Bericht 1 van 66NL Computer Forum ~ Computerbeveiligin g | Van | : | Hans Verbeek | Datum | : | 28-07-2004 |
| Aan | : | allemaal | MsgID | : | 1588.1 |
| Onderwerp | : | GetSigs | Forum | : | ws-nlcomputer |
L.S.,
Het lukte een paar keer niet met GetSigs de spullen bij Symantec op te halen, en de taakplanner werkt niet meer (zie boodschap 189140 van Michel in sectie 5). Zodoende kreeg ik vanmorgen na opstarten de melding, enkel te sluiten met Alt -f4, dat mijn computer was genfecteerd met MyDoom.0. Van een bedrijf dat me klant probeerde te maken. NAV handmatig bijgewerkt en gescand.
Dus gelukkig dat in NAV heb. Wat is er met GetSigs aan de hand? Zo moet ik die MS bug inderdaad verwijderen.
In de krant staat dat mijn email-adres (welk van de twee?) opgepikt zou zijn toen ik een keer bij Google was. Dan moet dat ergens in IE staan. Waar? Onder
Extra > Internet Opties > Programma's staat het niet.
Groeten,
Hans.
Bericht 2 van 66NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 29-07-2004 |
| Aan | : | Hans Verbeek | MsgID | : | 1588.2 |
| Onderwerp | : | GetSigs | Forum | : | ws-nlcomputer |
Dag Hans,
>> Wat is er met GetSigs aan de hand? <<
Niets, tenzij je abonnement op NAV verlopen is, maar dan werkt ook de live-update niet meer. Kijk eens op je handmatig op de ftp-site van symantec kan komen. Zo nee, dan is het wellicht een beveiligingsinstelling/ router/ firewall probleem.
>> In de krant staat dat mijn email-adres (welk van de twee?) opgepikt zou zijn toen ik een keer bij Google was. <<
De krant is niet zo'n betrouwbare bron als het gaat om het exact weergeven van een probleem op ICT gebied. De worm komt via e-mail binnen, nestelt zich in jouw pc, gaat alle mogelijke adresboeken in de pc af om e-mail adressen te oogsten, en pakt daarbij ook van de adressen de domeinnamen en probeert via search.lycos.com, search.yahoo.com,
www.altavista.com en
www.google.com nog meer e-mail adressen van dat domein te vinden.
Vervolgens verspreidt de worm zich via een kunstmatig (en overduidelijk onbetrouwbaar) gegenereerd mailtje naar de zo bijeengesprokkelde e-mailadressen.
Dus het is mogelijk dat een van jouw e-mail adressen door de worm via google op internet is opgezocht, maar dat hoeft beslist niet. Er zijn nog drie zoekmachines via welke het virus mogelijk achter jouw e-mail adres is gekomen. Maar waarschijnlijker is dat je gewoon een mailtje met het virus hebt gekregen van iemand die zelf besmet is, en jou in een van de adresboeken heeft staan.
Als je outlook Express als mailclient gebruikt, schakel dan het openen van mogelijk gevaarlijke attachments uit. Via welke provider jouw e-mail loopt weet ik niet, maar heeft die geen mogelijkheid tot het scannen van mail op virussen? (De meeste hebben dat).
Michel Uphoff
(Sysop)
Bericht 3 van 66NL Computer Forum ~ Computerbeveiligin g | Van | : | Hans Verbeek | Datum | : | 30-07-2004 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 1588.3 |
| Onderwerp | : | GetSigs | Forum | : | ws-nlcomputer |
Michel,
> >> Wat is er met GetSigs aan de hand? <<
>
> Niets, tenzij je abonnement op NAV verlopen is, maar dan werkt ook de
> live-update niet meer.
Nee, nog niet verlopen en LiveUpdate werkt.
> Kijk eens op je handmatig op de ftp-site van symantec
> kan komen.
http://securityresponse.symantec.com"
en
http://www.symantec.com/avcenter/download/pages/DU-N95.htmlgaan wel goed.
> gekomen. Maar waarschijnlijker is dat je gewoon een mailtje met het virus
> hebt gekregen van iemand die zelf besmet is, en jou in een van de
> adresboeken heeft staan.
Bij VA komen geen virussen meer binnen, alleen reclame, sinds ik mijn personal name heb veranderd. En als ze dat toch zouden doen, dan worden ze apart opgeslagen. Bij Zonnet vis ik ze er altijd zo uit.
> mogelijk gevaarlijke attachments uit. Via welke provider jouw e-mail loopt
> weet ik niet, maar heeft die geen mogelijkheid tot het scannen van mail op
> virussen? (De meeste hebben dat).
Ik dacht dat CServe dat deed.
Maar mijn probleem, naast GetSigs, is dat bij *ochtends* opstarten, ik een melding krijg, zogenaamd van IE, dat ik MyDoom.0 heb, en me ergens op moet abonneren. Norton vindt een (1) virus, dat volgens Norton ad-ware is. Het typische is dat het het niet weet te verwijderen. Het staat onder de directory
D:\Document and Settings\John Charles Verbeek\Local Settings\Temp\
. Onder de Verkenner kan ik die map niet vinden, maar onder DOS 7.1 ook niet, ook niet na attrib. Dat geeft wel drie hidden bestanden. Moet ik iets meer intikken dan alleen maar attrib?
Hoe het is binnengekomen mag Joost weten. Niet via email in ieder geval.
Groeten en bedankt,
Hans.
Bericht 4 van 66NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 30-07-2004 |
| Aan | : | Hans Verbeek | MsgID | : | 1588.4 |
| Onderwerp | : | GetSigs | Forum | : | ws-nlcomputer |
Dag Hans,
>>
http://securityresponse.symantec.com"
en
http://www.symantec.com/avcenter/download/pages/DU-N95.htmlgaan wel goed. <<
Dat is Http. GetSigs werkt via Ftp. Dus
ftp://ftp.symantec.nlBetere test: start Cmd, en geef op: ftp -A ftp.symantec.nl (enter)
Geef vervolgens in dir (enter). Krijg je geen bestandenlijst te zien, dan is er iets mis met Ftp en jouw pc/verbinding. Krijg je wel een lijst, geef dan eens op:
cd public\nederland\antivirus_definitions\norton_antivirus (enter)
dir *-i32.exe (enter)
De bovenste in de lijst is de laatste definitie set.
Haal die eens op met:
hash (enter)
binary (enter)
get xxxxxxxxxxx-xxx-i32.exe X:\mapnaam\virdat.exe (enter)
(xxxxxxx-xxx voor -i32.exe vervangen door exact de juiste naam. Let op hoofd en kleine letters.
Als alles goed gaat wordt de definitieset nu in de map X:\mapnaam gezet.
Verlaat ftp met quit (enter), en de cmd met exit (enter)
Start de verkenner en dubbelklik op virdat.exe. Nu moeten de nieuwe definities in Norton worden gentegreerd. Werkt het allemaal goed (geen foutmeldingen), n in Nav zijn inderdaad de laatste definities gentergreerd n werkt GetSigs nog steeds niet, laat dat dan even weten.
>> Bij VA komen geen virussen meer binnen, alleen reclame, sinds ik mijn personal name heb veranderd. En als ze dat toch zouden doen, dan worden ze apart opgeslagen. Bij Zonnet vis ik ze er altijd zo uit. Ik dacht dat CServe dat deed. <<
Tja, toch verspreidt de worm zich per e-mail...
>> Maar mijn probleem, naast GetSigs, is dat bij *ochtends* opstarten, ik een melding krijg, zogenaamd van IE, dat ik MyDoom.0 heb, en me ergens op moet abonneren. <<
Plak die tekst eens in een berichtje.
>> Norton vindt een (1) virus, dat volgens Norton ad-ware is. <<
Geef de details eens in een berichtje. Klik op het onderstreepte woord voor meer info in NAV.
>> Het typische is dat het het niet weet te verwijderen. Het staat onder de directory D:\Document and Settings\John Charles Verbeek\Local Settings\Temp\........Onder de Verkenner kan ik die map niet vinden <<
Local settings is een verborgen map. Zet weergave van verborgen bestanden eens aan. Het is een standaard Windows map, dus hij zou er echt moeten zijn.
>> maar onder DOS 7.1 ook niet, ook niet na attrib. Dat geeft wel drie hidden bestanden. Moet ik iets meer intikken dan alleen maar attrib <<
Geef een dir /a in dat hoort alles te laten zien. Vervolgens kan je met cd mapnaam naar een (verborgen) submap gaan. Dit kan gewoon met de CMD prompt van XP.
>> Niet via email in ieder geval. <<
Tja, en dat betwijfel ik dus in hoge mate..
Michel Uphoff
(Sysop)
http://tinyurl.com/m8fp
Bericht 5 van 66NL Computer Forum ~ Computerbeveiligin g | Van | : | Hans Verbeek | Datum | : | 31-07-2004 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 1588.5 |
| Onderwerp | : | GetSigs | Forum | : | ws-nlcomputer |
Michel,
> Dat is Http. GetSigs werkt via Ftp. Dus
ftp://ftp.symantec.nl`
Ik dacht:"Misschien kan IE dat tegenwoordig ook wel" , en ja hoor, er komt een scherm met vijf mappen: comwrap, etc, misc, public en usr, en klikken erop geeft submappen.
> Betere test: start Cmd, en geef op: ftp -A ftp.symantec.nl (enter)
Dan krijg ik "Verbonden met ftp.symantec.speedera.net", een heel Engels verhaal over bevoegdheid, "password required for user" "command not supported" en "anoniem aanmelden mislukt". Als ik "quit" en ga naar de map \Documents and Settings\Administrator zelfde laken een pak
> Geef vervolgens in dir (enter).
Dan krijg ik "Niet verbonden".
> Krijg je geen bestandenlijst te zien, dan is er iets mis met Ftp en jouw > pc/verbinding.
Moet ik een wachtwoord hebben?
> Krijg je wel een lijst, geef dan eens op:
>
> cd public\nederland\antivirus_definitions\norton_antivirus (enter)
> dir *-i32.exe (enter)
> De bovenste in de lijst is de laatste definitie set.
> Haal die eens op met:
> hash (enter)
> binary (enter)
> get xxxxxxxxxxx-xxx-i32.exe X:\mapnaam\virdat.exe (enter)
>
> (xxxxxxx-xxx voor -i32.exe vervangen door exact de juiste naam. Let op hoofd
> en kleine letters.
Gedaan met IE. Ik heb hem gezet (voor mezelf even) op d:\download.
> Start de verkenner en dubbelklik op virdat.exe. Nu moeten de nieuwe
> definities in Norton worden gentegreerd. Werkt het allemaal goed (geen
> foutmeldingen), n in Nav zijn inderdaad de laatste definities gentergreerd
> n werkt GetSigs nog steeds niet, laat dat dan even weten.
Ik krijg na "voortgang" weer "downloaden lijst mislukt"
> >> Bij VA komen geen virussen meer binnen, alleen reclame, sinds ik mijn
> personal name heb veranderd. En als ze dat toch zouden doen, dan worden ze
> apart opgeslagen. Bij Zonnet vis ik ze er altijd zo uit. Ik dacht dat CServe
> dat deed. <<
>
> Tja, toch verspreidt de worm zich per e-mail...
Ik kan best een stommiteit hebben begaan, maar ik dacht dat een worm ook zo door de telefoonlijn kon.
> >> Maar mijn probleem, naast GetSigs, is dat bij *ochtends* opstarten, ik
> een melding krijg, zogenaamd van IE, dat ik MyDoom.0 heb, en me ergens op
> moet abonneren. <<
>
> Plak die tekst eens in een berichtje.
Ik heb weer eens opgestart, maar dan doet' ie het niet. Zoiets als "Your computer is infected by the MyDoom.0 virus, you should update your protection". en dan een keus tussen ja en nee. Doe je nee, dan is het over. Doe je ja, dan krijg je een heel scherm met opvraag van betaalgegevens.
> >> Norton vindt een (1) virus, dat volgens Norton ad-ware is. <<
>
> Geef de details eens in een berichtje. Klik op het onderstreepte woord voor
> meer info in NAV.
"Bestand Documents and Settings\....\dvdelo.dat is een advertentie software bedreiging."
> Local settings is een verborgen map. Zet weergave van verborgen bestanden
> eens aan. Het is een standaard Windows map, dus hij zou er echt moeten zijn.
Gevonden. Krijg het bestand niet weg. "Toegang geweigerd".
> Geef een dir /a in dat hoort alles te laten zien. Vervolgens kan je met cd
> mapnaam naar een (verborgen) submap gaan. Dit kan gewoon met de CMD prompt
> van XP.
Gevonden, Ook toegang geweigerd na del "dvdelo.dat". Dat moet dus iets meer zijn dan "del" of iets anders. Wat?
Mooie les gehad, Dank je wel! :-)
Groeten,
Hans.
