erover gehad...

Probeer CWShredder :)
j

j .

Legacy Member
Een format verwijdert geen bootsector-virussen. Als er nog een oude harde schijf inzit(zelfs geformatteerd), is het mogelijk: van zodra ze wordt aangesproken, kan de besmetting al in het geheugen zitten.

Oplossing: vanop een onbesmette computer een bootcd /beschermde floppy('s) maken die ook een antivirus bevatten.

b.v. vantrendmicro

De startpagina is normaal eenvoudig te verwijderen: klik onderaan op: if problem.

Het blijft inderdaad een vreemde besmetting :wtf:
en ik denk niet dat een modem-virus bestaat...
F

FuLcRuM

Legacy Member
j . zei:
Een format verwijdert geen bootsector-virussen. Als er nog een oude harde schijf inzit(zelfs geformatteerd), is het mogelijk: van zodra ze wordt aangesproken, kan de besmetting al in het geheugen zitten.

Oplossing: vanop een onbesmette computer een bootcd /beschermde floppy('s) maken die ook een antivirus bevatten.

b.v. vantrendmicro

De startpagina is normaal eenvoudig te verwijderen: klik onderaan op: if problem.

Het blijft inderdaad een vreemde besmetting :wtf:
en ik denk niet dat een modem-virus bestaat...
Klik om te vergroten...

Ge kunt ook uwen boot sector laten herschrijven met Installatie Repareren van Win XP als ge boot met CD :)

Helpt da dan ni?
g

gerto

Legacy Member
zoals ik zei , de harde schijf is vanmorgend gekocht :)
voor de rest, foute installatiebestanden, denk't niet
ik heb ze allemaal al op andere pc's meermaals gebruikt en ze zijn ook wel (bijna) allemaal volledig legaal :)
en thx voor die CWSredder alvast :) heeft al een deel van men problemen weggedaan :)
mijn vraag blijft wel: waar komt da virus vandaan :confused: Logfile of HijackThis v1.97.7
Scan saved at 23:29:14, on 3/08/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\Linux.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\foumg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Dolf\Local Settings\Temporary Internet Files\Content.IE5\BRJMINL0\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Microsoft Update Machine] Linux.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [lsasss.exe] C:\WINDOWS\lsasss.exe
O4 - HKLM\..\Run: [TCP/IP PerfManager] ddmhj.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] Linux.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [TCP/IP PerfManager] ddmhj.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update Machine] Linux.exe
O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C66409E-5DCE-42A6-91D4-31702A9CE5EA}: NameServer = 195.238.2.21 195.238.2.22
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C66409E-5DCE-42A6-91D4-31702A9CE5EA}: NameServer = 195.238.2.21 195.238.2.22


maar ik denk er nu aan: er is ook een back up schijf
die zat in maar door een aantal problemen was die nog niet door windows herkend en officieel nog niet geïnstalleerd, is het mogelijk dat die schijf (hoewel nog niet herkend door windows enz) virussen overzet?

edit:
ik weet niet of jullie hier iets aanhebben?
Logfile of HijackThis v1.97.7
Scan saved at 23:29:14, on 3/08/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\Linux.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\foumg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Dolf\Local Settings\Temporary Internet Files\Content.IE5\BRJMINL0\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Microsoft Update Machine] Linux.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [lsasss.exe] C:\WINDOWS\lsasss.exe
O4 - HKLM\..\Run: [TCP/IP PerfManager] ddmhj.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] Linux.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [TCP/IP PerfManager] ddmhj.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update Machine] Linux.exe
O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C66409E-5DCE-42A6-91D4-31702A9CE5EA}: NameServer = 195.238.2.21 195.238.2.22
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C66409E-5DCE-42A6-91D4-31702A9CE5EA}: NameServer = 195.238.2.21 195.238.2.22


deze is wel gemaakt terwijl allerlei scanners nog volop bezig zijn , kverander hem svs wel
wat me nu drect opvalt is die wuam.exe en lsass.exe, zijn normale bestanden vermoed'k ,
maar ik weet uit vorige virusproblemen dat die toen geïnfecteerd waren,
allé ja, ik hoop dat jullie mij nog verder kunnen helpen
c

clubje

Legacy Member
Vanaf als ge online gaat zijt te ge toch kwetsbaar?

Eerste wat je moet doen na een installatie van een nieuwe pc is een firewall, windows security updates, goeie anti-virus, spywaretools om te voorkomen dat er spyware opkomt, enz...
dus misschien na 1 minuut online te zijn gegaan allemaal shit in uw pc gekregen?

ik zeg maar iets, ik ben nie de kenner :doh:
g

gerto

Legacy Member
mja, maar bij mij thuis, waar ik uren per dag bezig ben en niet meer beveiliging heb als hier heb ik helemaal geen last? :)

whatever, nieuw probleem:
NAV start niet meer op en ctrl alt del werkt niet meer :)
ik ga svs wel is in veilige modus virusscan doen, hoop dat dat helpt
g

gerto

Legacy Member
jep , zoals ik hierboven zei heeft dat een deel van men problemen weggedaan ;)
ik heb dus zonet een volledige virusscan gedaan in veilige modus en hij had 3 dingen gevonden waarvan hij er geen enkele kon verwijderen,
ik heb er 2 manueel verwijderd, jep , zoals ik hierboven zei heeft dat een deel van men problemen weggedaan ;)
ik heb dus zonet een volledige virusscan gedaan in veilige modus en hij had 3 dingen gevonden waarvan hij er geen enkele kon verwijderen,
ik heb er 2 manueel verwijderd, maar eentje lukte niet, ik kon die map niet vinden enzo (was ook niet verborgen) ,
achja, maar als ik opstart nu, en ik start direct (manueel) norton + het alt - ctrl - del menu'tje , dan komt dat allemaal np, en dan ineens , floep , allebij weg :confused:
ik heb geprobeerd de processen in't oog te houden en ik had er eentje gezien : ndetect.exe , dacht dat het mss dat was en heb het direct afgesloten, maar hielp dus niet :sad:
P

P|tt@

Legacy Member
C:\WINDOWS\System32\Linux.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\foumg.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] Linux.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe


Deze komen mij ni echt bekend voor... Tenzij jij ze kent natuurlijk.
s

st3ph3n

Legacy Member
Fixen:
C:\WINDOWS\System32\Linux.exe
C:\WINDOWS\System32\foumg.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] Linux.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [lsasss.exe] C:\WINDOWS\lsasss.exe
O4 - HKLM\..\Run: [TCP/IP PerfManager] ddmhj.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] Linux.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [TCP/IP PerfManager] ddmhj.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] Linux.exe
O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe

GSICON.EXE en dslagent.exe zijn van een ADSL-verbinding. Niet verwijderen dus :)

Steven
K

KO

Legacy Member
P|tt@ zei:
C:\WINDOWS\System32\Linux.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\foumg.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] Linux.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe


Deze komen mij ni echt bekend voor... Tenzij jij ze kent natuurlijk.
Klik om te vergroten...

Pitta, als ik of stephen een log laten fixen kijken we die files na en zijn we zo volledig mogelijk, jij pikt er enkele uit die JIJ verdacht vindt zonder deze na te kijken :p
Misschien met je "
The Force" maar eens leren gebruiken.

(Met thx to stephen voor deze zin) :p
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan