Bericht 1 van 34NL Computer Forum ~ Computerbeveiligin g Van | : | Don Esteban (NLHelp) | Datum | : | 11-03-2009 |
Aan | : | Allen | MsgID | : | 4191.1 |
Onderwerp | : | A360 | Forum | : | ws-nlcomputer |
Hoi All,
Een kennis blijkt het A360 virus in zijn computer te hebben. A360 doet voorkomen een virusscanner te zijn maar het bezorgt de pc alleen maar ellende. Ik kon de opstartfile verwijderen maar dat levert niks op. Na bijna iedere actie met IE verschijnt een scherm met links om A360 opnieuw te downloaden en te installeren.
Na wat gegoogle lees ik dat het een zeer vervelend virus blijkt te zijn. Waar men oplossingen probeert aan te dragen zie ik ellelange Hijackthis-berichten en adviezen om bepaalde reparatiepogramma's te downloaden. Echter behoorlijke oplossingen heb ik echter nog niet gevonden. Iemand bekend met dit virus en ook met de methode om er vanaf te komen? Bvd. Don
Bericht 2 van 34NL Computer Forum ~ Computerbeveiligin g Van | : | Michel Uphoff (Sysop) | Datum | : | 11-03-2009 |
Aan | : | Don Esteban (NLHelp) | MsgID | : | 4191.2 |
Onderwerp | : | A360 | Forum | : | ws-nlcomputer |
Hoi Don,
>> dat het een zeer vervelend virus blijkt te zijn <<Dat kan kloppen. Het ding zit redelijk slim in elkaar, en handmatig verwijderen kan een fikse klus zijn, die het stoppen, verwijderen van een aantal bestanden inhoudt, het de-registreren van dll's en het uitmesten van het systeemregister. Kortom van die klusjes waar een bepaald soort mensen zo'n beetje van leeft ;-)
Standaard advies is in dit soort gevallen te zorgen voor een goede anti-mailware oplossing (desnoods op een Usb stick als downloaden van de bekende site's niet meer gaat omdat dat A360 sekreet site's blokkeert), en vervolgens vanuit veilige mode een volledige (en dus meestal langdradige) systeemscan te doen.
Kan je er nog wel online, dan kan je de gratis nod32 online scanner draaien:
http://www.eset.com/onlinescan/Of je gebruikt attached programmaatje (ik heb het niet kunnen testen, want dit soort shit zit bij mij niet in de pc, maar naar ik begrepen heb werkt het goed).
Michel Uphoff (NLcomputer)
Homepage | Bijlagen : NVT_Rogue_Software_Remover.exe 480KB |
Bericht 3 van 34NL Computer Forum ~ Computerbeveiligin g Van | : | Don Esteban (NLHelp) | Datum | : | 11-03-2009 | Aan | : | Michel Uphoff (Sysop) | MsgID | : | 4191.3 | Onderwerp | : | A360 | Forum | : | ws-nlcomputer |
Hoi Michel, Thanks. Ik ga er morgen mee aan de slag. Ik had inmiddels ook al NVT_Malware_Remover_Tool_English.zip gedownload en op de USB stick gezet maar die houd ik maar als reserve dan. Ik houd je op de hoogte. Saludos, Don |
Bericht 4 van 34NL Computer Forum ~ Computerbeveiligin g Van | : | Tony de Jonge (Sysop) | Datum | : | 13-03-2009 |
Aan | : | Don Esteban (NLHelp) | MsgID | : | 4191.4 |
Onderwerp | : | A360 | Forum | : | ws-nlcomputer |
Don,
Da's een smerige..., vorige week bij een klant lopen vechten met dat ding, er zit een Browser Help Object in, in mijn geval was dat winconfig.dll (of zoiets, de gegevens liggen op kantoor) en nadat ik die met regsvr32 unregged had en verwijderd had was het over. Als je de details wilt weten stuur dan even een reactie, dan zoek ik het nog even op.