Bericht 6 van 66NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 31-07-2004 |
| Aan | : | Hans Verbeek | MsgID | : | 1588.6 |
| Onderwerp | : | GetSigs | Forum | : | ws-nlcomputer |
Dag Hans,
>> Betere test: start Cmd, en geef op: ftp -A ftp.symantec.nl (enter)
Dan krijg ik "Verbonden met ftp.symantec.speedera.net", een heel Engels verhaal over bevoegdheid, "password required for user" "command not supported" en "anoniem aanmelden mislukt"...... Moet ik een wachtwoord hebben? <<
Bij een correct werkende FTP verbinding hoor je te krijgen (ik neem aan dat je de -A niet vergeten bent): "Anoniem aanmelden gelukt voor (gebruikersnaam)@(computernaam)".
Probeer het nog eens een paar keer (vergeet de -A niet) want de ftp server heeft het vaak druk en laat soms geen gebruikers meer toe. Blijft het probleem, dan is er toch iets mis met de Ftp verbinding. Ik weet zo 123 niet wat.
>> Ik krijg na "voortgang" weer "downloaden lijst mislukt" <<
Met GetSigs.exe neem ik aan. Het ziet er dus naar uit dat inderdaad iets mis is met FTP en jouw pc/netwerk/verbinding, wellicht zit er iets in de weg. Zie verderop.
>> Zoiets als "Your computer is infected by the MyDoom.0 virus, you should update your protection". en dan een keus tussen ja en nee. Doe je nee, dan is het over. Doe je ja, dan krijg je een heel scherm met opvraag van betaalgegevens. <<
Dat lijkt mij inderdaad adware. Welke weet ik niet. Haal HijackThis eens op van internet (
http://www.spychecker.com/program/hijackthis.html), en na starten klik je op scan. Hierna klik je op "Save Log". Stuur deze log eens op. Bewaar HijackThis goed, want je hebt het straks waarschijnlijk nogmaals nodig.
>> "Bestand Documents and Settings\....\dvdelo.dat is een advertentie software bedreiging." <<
Lekker veel info... dvdelo.dat zal wel een random gegenereerde naam zijn. Het bestand is in gebruik, en dus niet te verwijderen. Waarschijnlijk wordt een moederapplicatie automatisch gestart, uit te zoeken met MsConfig. Maar de HijackThis log levert waarschijnlijk meer informatie op om je te voorzien van het juiste verwijderingsadvies.
Wat je kan doen is in veilige mode (F*) starten en dan het bestand verwijderen. Maar je hebt een dikke kans dat het na een herstart weer terugkeert, omdat ik vermoed dat een moederapplicatie het ding telkens opnieuw baart. Die malafide moeder moet om kroosjes.
Heb je als je geen router hebt, de XP firewall wel aanstaan?
Michel Uphoff
(Sysop)
http://tinyurl.com/m8fp
Bericht 7 van 66NL Computer Forum ~ Computerbeveiligin g | Van | : | Hans Verbeek | Datum | : | 01-08-2004 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 1588.7 |
| Onderwerp | : | GetSigs | Forum | : | ws-nlcomputer |
Michel,
> Bij een correct werkende FTP verbinding hoor je te krijgen (ik neem aan dat
> je de -A niet vergeten bent): "Anoniem aanmelden gelukt voor
> (gebruikersnaam)@(computernaam)".
> Probeer het nog eens een paar keer (vergeet de -A niet) want de ftp server
> heeft het vaak druk en laat soms geen gebruikers meer toe. Blijft het
> probleem, dan is er toch iets mis met de Ftp verbinding. Ik weet zo 123 niet
> wat.
Nog eens geprobeerd. Zelfde verhaal. Zou GetSigs dan ook niet met zoiets zitten?
> >> Zoiets als "Your computer is infected by the MyDoom.0 virus, you should
> update your protection". en dan een keus tussen ja en nee. Doe je nee, dan
> is het over. Doe je ja, dan krijg je een heel scherm met opvraag van
> betaalgegevens. <<
Goede tekst:
Virus Warning
I.Worm.MYdoom Virus Detected
Click OK
to Scan and Disinfect
> Dat lijkt mij inderdaad adware. Welke weet ik niet. Haal HijackThis eens op
> van internet (
http://www.spychecker.com/program/hijackthis.html), en na
> starten klik je op scan. Hierna klik je op "Save Log". Stuur deze log eens
> op.
Staat onderaan. HyJackThis onderzoekt browser add-ons. Wat zijn dat eigenlijk? Programma's die met IE samenwerken?
>Bewaar HijackThis goed, want je hebt het straks waarschijnlijk nogmaals >nodig.
Bedankt.
> Wat je kan doen is in veilige mode (F*) starten en dan het bestand
> verwijderen.
Toch geprobeerd. In de veilige modus werkt dir /a niet. Dat wordt weergegeven als dir -a.
> Heb je als je geen router hebt, de XP firewall wel aanstaan?
Ik heb een ADSL-modem annex router annex netwerkhub.
Groeten,
Hans.
Logfile of HijackThis v1.97.7
Scan saved at 11:36:15, on 01-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\PackethSvc.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
D:\Program Files\Common Files\Symantec Shared\ccApp.exe
D:\WINDOWS\oledvd.exe //Is dit niks? Wissen?
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\BITWARE\NT\bwprnmon.exe
D:\WINDOWS\system32\ntvdm.exe
D:\Program Files\Microsoft Office\Office\EXCEL.EXE
F:\Virtual Access\va32.exe
D:\WINDOWS\System32\wuauclt.exe
D:\WINDOWS\System32\cmd.exe
D:\WINDOWS\system32\ftp.exe
D:\Download\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///f:/htmlfiles/daycourse.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {60112085-E1CE-4e0e-823A-EBB1AD98804C} - D:\DOCUME~1\JOHNCH~1\LOCALS~1\Temp\dvdelo.dat
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avserve2.exe] D:\WINDOWS\avserve2.exe
O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SysUpd] D:\WINDOWS\sysupd.exe
O4 - HKLM\..\Run: [oledvd] D:\WINDOWS\oledvd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Internet Explorer.lnk = D:\Program Files\Internet Explorer\IEXPLORE.EXE
O4 - Global Startup: BitWare Print Monitor.lnk = D:\BITWARE\NT\bwprnmon.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {50F65670-1729-11D2-A51F-0020AFE5D502} (ForumChat) - http://forumchat.compuserve.com/applets/RTCChat.cab // Raar. Ik ga nooit naar //chat forums.
Bericht 8 van 66NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 01-08-2004 |
| Aan | : | Hans Verbeek | MsgID | : | 1588.8 |
| Onderwerp | : | GetSigs | Forum | : | ws-nlcomputer |
Dag Hans,
>> Nog eens geprobeerd. Zelfde verhaal. Zou GetSigs dan ook niet met zoiets zitten? <<
Kan heel goed zijn, want GetSigs roept intern ftp.exe van W98 of XP aan. En als ftp niet meer werkt, dan werkt GetSigs dus ook niet meer. Misschien helpt ontluizen van je computer, zie verderop.
>> I.Worm.MYdoom Virus Detected ... Click OK to Scan and Disinfect <<
Inderdaad kom ik op internet enkele meldingen tegen die er op wijzen dat dit een vrij nieuwe vorm van Adware is. Hopenlijk wordt dit kreng om zeep geholpen met de opruimactie.
>> HyJackThis onderzoekt browser add-ons. Wat zijn dat eigenlijk? Programma's die met IE samenwerken? <<
Precies, je zou het ook plug-ins kunnen noemen. Zolang ActiveX uitgevoerd mag worden via IE loop je de kans zo'n Browser Helper Object (BHO) aan je broek te krijgen als je onverhoeds ergens op klikt dat stinkt. Beste maatregel is ActiveX uit te schakelen, en de site's die dan niet meer correct werken (zoals Windows Update) als vertrouwde site aan te melden bij IE.
Je logfile, alleen de te verwijderen of interessante regels zijn weergegeven:
D:\WINDOWS\System32\PackethSvc.exe (dit is de virtuele netwerkadapter van CS2000)
D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe (extra printspooler van HP, is onder XP niet nodig)
D:\WINDOWS\oledvd.exe (mij onbekend en niets over te vinden, ik zou het verwijderen. Je kan ook de eigenschappen van dit programma eens bekijken in de verkenner. Misschien werpt dat wat licht op de zaak)
D:\Program Files\Messenger\msmsgs.exe (msn Messenger. Kan verwijderd worden, Msn handmatig starten als het nodig is)
D:\BITWARE\NT\bwprnmon.exe (als je die oude Bitware software nog gebruikt (faxprinter) laten staan. Anders verwijderen)
D:\WINDOWS\system32\ftp.exe (aha, vastgelopen Ftp programma. Je had vast de pc niet herstart voor je HijachThis draaide.)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///f:/htmlfiles/daycourse.html (Ik neem aan dat die er door jou ingezet. Zo niet aanvinken voor verwijdering in HijackThis)
O2 - BHO: (no name) - {60112085-E1CE-4e0e-823A-EBB1AD98804C} - D:\DOCUME~1\JOHNCH~1\LOCALS~1\Temp\dvdelo.dat (dat zou hem wel eens kunnen zijn!! aanvinken voor verwijdering in HijackThis).
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe (in HiackThis aanvinken voor verwijdering, danwel in Msconfig. Zie uitleg aan het einde.
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k (Onnodig MS ding. Aanvinken voor verwijdering in HijackThis)
O4 - HKLM\..\Run: [avserve2.exe] D:\WINDOWS\avserve2.exe (als ik mij niet vergis is dit de Sasser worm. aanvinken voor verwijdering in HijackThis!)
O4 - HKLM\..\Run: [SysUpd] D:\WINDOWS\sysupd.exe (als ik mij niet vergis is dit TsCash, een duitse dialer, aanvinken voor verwijdering in HijackThis!)
O4 - HKLM\..\Run: [oledvd] D:\WINDOWS\oledvd.exe (verwijderen of uitvinken in Msconfig, zie eerder)
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background (Msn, hier is de startup te verwijderen, of via Msconfig (zie uitleg verderop).
O4 - Global Startup: BitWare Print Monitor.lnk = D:\BITWARE\NT\bwprnmon.exe (hier is de startup te verwijderen, of via Msconfig (zie uitleg verderop).
O9 - Extra button: Real.com (HKLM) (Onnodig lijkt mij, aanvinken voor verwijdering in HijackThis)
O9 - Extra button: Messenger (HKLM) (Onnodig lijkt mij, aanvinken voor verwijdering in HijackThis)
O9 - Extra 'Tools' menuitem: Messenger (HKLM) (Onnodig lijkt mij, aanvinken voor verwijdering in HijackThis of in Msconfig)
O16 - DPF: {50F65670-1729-11D2-A51F-0020AFE5D502} (ForumChatttp://forumchat.compuserve.com/applets/RTCChat.cab (Onnodig lijkt mij, aanvinken voor verwijdering in HijackThis!, je gebruikt de chat util van CS niet.)Toch nog beestjes. Heb je Spybot 1.3 nog niet genstalleerd, en de pc geimunnissserd?
Uitleg: Je kan (voorzover zichtbaar) in Msconfig wegvinken wat aangeraden wordt. Voordeel hiervan is, dat je het indien gewenst even eenvoudig via MsConfig weer kunt activeren.
Je kan echter ook met HijackThis de te verwijderen items aanvinken en dan op "Fix Checked" klikken. Daarmee wordt dan de aanroep verwijderd. Mocht je een verwijderde aanroep weer willen herstellen, dan kan dat via de backup die HijackThis aanmaakt.
Loop ook de softwarelijst eerst even na op genstalleerde programma's die je niet vertrouwt.
Michel Uphoff
(Sysop)
http://tinyurl.com/m8fp
Bericht 9 van 66NL Computer Forum ~ Computerbeveiligin g | Van | : | Stefan de Best (Sysop) | Datum | : | 01-08-2004 |
| Aan | : | Hans Verbeek | MsgID | : | 1588.9 |
| Onderwerp | : | GetSigs | Forum | : | ws-nlcomputer |
Hans,
>>
O16 - DPF: {50F65670-1729-11D2-A51F-0020AFE5D502} (ForumChat) -
http://forumchat.compuserve.com/applets/RTCChat.cab // Raar. Ik ga nooit naar //chat forums.
<<
Dit is een verwijzing naar de applet die wordt geladen als je een CompuServe Forum bezoekt met de CS2000-software. Met deze applet kun je diverse instellingen veranderen en uitnodigingen naar andere leden sturen (groupchat, 1-1-chat). Tevens kun je met deze applet een overzicht krijgen van wie er op dat moment op het Forum aanwezig is. Kun je verwijderen, maar wordt de volgende keer weer geladen.
Groetjes
Stefan
http://tinyurl.com/yuojv
Bericht 10 van 66NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 01-08-2004 |
| Aan | : | Stefan de Best (Sysop) | MsgID | : | 1588.10 |
| Onderwerp | : | GetSigs | Forum | : | ws-nlcomputer |
Hoi Stefan,
>> Kun je verwijderen, maar wordt de volgende keer weer geladen. <<
Tenzij je er geen toestemming voor geeft mag ik aannemen? Ik krijg die vraag altijd, en weiger het ding gewoon. Maar ik gebruik Cs2000 niet. Het is toch niet zo dat dat ding dan wel ongemerkt op de pc komt?