TdJ
Bericht 5 van 34NL Computer Forum ~ Computerbeveiligin g Van | : | Tony de Jonge (Sysop) | Datum | : | 13-03-2009 |
Aan | : | Michel Uphoff (Sysop) | MsgID | : | 4191.5 |
Onderwerp | : | A360 | Forum | : | ws-nlcomputer |
Michel,
Ehh, het *lijkt* erop dat NOS32 dat dingen niet goed kan tegenhouden cq. vinden. Bij een klant op een prive laptop (vraag me even niet naar de versie van NOD, maar een vrij recente is het zeker want hij heeft in december een nieuwe licentie gekocht voor o.a. die laptop) kreeg ik dat ding dus bijna niet weg, de Browser Help Object ellende (die dll dus, ietsvan winconfig.dll of zo?) kon vrolijk z'n werk doen...
TdJ
PS: Ik heb hem maar niet gevraagd waar hij dit 'virus' was opgelopen...;-)
Bericht 6 van 34NL Computer Forum ~ Computerbeveiligin g Van | : | Don Esteban (NLHelp) | Datum | : | 13-03-2009 |
Aan | : | Michel Uphoff (Sysop) | MsgID | : | 4191.6 |
Onderwerp | : | A360 | Forum | : | ws-nlcomputer |
Hoi Michel, (en Tony)
De removersofteware vond winconfig.dll wat de hoofddader was. Ik heb lang aan die pc moeten sleutelen want in beginsel wilde hij alleen nog maar in de veilige mode opstarten. Vanuit die mode heb ik de removersoftware eerst moeten updaten en later werd dus winconfig.dll als malware gevonden. Met die filenaam als trefwoord heb ik met googelen verdere uitleg over het verwijderen van A360 gevonden. Ik denk dat ik het heb opgelost maar er zit nog iets in wat niet OK is. Morgen sleutel ik verder aan die pc en laat de resultaten weten. Bedenkt alvast. Gr. Don
Bericht 7 van 34NL Computer Forum ~ Computerbeveiligin g Van | : | Michel Uphoff (Sysop) | Datum | : | 13-03-2009 |
Aan | : | Tony de Jonge (Sysop) | MsgID | : | 4191.7 |
Onderwerp | : | A360 | Forum | : | ws-nlcomputer |
Hoi Tony,
Nodje was in Veilige modus gestart?
Ik weet zeker dat íe het ding prima tegenhoudt, maar of hij in normale modus ook in staat is alle resten uit te ruimen..
Michel Uphoff (NLcomputer)
Homepage
Bericht 8 van 34NL Computer Forum ~ Computerbeveiligin g Van | : | Don Esteban (NLHelp) | Datum | : | 14-03-2009 |
Aan | : | Michel Uphoff (Sysop) | MsgID | : | 4191.8 |
Onderwerp | : | A360 | Forum | : | ws-nlcomputer |
Hoi Michel,
Dat A360 virus heb ik de nek om weten te draaien maar ik zei al dat er nog meer was. De NOD online scanner vond 4 geinfecteerde bestanden. Alle 4 betroffen mp3 files gedownload via Limewire plus. Zelfs de gedownloade songtitels stonden erbij. Wat deze files veroorzaakt hebben weet ik niet. Maar ook na opruiming bleef surfen op Internet bijna onmogelijk. Zodra ik via een trefwoord in de Google zoekbalk ergens naatoe wil word ik geredirected naar een ongewenste site. Meestal is dat een chinesche sexmuseumsite. Maar soms ook naar een (fake?) googlestartpagina of een reclamesite. Zelden of nooit bereik ik de bedoelde site. Wil ik de inhoud van een gewenste site zien moet dat via de Google cache.