Michel Uphoff
(Sysop)
http://tinyurl.com/m8fp
Bericht 11 van 66NL Computer Forum ~ Computerbeveiligin g | Van | : | Hans Verbeek | Datum | : | 01-08-2004 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 1588.11 |
| Onderwerp | : | GetSigs | Forum | : | ws-nlcomputer |
Michel,
> >> HyJackThis onderzoekt browser add-ons. Wat zijn dat eigenlijk?
> Programma's die met IE samenwerken? <<
>
> Precies, je zou het ook plug-ins kunnen noemen. Zolang ActiveX uitgevoerd
> mag worden via IE loop je de kans zo'n Browser Helper Object (BHO) aan je
> broek te krijgen als je onverhoeds ergens op klikt dat stinkt. Beste
> maatregel is ActiveX uit te schakelen, en de site's die dan niet meer
> correct werken (zoals Windows Update) als vertrouwde site aan te melden bij
> IE.
Dus ik zou dat ding kunnen hebben opgelopen via ActiveX? In ieder geval ActiveX uitschakelen, maar hoe doe je dat? Een hoe meldt je een vertrouwde site als zodanig aan bij IE? Bij het benaderen? Dan krijg ik ook altijd zoiets.
> D:\WINDOWS\System32\PackethSvc.exe (dit is de virtuele netwerkadapter van
> CS2000)
Gewoon laten zitten?
> D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe (extra printspooler
> van HP, is onder XP niet nodig)
Ik draai geen HP, maar ik heb wel een HP printer. Staat' ie er daarom?
> D:\WINDOWS\oledvd.exe (mij onbekend en niets over te vinden, ik zou het
> verwijderen. Je kan ook de eigenschappen van dit programma eens bekijken in
> de verkenner. Misschien werpt dat wat licht op de zaak)
Het lijkt me de moederapplicatie waar jij het over had. De datum van aanmaak is 28 juli 2004, na een paar dagen begon ik last te krijgen van dat ding.
> O2 - BHO: (no name) - {60112085-E1CE-4e0e-823A-EBB1AD98804C} -
> D:\DOCUME~1\JOHNCH~1\LOCALS~1\Temp\dvdelo.dat (dat zou hem wel eens kunnen
> zijn!! aanvinken voor verwijdering in HijackThis).
Dat is het bestand dat NAV niet weet weg te krijgen.......
> O4 - HKLM\..\Run: [HPDJ Taskbar Utility]
> D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe (in HiackThis
> aanvinken voor verwijdering, danwel in Msconfig. Zie uitleg aan het einde.
Waarom, als ik vragen mag, verwijderen?
> O4 - HKLM\..\Run: [avserve2.exe] D:\WINDOWS\avserve2.exe (als ik mij niet
> vergis is dit de Sasser worm. aanvinken voor verwijdering in HijackThis!)
Ja, die zit nog steeds in quarantaine, en ik kan met geen mogelijkheid dat quarantaine venster in NAV vinden. Wou al eens een boodschap plaatsen.......
> O4 - Global Startup: BitWare Print Monitor.lnk = D:\BITWARE\NT\bwprnmon.exe
> (hier is de startup te verwijderen, of via Msconfig (zie uitleg verderop).
Als ik die weg haal, start het faxprogramma Cheyenne niet meer op vanuit Word. Waarom wil je hem weg hebben?
> Toch nog beestjes. Heb je Spybot 1.3 nog niet genstalleerd, en de pc
> geimmuniseerd?
Spybot 1.3? Ik heb NAV, en dacht: "zo is het toch zeker goed? Wat doet Spybot 1.3? En waar nag ik hem vandaan halen?
> Uitleg: Je kan (voorzover zichtbaar) in Msconfig
> wegvinken wat aangeraden wordt. Voordeel hiervan is, dat je het indien
> gewenst even eenvoudig via MsConfig weer kunt activeren.
Lijkt me ook prima, maar msconfig wil niet starten, want het kan het opgegeven pad in config.sys niet vinden. Welke config.sys? Die van Win 98 op c? Kan me niet voorstellen. Wel zie ik een map \config op XP op D:. Leeg! :-) Hoe zou dat zitten?
> Je kan echter ook met HijackThis de te verwijderen items aanvinken en dan op
> "Fix Checked" klikken. Daarmee wordt dan de aanroep verwijderd. Mocht je een
> verwijderde aanroep weer willen herstellen, dan kan dat via de backup die
> HijackThis aanmaakt.
Ook een manier, maar ik ben vertrouwder met msconfig. (Later: Ik zie de drie backup bestanden).
> Loop ook de softwarelijst eerst even na op genstalleerde programma's die je
> niet vertrouwt.
Lijkt me wel goed te zitten.
Er is dus nu ook nog een msconfig probleem. Ik ben oude images nagelopen, maar overal een lege config map. Ik heb met HijackThis die twee dvdelo bestanden uitgeschakeld (nou moet dat virus het morgen niet doen), maar ik wacht even met de rest. GetSigs doet het nu ook niet.
Als ik die lege config map moet restoren vanaf de XP cd-rom kunnen we "lachen": ik kan die schijf niet vinden.......
Affijn, ik ben dus nog lang niet schoon. Verander het subject even.....
Groeten,
Hans.
Bericht 12 van 66NL Computer Forum ~ Computerbeveiligin g | Van | : | Hans Verbeek | Datum | : | 01-08-2004 |
| Aan | : | Stefan de Best (Sysop) | MsgID | : | 1588.12 |
| Onderwerp | : | GetSigs | Forum | : | ws-nlcomputer |
Stefan,
> O16 - DPF: {50F65670-1729-11D2-A51F-0020AFE5D502} (ForumChat) -
>
http://forumchat.compuserve.com/applets/RTCChat.cab // Raar. Ik ga nooit
> naar //chat forums.
> <<
>
> Dit is een verwijzing naar de applet die wordt geladen als je een CompuServe
> Forum bezoekt met de CS2000-software. Met deze applet kun je diverse
> instellingen veranderen en uitnodigingen naar andere leden sturen
> (groupchat, 1-1-chat). Tevens kun je met deze applet een overzicht krijgen
> van wie er op dat moment op het Forum aanwezig is. Kun je verwijderen, maar
> wordt de volgende keer weer geladen.
Dank je.
Groeten,
Hans.
Bericht 13 van 66NL Computer Forum ~ Computerbeveiligin g | Van | : | Hans Verbeek | Datum | : | 01-08-2004 |
| Aan | : | Hans Verbeek | MsgID | : | 1588.13 |
| Onderwerp | : | GetSigs | Forum | : | ws-nlcomputer |
Michel,
> maar overal een lege config map. Ik heb met HijackThis die twee dvdelo
> bestanden uitgeschakeld (nou moet dat virus het morgen niet doen), maar ik
> wacht even met de rest. GetSigs doet het nu ook niet.
Er is onder Windows nu ook nog een dvdelo.ini bestand. *.exe en *.dat zijn weg. Ook maar wissen?
Groeten,
Hans.
Bericht 14 van 66NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 01-08-2004 |
| Aan | : | Hans Verbeek | MsgID | : | 1588.14 |
| Onderwerp | : | GetSigs | Forum | : | ws-nlcomputer |
Dag Hans,
>> D:\WINDOWS\System32\PackethSvc.exe (dit is de virtuele netwerkadapter van CS2000)
Gewoon laten zitten? <<
Jazeker.
>> Maar ik heb wel een HP printer. Staat' ie er daarom? <<
Ja, en hij is onder XP niet nodig.
>> oledvd.exe .... dvdelo.dat <<
Ik zie het nu pas, omgekeerde naam. BEIDE verwijderen, een van de twee is de malafide mama!
>> O4 - HKLM\..\Run: [HPDJ Taskbar Utility]....Waarom, als ik vragen mag, verwijderen? <<
Tuurlijk mag je dat vragen. Een tegenvraag: Waarom zou je zinloze software met mogelijke bugs actief houden op de pc?
>> > O4 - HKLM\..\Run: [avserve2.exe] D:\WINDOWS\avserve2.exe ... Ja, die zit nog steeds in quarantaine <<
Nou, niet alleen in de NAV quarantaine dus, maar ook in de windowsmap. Je moet dat ding echt verwijderen!
>> Als ik die weg haal, start het faxprogramma Cheyenne niet meer op vanuit Word. Waarom wil je hem weg hebben? << Ik schreef, als je bitware niet (meer) gebruikt weghalen. Anders batuurlijk gewoon houden.
>> Spybot 1.3? Ik heb NAV, en dacht: "zo is het toch zeker goed? Wat doet Spybot 1.3? En waar nag ik hem vandaan halen? <<
Spybot Search and Destroy is een item dat in dit forum al talloze keren aan de orde is geweest. In het kort is het een programma dat Adware spyware, diverse Trojans, dialers en hijackers opspoort en verwijdert. Daarboven -en eigenlijk wel zo belangrijk- je kan je systeem ermee beveiligen tegen dit soort onzin. Immuniseer daarvoor met Spybot je systeem. Spybot 1.3 staat op dit forum:
----
Lib: 12 Computerbeveiliging Cat#: 4937 {Live}
SPYBOT13.EXE
Binary, Bytes: 4354084, Count: 3, 12-May-04 Last: 15-May-04
Title : Spybot Search and Destroy by Patrick M. Kolla
Keywords: ADWARE SPYWARE DIALER SPAM REMOVE BLOCK VERWIJDEREN BLOKKEREN
Comments:
Spybot is een programma dat adware, spyware, hijackers, dialers en ander ongerief dat je via Internet oploopt van je pc kan verwijderen. Deze geheel nieuwe versie heeft een weelde aan opties en tools voor analyse en reparatie, maar ook gelukkig een "eenvoudig" stand. Echt nieuw is TeaTimer, een programma dat naar keuze aangezet moet worden. TeaTimer is dan altijd in het geheugen van de pc aanwezig, en zal iedere aanpassing van startpagina's, iedere poging iets achter je rug om te installeren opmerken en je om goedkeuring vragen.
-----
(veel) meer informatie is te vinden op:
http://forums.net-integration.net/ , sectie spybot search and destroy.
> Uitleg: Je kan (voorzover zichtbaar) in Msconfig
> wegvinken wat aangeraden wordt. Voordeel hiervan is, dat je het indien
> gewenst even eenvoudig via MsConfig weer kunt activeren.
>> Lijkt me ook prima, maar msconfig wil niet starten, want het kan het opgegeven pad in config.sys niet vinden. <<
Dat is geen normale melding (voor XP tenminste), de config.sys wordt onder XP helemaal niet gebruikt, en paden staan in geen enkele config.sys maar in een autoexec.bat (die XP ook al niet gebruikt). Je hebt gekozen voor start, uitvoeren, msconfig (enter)?
>> Ook een manier, maar ik ben vertrouwder met msconfig. <<
Ja, maar daarmee kan je lang niet alles, zoals de BHO's om zeep helpen. Je hebt echt HijackThis nodig hiervoor.
>> Maar ik wacht even met de rest <<
Zou ik niet doen. Die sasser en die dialer zou ik zeker ook verwijderen.
Als je klaar bent, herstart de pc dan, wacht een minuut of wat (en start geen programma's), en draai dan nog een een HijackThis log uit.
Michel Uphoff
(Sysop)
http://tinyurl.com/m8fp
Bericht 15 van 66NL Computer Forum ~ Computerbeveiligin g | Van | : | Stefan de Best (Sysop) | Datum | : | 01-08-2004 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 1588.15 |
| Onderwerp | : | GetSigs | Forum | : | ws-nlcomputer |
Hoi Michel,
Nee, ik gebruik CS2000 ook al een tijd niet meer. Ik bedoelde er ook mee dat als je op "Chat" of "Aanwezigen" klikt ("Chat" of "Who's here"), dat dan de applet weer wordt geladen. Volgens mij is dit ook weer afhankelijk welke browser je gebruikt en via welke link je binnenkomt (?loc=us of ?loc=nl). Ik krijg in ieder geval nooit de vraag of er iets genstalleerd moet worden; waarschijnlijk heb ik dus in den beginne die applet al laten installeren om maar van dat geze*k af te zijn.
Groetjes
Stefan
>http://tinyurl.com/yuojv
Bericht 16 van 66
NL Computer Forum ~ Computerbeveiligin g | Van | : | Hans Verbeek | Datum | : | 02-08-2004 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 1588.16 |
| Onderwerp | : | GetSigs | Forum | : | ws-nlcomputer |
Michel,
De laatste HYJackThis log staat onderaan. Hier valt op dat oledvd.exe en dvdelo.dat er nog steeds staan. Ik heb ze een aantal keren geprobeerd te verwijderen, maar dat helpt niet. Er zitten drie dvdelo.ini's in de prullenbak, maar die worden kennelijk steeds weer aangemaakt. Ik ben gaan zoeken.
Naar dvd*.*, en dat gaf onder \windows\inf: dvd.inf en onder \help dvdplay.chm, dvdplay.cnt en dvdplay.hlp. Dus geen dvdelo.dat.
Naar elo*.* , en dat gaf onder \windows\options\cabs elogo1.gif en elogo2.gov.
Naar ole*.*, en dat gaf een heleboel bestanden, maar geen oledvd.exe. Bij een aantal bestanden staat geen aanmaakdatum. Is er een eenvoudige manier zo'n lijst in een bestand te zetten en naar hier te kopiren?