Ik heb heel internet afgestruind naar een oplossing. Het bestand c:\windows\system32\drivers\wdmaud.sys blijkt bij anderen een boosdoener te zijn geweest maar na verwijdering leverde het niets op. Ook c:\windows\system32\drivers\sysaudio.sys zou geinfecteerd kunnen zijn maar verwijdering van deze file levert ook niks op. Ik heb deze bestanden trouwens weer hersteld via c:\windows\drivercache\i386\sp3.cab
Ik heb er diverse malwareprogramma's op losgelaten maar niks helpt. Onderstaand de Highjacklog (direct na herstart) van de betreffende pc. Heb jij hints voor me om die pc schoon te krijgen? bvd. Don
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:05:46, on 14-3-2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\Iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\Webshots\Webshots.scr
C:\Program Files\AGI\common\win32\PythonService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Eigenaar\Bureaublad\Cleaners enz\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.co.uk/0SEENWW/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.co.uk/0SEENWW/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.co.uk/0SEENWW/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: AGSearchHook Class - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - C:\Program Files\AGI\common\agcutils.dll
O2 - BHO: AGSearchHook Class - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - C:\Program Files\AGI\common\agcutils.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/NL-NL/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1229091557343
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url]https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/url]
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: AG Windows Service (AGWinService) - Unknown owner - C:\Program Files\AGI\common\win32\PythonService.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 8047 bytes
Bericht 9 van 34NL Computer Forum ~ Computerbeveiligin g Van | : | Don Esteban (NLHelp) | Datum | : | 15-03-2009 |
Aan | : | Don Esteban (NLHelp) | MsgID | : | 4191.9 |
Onderwerp | : | A360 | Forum | : | ws-nlcomputer |
Toegevoegde info:
Zo te lezen op Internet zijn programma's zoals Malwarebytes en Combofix bij anderen succesvol gebleken. Echter op deze pc laten ze zich helemaal niet meer installeren. Na dubbelklik op de setup file verandert de muiscursor even in een zandloper maar wordt al weer snel het pijltje zonder dat er verder iets gebeurt. Op mijn eigen pc werken ze echter prima. Don
Bericht 10 van 34NL Computer Forum ~ Computerbeveiligin g Van | : | Michel Uphoff (Sysop) | Datum | : | 15-03-2009 |
Aan | : | Allen | MsgID | : | 4191.10 |
Onderwerp | : | A360 | Forum | : | ws-nlcomputer |
Hoi Don,
Het kan zijn de de IP stack is omgetimmerd, draai dan Winsockfix (attached) herstart, en kijk of het helpt.
Michel Uphoff (NLcomputer)
Homepage | Bijlagen : WinsockFix.exe 1380KB (2MB) |
Bericht 11 van 34NL Computer Forum ~ Computerbeveiligin g Van | : | Peter | Datum | : | 15-03-2009 | Aan | : | Don Esteban (NLHelp) | MsgID | : | 4191.11 | Onderwerp | : | A360 | Forum | : | ws-nlcomputer |
Hoi Don, PMFJI, mijn analyse zou zijn: Ga naar Start - Uitvoeren type: sc stop AGWinServiceKlik op OK type: sc delete AGWinServiceKlik op OK Computer opnieuw opstarten Sluit alle programma's en start alleen Hijackthis Klik "Do a systemscan only" Vink deze regels aan: R3 - URLSearchHook: AGSearchHook Class - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - C:\Program Files\AGI\common\agcutils.dll O2 - BHO: AGSearchHook Class - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - C:\Program Files\AGI\common\agcutils.dll Klik op "Fix checked" Verwijder de map: C:\Program Files\AGI Overige opruimacties:Uniblue RegistryBooster 2009 Bedenkelijk, betaalversie en waarschijnlijk overbodig programma. Verwijderen via Software Uninstall In plaats van het zware Adobe Reader (.PDF bestanden) zou je de lichte FoxitReader of SumatraPDF kunnen installeren De GoogleToolbar: Gebruik je die? zonee, netjes deinstalleren Verwijder in de lijst met geinstalleerde software alle oude versies van Java(TM), Java(TM) 6 Update 12 is de laatste nieuwe met Hijackthis fixen: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank |
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.co.uk/0SEENWW/SAOS01?FORM=TOOLBR
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe /S
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
deze knop en menuitem in Internet Explorer ooit gebruikt? zonee, dan kun je die aanvinken/opruimen
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
Alleen als je de GoogleToolbar verwijdert hebt, moet je mogelijk deze nog verwijderen:
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
Uit te vinken opstart-items in MSCONFIG:
ctfmon
swg
Google Updater
SoundMAX
groeten, Peter
[/center]
Bericht 12 van 34NL Computer Forum ~ Computerbeveiligin g Van | : | Don Esteban (NLHelp) | Datum | : | 15-03-2009 |
Aan | : | Michel Uphoff (Sysop) | MsgID | : | 4191.12 |
Onderwerp | : | A360 | Forum | : | ws-nlcomputer |
Hoi Michel en Peter,
'Ladies and gentlemen: we've got him'!!
Ik heb al jullie aanwijzingen uitgevoerd maar het leidde helaas niet tot de oplossing. Ik heb er wel weer door bijgeleerd. Peter, op de highjacklog wil ik dadelijk nog even reageren:
Ik ben het gedrag van de redirect eens gaan bestuderen en ik zag uiteindelijk (het gaat als een flits aan je voorbij) dat er geredirected werd via windowsclick.com. In de meeste gevallen wordt je naar een Chinees sexmuseum gestuurd maar vaak ook naar andere ongewenste sites. Na wat gegoogle met keyword windowsclick.com kwam ik op
http://www.antionline.com/showthread.php?t=278009 terecht waar men precies redirect-symptomen zoals op deze pc beschreef. Het blijkt een trojan te zijn die men
UACd.sys trojan noemt.
Ene NukEvel draagt een vrij ingewikkelde oplossing aan waar veel werk in gaat zitten. Maar toch ook weer hier worden Malwarebytes en Combofix als hulpmiddelen genoemd. Echter, de UACd.sys trojan maakt het installeren van deze programma's onmogelijk. Met name dát was mijn grootste probleem in mijn pogingen om de zaak op te lossen.
Iets verder in de thread geeft 'billybobbubba' de gouden tip. Combofix.exe namelijk renamen in fixcombo.exe. De UAcd trojan trapte daar in want na renaming kon ik het programma wél installeren. Daarna precies doen wat er tijdens de procedure gevraagd wordt en uiteindelijk was het hardnekkige virus verdwenen. Hoera!! De pc is inmiddels ook weer veel sneller geworden. Je ziet tijdens de procedure trouwens dat er heel wat files opgeruimd moet worden.
Malwarebytes (mbam-setup.exe) liet zich nu ook installeren en die vond nog 4 infecties te weten Trojan.BHO, Trojan.TDSS en 2 keer Hijack.securitycenter. Ze zijn inmiddels succesvol verwijderd.
Peter: wat de hijackthis-log betreft: de Google toolbar en Webshots zijn razendpopulaire programma's en die ga ik niet zomaar verwijderen van andersmans pc's. Met name Webshots krijgt nogal eens (m.i.) onterecht op de kop. Ik heb het al jaren in gebruik. Het biedt een fotomanager die je bureauachtergrond en screensaver van mooie plaatjes voorziet. Als je wilt iedere dag 5 nieuwe foto's. En niet zomaar foto's maar echt schitterende plaatjes. Ik heb inmiddels vele honderden Webshotfoto's die random op het scherm verschijnen. Ik kan met de manager ook eigen foto's laten rouleren. Webshots is weliswaar freeware maar beslist spyware-vrij. Wil je exclusieve grootbeeldfoto's gaat het geld kosten. Als freeware een aanrader als je je bureaublad en screensaver als automatisch fotoalbum wilt gebruiken.
Hartelijk dank voor jullie hulp. Indirect heeft het beslist meegeholpen aan de oplossing. Ik was twee dagen van de straat en heb weer bijgeleerd:-) Don
Bericht 13 van 34NL Computer Forum ~ Computerbeveiligin g Van | : | Peter | Datum | : | 15-03-2009 |
Aan | : | Don Esteban (NLHelp) | MsgID | : | 4191.13 |
Onderwerp | : | A360 | Forum | : | ws-nlcomputer |
Don,
>>'Ladies and gentlemen: we've got him'!!<<Gefeliciteerd!. Dergelijke besmettingen verhullen zich steeds beter en het verwijderen ervan wordt een monnikenwerk..
Hernoemen van des-infectie programma's kan dan een oplossing zijn.
>>de Google toolbar en Webshots zijn razendpopulaire programma's en die ga ik niet zomaar verwijderen van andersmans pc's. Met name Webshots krijgt nogal eens (m.i.) onterecht op de kop.<<
Dat mag dan wel zo zijn, ik ben er geen voorstander van. Verwijderen had ik daarom ook bij opruimacties geplaatst, het is geen verplichting.
Wil je nog eens een Hijackthis log plaatsen (ben benieuwd of AGSearchHook en AGWinService nog aanwezig zijn)
groeten, Peter
Bericht 14 van 34NL Computer Forum ~ Computerbeveiligin g Van | : | Don Esteban (NLHelp) | Datum | : | 15-03-2009 |
Aan | : | Peter | MsgID | : | 4191.14 |
Onderwerp | : | A360 | Forum | : | ws-nlcomputer |
Hoi Peter,
Hier de HiJacklog:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:44:16, on 15-3-2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Eset\nod32kui.exe
C:\PROGRA~1\Webshots\Webshots.scr
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Eigenaar\Bureaublad\Cleaners enz\HiJackThis.exe
C:\WINDOWS\System32\svchost.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/NL-NL/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1229091557343
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url]https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/url]
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 6084 bytes
--------------------------------------------------------------------
Onderstaand de HiJacklog van mijn eigen pc. Bekijk die ook eens. Staan daar zaken die gefixed zouden mogen worden?