Wel moest Windows gisteravond zelf het virusprogramma beindigen. Ik had toen dvdelo.ini geloof ik gewist. Maar dat is kennelijk niet genoeg.
Dat dvdelo.ini bestand is gemaakt op 13 juni 2004, oledvd.exe op 26 juli 2004 en dvdelo.dat op 28 juni 2004. Dus (?) dat is niet van vandaag of gisteren. Vanmorgen kwam die weer op.
Overgebleven vragen en opmerkingen.
- Zal Spybot halen.
- Hoe moet ik ActiveX uitschakelen?
- >> O4 - HKLM\..\Run: [HPDJ Taskbar Utility]....Waarom, als ik vragen mag, verwijderen? <<
>Tuurlijk mag je dat vragen. Een tegenvraag: Waarom zou je zinloze software met >mogelijke bugs actief houden op de pc?
Tuurlijk, niks geen overbodige troep.
> Uitleg: Je kan (voorzover zichtbaar) in Msconfig
> wegvinken wat aangeraden wordt. Voordeel hiervan is, dat je het indien
> gewenst even eenvoudig via MsConfig weer kunt activeren.
>> Lijkt me ook prima, maar msconfig wil niet starten, want het kan het opgegeven pad in config.sys niet vinden. <<
>Dat is geen normale melding (voor XP tenminste), de config.sys wordt onder XP >helemaal niet gebruikt, en paden staan in geen enkele config.sys maar in een >autoexec.bat (die XP ook al niet gebruikt). Je hebt gekozen voor start, >uitvoeren, msconfig
>(enter)?
Ja. Er zijn nogal wat meldingen.
1. System Configuration Utility cannot read the confyg.sys file because an error occurred. The system reported error is: Het systeem kan het opgegeven pad niet vinden. You will not be able to view or modify this file until you correct the problem and restart System Configuration Utility.
2/3/4. Klik 3 x OK. Drie maal zelfde verhaal.
5. Kan entrypoint van procedure GetProcessFlags niet vinden in DLL bestand.
6. Dan komt System Configuration Utility, waarmee ik diverse opstartmodi krijg Wat zal ik hier doen?
Groeten en bedankt,
Hans.
Logfile of HijackThis v1.97.7
Scan saved at 14:50:51, on 02-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Common Files\Symantec Shared\ccApp.exe
D:\WINDOWS\oledvd.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\HYJackThis\HijackThis.exe
D:\WINDOWS\System32\PackethSvc.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
D:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///f:/htmlfiles/daycourse.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {60112085-E1CE-4e0e-823A-EBB1AD98804C} - D:\DOCUME~1\JOHNCH~1\LOCALS~1\Temp\dvdelo.dat
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [oledvd] D:\WINDOWS\oledvd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
Bericht 17 van 66
NL Computer Forum ~ Computerbeveiligin g | Van | : | Hans Verbeek | Datum | : | 02-08-2004 |
| Aan | : | Hans Verbeek | MsgID | : | 1588.17 |
| Onderwerp | : | GetSigs | Forum | : | ws-nlcomputer |
Michel,
Ik zie ineens dat alle drie die virus-bestanden zijn aangevinkt bij "archief". Heb je daar wat aan?
Groeten,
Hans.
Bericht 18 van 66
NL Computer Forum ~ Computerbeveiligin g | Van | : | Hans Verbeek | Datum | : | 02-08-2004 |
| Aan | : | Hans Verbeek | MsgID | : | 1588.18 |
| Onderwerp | : | GetSigs | Forum | : | ws-nlcomputer |
Michel,
Spybot gedownload, ge-updated en gedraaid. vond 11 fouten, maar niet mijn virus. De bestanden staan er nog. Bij een volgende update?
Groeten,
Hans.
Bericht 19 van 66
NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 02-08-2004 |
| Aan | : | Hans Verbeek | MsgID | : | 1588.19 |
| Onderwerp | : | GetSigs | Forum | : | ws-nlcomputer |
Dag Hans,
>> - Hoe moet ik ActiveX uitschakelen? <<
In Ie, Extra, internet opties, tabblad beveiliging, icoon links (het internet) klik op "aangepast niveau" en vink daar uit/aan wat je wenst, waaronder Active X. De knop "Standaardinstellingen zet alles weer terug naar de standaard instellingen mocht het je teveel browseplezier schelen.
>> System Configuration Utility cannot read the confyg.sys file because an error occurred. <<
Allervreemdste foutmelding. We hebben het over XP. Dan zu het mogelijk zijn dat msconfig niet msconfig is, want er zijn wat zieke programma's met deze naam:
----
msconfig.exe Msconfig lptt01 1 New variant of the RapidBlaster parasite (in a "msconfig" folder in Program Files). It is not recommended you manually uninstall RapidBlaster but use RapidBlaster Killer - see here. Note! - this is not the valid Windows Msconfig which has the same executable name!
msconfig.exe winrun 1 Added as a result of the WINUR VIRUS! Note! - this is not the real msconfig.exe!
----
>> Dan komt System Configuration Utility, waarmee ik diverse opstartmodi krijg Wat zal ik hier doen? <<
Hh.. het in eerste instantie niet vertrouwen. Wat staat er onder de tab "Opstarten" opgesomd aan moois?
Zoek de harddisk (verborgen en systeemmappen weergeven eerst aanzetten) eens door op msconfig.* waar staat het programma?
Jouw log:
O2 - BHO: (no name) - {60112085-E1CE-4e0e-823A-EBB1AD98804C} - D:\DOCUME~1\JOHNCH~1\LOCALS~1\Temp\dvdelo.dat
O4 - HKLM\..\Run: [oledvd] D:\WINDOWS\oledvd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe <- je hebt toch Office XP? Zo nee, dan kn dit een beestje zijn.
Tja.. het lukt niet altijd om zo'n goor stukkie software door simpel wegvinken om kroosjes te helpen. Je weet zeker dat je beide (dvdelo en oledvd) hebt weggehaald met H.T. neem ik aan. Dan doet het mij denken aan een ettertje dat ik vorige week bij een klant tegenkwam: hlp.dll, een trojan (de W32 mersting.b Trojan). Ik kon zoeken wat ik wilde op de harddisk, maar geen hlp.dll, *zelfs niet in Veilige mode*! Maar het ding was er dus wel degelijk en verwijderen ging niet. Vervolgens ben ik in het register naar hlp.dll gaan zoeken en kwam een vermelding tegen bij het registreren van systeemonderdelen. Vervolgens heb ik de aanroep verwijderd, maar dat was zonder succes, 2 (!) seconden later stond de key er weer.. Kennelijk werd telkens gecontroleerd of die key er nog wel was. Dus slimmere methode toegepast en *tijdelijk* de hele registersleutel hernoemd naar windows123. Nu kon die verrekte .dll zijn registeraanpassing niet meer doen. Naar de map system32 (waar de dll stond) gegaan met de verkenner, bestandenlijst opgevraagd, en daar kwam NAV met de melding van het kreng, en NAV kon hem nu wel verwijderen. Registry key weer terug naar de oorspronkelijke naam gezet, en wg was hlp.dll.