Zo vraag ik me af: C:\Program Files\AGI\common\win32\PythonService.exe Wat is dit?
Bedankt voor de interesse;-)
Don
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:56, on 2009-03-15
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\CompuServe 6.0\cstray.exe
C:\Program Files\FireTrust\MailWasher Pro\MailWasher.exe
C:\PROGRA~1\Webshots\Webshots.scr
C:\WINDOWS\system32\PackethSvc.exe
C:\Program Files\AGI\common\win32\PythonService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: MailWasherPro.lnk = C:\Program Files\FireTrust\MailWasher Pro\MailWasher.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O4 - Global Startup: CompuServe 6.0-werkbalkpictogram.lnk = C:\Program Files\CompuServe 6.0\cstray.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://community.compuserve.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1232062260265
O16 - DPF: {AA0FB75C-C50E-47B6-B7E0-3B9C3FAA8AC4} (CamImage Class) - http://84.25.19.253:8888/Comm/IPCamControl.cab
O16 - DPF: {B0A2C7FC-8666-44D6-A990-2FCE3B933341} (ING Bank Autorisatiescherm) - [url]https://secure.ingbank.nl/download/DigiSign.cab[/url]
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://212.170.106.36:4002/activex/AMC.cab
O23 - Service: AG Windows Service (AGWinService) - Unknown owner - C:\Program Files\AGI\common\win32\PythonService.exe
O23 - Service: Google Updateservice (gupdate1c99a859d3ca036) (gupdate1c99a859d3ca036) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Virtual NIC Service (PackethSvc) - America Online, Inc. - C:\WINDOWS\system32\PackethSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O24 - Desktop Component 0: (no name) -
--
End of file - 6164 bytes
Bericht 15 van 34NL Computer Forum ~ Computerbeveiligin g Van | : | Michel Uphoff (Sysop) | Datum | : | 15-03-2009 |
Aan | : | Don Esteban (NLHelp) | MsgID | : | 4191.15 |
Onderwerp | : | A360 | Forum | : | ws-nlcomputer |
Hoi Don,
>> we've got him' <<You've hunted it down and smoked it out, begrijp ik. Gefeliciteerd.
Zo te lezen gaat het om een system driver die zichzelf voor het systeem verbergt (zal wel rootkit eigenschappen hebben). Lekkertje, want dan zie je het kreng in Veilige Modus ook al niet.
Het lastigste deel is inderdaad uitzoeken welke besmetting het is, en welke software daarvoor verantwoordelijk is. Is dat eenmaal bekend, dan is verwijderen eenvoudig. Tot voor kort gebruikte ik Killbox, ongeveer zo'n zelfde tool als jij nodig had. Tegenwoordig gebruik daar XPonUSB voor, een opstartbare Usb stick met een mini XP versie. Omdat je dan vanuit een ander OS start, zijn de verborgen files wel gewoon zichtbaar en eenvoudig te verwijderen.
Die 'agcutil.dll' is zo te zien onderdeel van jouw geliefde webshots, dus die wil je waarschijnlijk niet kwijt. De bijbehorende pythonservice / agwinservice vertrouw ik niet verder dan mijn neus lang is. Ik zou als ik jouw was daar toch even verder in duiken. Ik ben het met Peter eens, dat er heel wat overbodigs in deze computer rondstampt, een bloemlezing:
Genoemde Python en agwin service, zeer onduidelijk wat dit doet. Ik ben er niet dieper in gedoken, maar vertrouwen doe ik het niet. Schijnt gerelateerd aan WebShots. Lexbces (ik noem dat sekreet altijd liefkozend lexAbces), een nogal geheugenhongerige en storende tool geleverd bij Lexmark printers, en voorzover ik weet is íe niet nodig om gewoon te kunnen printen) Reader_sl.exe (Adobe wil ook graag op de voorste rij zitten - geleerd van Microsoft- en start bij het opstarten van de pc alvast de Adobe snelle starter. Dat gaat ten koste van geheugen en pc-snelheid, maar wat kan dat Adobe nou schelen als hun eigen troep maar lekker vlot lijkt te werken. Ik zou dit uitzetten.) jusched.exe (Sun is ook tot de top tien van bloatware bakkers toegetreden, en knikkert niet alleen versie na versie van JavaVM in jouw computer -zonder de vorige op te ruimen- maar zorgt er ook voor dat dit blijft gebeuren door een eigen update scheduler te installeren. Ik zou alle Java VM deïnstalleren, alleen de laatste versie ophalen, en daarna via die updater de nek omdraaien. Ik kijk zelf zo eens per jaar wel even of er nieuwere, en belangrijker, betere versies zijn. Helaas valt dat laatste nogal tegen). GoogleToolbarNotifier.exe (Uit de beschrijving: Met de functie Google Toolbar Notifier kunt u Google instellen als uw standaardzoekmachine en voorkomt u dat uw zoekinstellingen zonder uw toestemming worden gewijzigd. Nou, je hebt zelf gezien hoe effectief dit was... Uitgooien die onzin. Dat je de Google toolbar gebruikt doet mij ook al verdriet ;-) maar het is je goed recht dus die laat je lekker actief.) mdm.exe (De Microsoft Debug Monitor. Gewéldige tool -kuch- doet een uitgebreide analyse van problemen bij vastlopers in de pc. Maakt logfiles die kilometers lang zijn, en die alleen een supertechneut kan begrijpen. Vertraagt de pc en.... laat de pc ook nog wel eens vastlopen. Je kan zonder, je wil zonder.) SMAgent.exe (Weer zoiets onzinnigs. Er wordt een icoontje in de system tray geplaatst, zodat je snel naar de geluidskaartinstellingen kan om die te verprutsen/verbeteren. Onzin alsumijnvraag. Als je dat al wil doe je dat meestal een keer, en dan ga je lekker naar het configuratiescherm waar dat ook prima kan. Daarvoor hebben wij niet zo'n opdringerig geheugenvretend icoontje voor nodig, toch? Uitzetten zou ik zeggen) ctfmon.exe (Heb je een brailleregel? Of wil je de computer met spraak aan gaan sturen? Gebruik je een Oostaziatische invoertaal? Nee? Gôh.. Dit is de "alternatieve gebruikersinvoer" Uit te schakelen bij landinstellingen, talen, knop details, tabblad geavanceerd, vinkje in "Geavanceerde geavanceerde teskstservices uitschakelen". Nee, geen typefout. Kennelijk zijn er ook niet geavanceerde geavanceerde tekstservices.. registrybooster (Snake-oil programma. Doet niets zinnigs, behalve de kans op problemen verhogen. Verwijderen). NOS Microsystems Ltd getplus (Adobe alweer.. soort downloadmanager, heeft -had- beveiligingslekken. Niet nodig als je dat bloated acrobat verwijdert en iets snellers, lichters en stabielers als foxit reader gaat gebruiken)
[/list]
Michel Uphoff (NLcomputer)
Homepage
Bericht 16 van 34NL Computer Forum ~ Computerbeveiligin g Van | : | Michel Uphoff (Sysop) | Datum | : | 15-03-2009 |
Aan | : | Don Esteban (NLHelp) | MsgID | : | 4191.16 |
Onderwerp | : | A360 | Forum | : | ws-nlcomputer |
Hoi Don,
"Het" tooltje om eenvoudig ongewenste opstarts te listen, tijdelijk uit te zetten of definitief te verwijderen is Autoruns (attached). Overigens zal ook dit tooltje geen middels rootkit techniek verborgen bestanden kunnen tonen.
Zeker in het begin zal de lijst die het programma aanmaakt nogal indrukwekkend lijken, maar als je bovenin Options, Hide Microsoft Entries kiest (en dan vernieuwen), wordt hij al een heel stuk korter, en blijven de zaken in beeld waar het meestal om gaat.
(Tijdelijk) uitschakelen van een autorun: Verwijder vinkje. Ongedaan maken plaats vinkje terug. Definitief (kijk uit!) verwijderen van autorun entry, rechtklik, delete. Het programma heeft nog wat aardige features, zoals een registry jump, en direct eigenschappen van een autorun opvragen, en nog wat handigheidjes. Maar in eerste instantie is het een gouden tool om overbodige opstarts tot zwijgen te brenegen.