Dus.. long-shot zoek eens in het register naar oledvd.exe en meld hier de key's eens waarin dat ding voorkomt. Wie weet helpt hetzelfde trucje (dat NIET zonder gevaar is, dus ga nou niet onverhoeds wat hernoemen).
Tweede mogelijkheid (ook aantal rapporten van gelezen): NAV houdt het ding vast. Probeer eens het volgende: Schakel computer uit, en haal de internetverbinding even los. Start de computer (gn programma's starten), en sluit NORTON AF (rechtklik, autoprotect uitschakelen). Zoek nu naar oledvd.exe (verborgen mappen systeemmappen en -bestanden weergeven aanzetten) in de map windows. Probeer het ding nu te verwijderen.
Maar.. verder ziet de computer er al heel wat schoner uit, dus we schieten op.
Michel Uphoff
(Sysop)
http://tinyurl.com/m8fp
Bericht 20 van 66
NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 02-08-2004 |
| Aan | : | Hans Verbeek | MsgID | : | 1588.20 |
| Onderwerp | : | GetSigs | Forum | : | ws-nlcomputer |
Dag Hans,
>> Bij een volgende update? <<
Geen idee. Je hebt de volledig immunisering aangezet? Ook het hostbestand voorzien van de aanvullingen van Spybot (geavanceerde optie aanzetten, vinkje bij hosts bestand aanzetten, en bovenin Spybot S&D hosts list toevoegen aanklikken.
Michel Uphoff
(Sysop)
http://tinyurl.com/m8fp
Bericht 21 van 66
NL Computer Forum ~ Computerbeveiligin g | Van | : | Hans Verbeek | Datum | : | 03-08-2004 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 1588.21 |
| Onderwerp | : | GetSigs | Forum | : | ws-nlcomputer |
Michel,
> >> - Hoe moet ik ActiveX uitschakelen? <<
>
> In Ie, Extra, internet opties, tabblad beveiliging, icoon links (het
> internet) klik op "aangepast niveau" en vink daar uit/aan wat je wenst,
> waaronder Active X. De knop "Standaardinstellingen zet alles weer terug naar
> de standaard instellingen mocht het je teveel browseplezier schelen.
Ik heb ze allemaal op "vragen" gezet.
> >> Dan komt System Configuration Utility, waarmee ik diverse opstartmodi
> krijg Wat zal ik hier doen? <<
> Hh.. het in eerste instantie niet vertrouwen. Wat staat er onder de tab
> "Opstarten" opgesomd aan moois?
Ik had het fout weergegeven. Het is niet steeds hetzelfde. Eerst wordt gezegd dat een geen config.sys wordt gevonden, dan geen autoexec.bat, dan geen system.ini, dan geen win.ini, dan die entrypoint kwestie, en dan komt er een window "System Configuration Utility" met een File - View - Help menu en twee tabs General en Startup. De General tab geeft de opties van "normal startup", diagnostic startup en selective startup, de laatste met wat onderverdelingen.
Alles in het Engels, terwijl ik een NL XP heb! De startup tab geeft een aanduiding van bestanden en hun volledige pad! :-)
CTFMON.EXE, D:\Windows\syst4m32\ctfmon.exe
MSMSGS, "d:\program files\messenger\msmsgs.exe" /background
SpybotSD Tea Timer, d:\program files\spybot\teatimer.exe
ccApp, "d:\program files \common files\symantec shared\ccApp.exe
oledvd d:\windows\oledvd.exe
Voor alle regels staan vinkjes. Zal ik ze uitvinken of niet?
Dat is het dus. Ik zou de zaak kunnen gaan wissen, maar er zit ook een spybot bestand tussen, en dat is nog geen 24 uur in huis
> Zoek de harddisk (verborgen en systeemmappen weergeven eerst aanzetten) eens
> door op msconfig.* waar staat het programma?
Op c: zit Win 98, op D: zit XP. Er zijn er 8.
c:\windows\system\msconfig.exe
c:\windows\help\msconfig.chm
c:\windows\help\msconfig.cnt
c:\windows\help\msconfig.hlp
c:\windows\applog\msconfig.lgc
d:\windows\help\msconfig.chm
d:\windows\prefetch\msconfig.exe-366e721d.pf. Is dat hem niet?
d:\windows\pchealth\help..\msconfig.exe
> O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe <- je hebt
> toch Office XP? Zo nee, dan kn dit een beestje zijn.
Nee, ik heb Office 1997, ook onder XP. Maar hij hoort er zeker bij! :-)
> Tja.. het lukt niet altijd om zo'n goor stukkie software door simpel
> wegvinken om kroosjes te helpen. Je weet zeker dat je beide (dvdelo en
> oledvd) hebt weggehaald met H.T. neem ik aan.
Ja, dat weet ik zeker. Maar de oorzaak is, denk ik, gevonden.
d:\windows\prefetch\msconfig.exe-366e721d.pf zien te wissen?
> Dus.. long-shot zoek eens in het register naar oledvd.exe en meld hier de
> key's eens waarin dat ding voorkomt. Wie weet helpt hetzelfde trucje (dat
> NIET zonder gevaar is, dus ga nou niet onverhoeds wat hernoemen).
Ik doe (nog) niks. Van register weet ik niks af. Maar misschien is t'ie er nu toch wel.
> Tweede mogelijkheid [...]
Alleen als dat nodig blijkt. Maar dank je wel.
Groeten,
Hans.
Bericht 22 van 66
NL Computer Forum ~ Computerbeveiligin g | Van | : | Hans Verbeek | Datum | : | 03-08-2004 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 1588.22 |
| Onderwerp | : | GetSigs | Forum | : | ws-nlcomputer |
Michel,
> >> Bij een volgende update? <<
>
> Geen idee. Je hebt de volledig immunisering aangezet?
Hoe doe je dat?
> Ook het hostbestand voorzien van de aanvullingen van Spybot
Ja.
> (geavanceerde optie aanzetten, vinkje bij hosts bestand aanzetten, en bovenin > Spybot S&D hosts list toevoegen aanklikken.
Ze zeggen dat geavanceerd wel eens niet goed voor mij zou zijn, Wat is hier
moeilijk?
Groeten,
Hans.