Je kan wat screenshots toezenden als je wilt, kunnen we aangeven welke vinkjes je het beste verwijdert.
Michel Uphoff (NLcomputer)
Homepage | Bijlagen : autoruns.chm 48KB | autoruns.exe 631KB |
Bericht 17 van 34NL Computer Forum ~ Computerbeveiligin g Van | : | Peter | Datum | : | 15-03-2009 | Aan | : | Don Esteban (NLHelp) | MsgID | : | 4191.17 | Onderwerp | : | A360 | Forum | : | ws-nlcomputer |
Don, Deze items kun je op je pc 'fixen' met Hijackthis: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896'Hmm, deze is interesant, een restant van de 'agcutils.dll' Op jouw pc? R3 - URLSearchHook: (no name) - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - (no file) 'ben niet zeker van deze, mogelijk een Windows Live onderdeel of restant O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 'Real Player ooit geinstalleerd?, dan is dit een restant O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) 'Deze mogen ook weg als je wil, knop en menuitem in IE om de JAVA plugin handmatig te openen O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll Overige acties: De Java plugin is veroudert, je hebt v1.6.0_03, de huidige is v1.6.0_12 >>C:\Program Files\AGI\common\win32\PythonService.exe<< Kun je vergelijken met Java. Een soort service dat programma's, geschreven met Python, nodig heeft. Related to Python a dynamic object-oriented programming language. Note: Located in \%Program Files%\AGI\common\win32\ Deze service mag je ook uitschakelen via SERVICES.MSC, zie Machine Debug Manager C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE groeten, Peter |
Bericht 18 van 34NL Computer Forum ~ Computerbeveiligin g Van | : | Michel Uphoff (Sysop) | Datum | : | 15-03-2009 |
Aan | : | Don Esteban (NLHelp) | MsgID | : | 4191.18 |
Onderwerp | : | A360 | Forum | : | ws-nlcomputer |
Hoi Don
>> Die 'agcutil.dll' is zo te zien onderdeel van jouw geliefde webshots <<Schreef ik. En die is zo te zien mooi verwijderd door een van de cleaners. Toeval? Als ik
deze thread zie, lijkt het van niet. Ook het commentaar op de versie van november 2008 is niet van de lucht:
http://blog.webshots.com/?p=1017
Michel Uphoff (NLcomputer)
Homepage
Bericht 19 van 34NL Computer Forum ~ Computerbeveiligin g Van | : | Tony de Jonge (Sysop) | Datum | : | 15-03-2009 |
Aan | : | Michel Uphoff (Sysop) | MsgID | : | 4191.19 |
Onderwerp | : | A360 | Forum | : | ws-nlcomputer |
Michel,
> Nodje was in Veilige modus gestart?
Ehh, nee. Dat kan dus een oorzaak zijn, maar had NOD het al niet op voorhand tegen moeten/kunnen houden...? Is is dat er eentje waar als je ergens op een vraag Ja/Ok klikt je alsnog de ... bent?
TdJ
Bericht 20 van 34NL Computer Forum ~ Computerbeveiligin g Van | : | Don Esteban (NLHelp) | Datum | : | 15-03-2009 |
Aan | : | Peter | MsgID | : | 4191.20 |
Onderwerp | : | A360 | Forum | : | ws-nlcomputer |
Hoi Peter,
Bedankt voor de aanwijzingen. Ik heb de Real Player nooit bewust geinstalleerd. Die word je ongewild in de maag gesplitst. Je krijgt hem cadeau als je CompuServe CS 2000 6.02 installeert. Na verwijdering blijft 6.02 altijd om herinstallatie schreeuwen maar dat negeer ik. Voorlopig laat ik CS 6.02 nog staan als naslag t.b.v. vragen op het NLHelp forum.
Java moet ik inderdaad eens updaten. Zoals Michel al zegt, eigenlijk belachelijk dat ze je regelmatig met updates bestoken maar de oude troep niet opruimen. Als ik anderen help met hun pc zie ik vaak tot 6 versies staan waarvan er 5 verwijderd kunnen worden.
De 'agcutils.dll' ga ik me nog eens in verdiepen. Ik ga er Webshots niet voor verwijderen. Ik houd nu eenmaal van een geanimeerde desktop en ik ben niet de enige;-)