logbestand

  • Bikkel

    ik heb last van een trojan horse (trojan.stwoyle) ik kom er maar niet vanaf.

    ik heb norton 2005 dus als de trojan binnen komt geageert hij gelijk en verwijdert hem ook maar deze is vervelend en blijft onwillekeurig komen de heledag door.

    ik heb mijn pc al een paar keer gescand in veilige modus en ik heb ook hitman pro 2 die heb ik ook een paar keer gedaan maar toch blijft er iets op mijn pc staan waar door hij aangetrokken wordt en ik weet niet wat.

    wie kan mij helpen.

    hier is mijn logbestand van hijackthis.

    Logfile of HijackThis v1.99.1

    Scan saved at 7:24:35, on 5-10-2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

    C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

    C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

    C:\WINDOWS\system32\LEXBCES.EXE

    C:\WINDOWS\system32\spoolsv.exe

    C:\Program Files\Ahead\InCD\InCDsrv.exe

    C:\Program Files\Norton AntiVirus\navapsvc.exe

    C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

    C:\WINDOWS\system32\MsPMSPSv.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\LVCOMSX.EXE

    C:\Program Files\Trust\302KS\Mouse\mouse32a.exe

    C:\Program Files\Daily Weather Forecast\weather.exe

    C:\Program Files\Common Files\Symantec Shared\ccApp.exe

    C:\Program Files\Weather Watcher\ww.exe

    C:\Program Files\Trust\302KS\Keyboard\KbdAp32A.exe

    C:\Program Files\Norton AntiVirus\OPScan.exe

    C:\Program Files\Messenger\msmsgs.exe

    E:\pc\hijackthis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.nl/

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.nl

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.nl

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

    O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

    O4 - HKLM\..\Run: %systemroot%\system32\dumprep 0 -u

    O4 - HKLM\..\Run: SysTray.Exe

    O4 - HKLM\..\Run: C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

    O4 - HKLM\..\Run: StartupMonitor.exe

    O4 - HKLM\..\Run: C:\WINDOWS\system32\LVCOMSX.EXE

    O4 - HKLM\..\Run: Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

    O4 - HKLM\..\Run: C:\Program Files\Trust\302KS\Keyboard\MMKEYBD.EXE

    O4 - HKLM\..\Run: C:\Program Files\Trust\302KS\Mouse\mouse32a.exe

    O4 - HKLM\..\Run: C:\Program Files\Daily Weather Forecast\weather.exe

    O4 - HKLM\..\Run: “C:\Program Files\Common Files\Symantec Shared\ccApp.exe”

    O4 - HKLM\..\Run: C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

    O4 - HKCU\..\Run: C:\Program Files\Weather Watcher\ww.exe

    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

    O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

    O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)

    O9 - Extra button: MultiPoker - {641F4F4E-6C91-4159-869E-9F5CE6F0F64E} - C:\Program Files\MultiPoker\MultiPoker.exe

    O9 - Extra ‘Tools’ menuitem: MultiPoker - {641F4F4E-6C91-4159-869E-9F5CE6F0F64E} - C:\Program Files\MultiPoker\MultiPoker.exe

    O9 - Extra button: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Program Files\EmpirePoker\EmpirePoker.exe (file missing)

    O9 - Extra ‘Tools’ menuitem: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Program Files\EmpirePoker\EmpirePoker.exe (file missing)

    O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O16 - DPF: {01010E00-5E80-11D8-9E86-0007E96C65AE} (SupportSoft SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab

    O16 - DPF: {01012101-5E80-11D8-9E86-0007E96C65AE} (SupportSoft Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab

    O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab

    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124527143250

    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

    O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab

    O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

    O20 - AppInit_DLLs: MsgPlusLoader.dll

    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

    O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe

    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

    O23 - Service: Norton AntiVirus Auto-Protect-service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

    O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

  • lucas

    Hoi Bikkel,

    Ik heb geen tijd om naar je logje te kijken ;). Wat je eerst nog even kan doen is Ewido downloaden. Haal de updates op en doe een volledige systeemscan. Laat gevonden infecties verwijderen.

    http://download.ewido.net/ewido-setup.exe

    Plaats een nieuw Hijack logje in dit topic.

    Een ervaren loglezer zal je verder helpen :)

    Lucas

  • Bikkel

    hier is dat logbestandje van ewido

    ———————————————————

    ewido security suite - Scan rapport

    ———————————————————

    + Gemaakt op: 8:48:48, 5-10-2005

    + Rapport samenvatting: DEE2228C

    + Scan resultaten:

    C:\Documents and Settings\Frits den Elsen\Cookies\frits den elsen@estat.txt -> Spyware.Cookie.Estat : Schoongemaakt met een backup

    C:\Documents and Settings\Nathalie\Cookies\nathalie@estat.txt -> Spyware.Cookie.Estat : Schoongemaakt met een backup

    C:\Documents and Settings\Nathalie\Cookies\nathalie@atdmt.txt -> Spyware.Cookie.Atdmt : Schoongemaakt met een backup

    E:\Nero\dvdvideopluginversion6009vonneroburningromneroexpress_PxDfZxHjHkSdWnXv\install_cheat_001.exe -> TrojanDownloader.IstBar.lu : Schoongemaakt met een backup

    ::Einde rapport

  • pablo

    hoi bikkel,

    ik zie de trojan niet in je logje ;)

    heb je een scan in veilige modus met je virusscanner laten doen?

    en kan je vertellen wat norton waar vind? :)

    http://securityresponse.symantec.com/avcenter/venc/data/trojan.stwoyle.html

    open een leeg kladblokbestand en plak daar alle vetgedrukte tekst in:

    REGEDIT4

    sla het op je bureaublad op als fix.reg met als type “alle bestanden”

    dubbelklik nu het net gemaakte bestand en klik in de popup met de vraag of je het aan het register wil toevoegen op OK.

    wacht tot je de melding krijgt dat het succesvol aan het register is toegevoegd en herstart dan je pc.

    doe daarna een volledige systeemscan met norton en vertel of er nog wat gevonden word ;)

    paul :)

    paul :)

  • Bikkel

    Klopt dat hij niet in het logje staat dat is het hem nou juist.

    ik snap er ook niks van heb nu al 3 x in veilige modus gedaan en de “magneet”(wat hem steeds aantrekt) blijft maar zitten.

  • lucas

    Hoi Bikkel,

    Zoals Paul al vroeg, kun je ook aangeven waar Norton deze Trojan vindt?

    Kijk eens even in de logboeken van Norton ;).

    Plaats anders ook even een silent runners logje:

    www.silentrunners.org/

    Download silentrunners.vbs naar je bureaublad en dubbelklik de file,als je virusscanner meldig maakt van een mogelijk kwaadaardig script sta het dan toe

    wacht geduldig tot het klaar is en plaats het gemaakte logje met een nieuw hijack logje even hier.

    Lucas :)

  • Bikkel

    de silentrunner doet niet zoveel of ik snap het niet.

    norton vind hem niet hij houd hem tegen bij de deur en hij meld hem dan dat hij hem succesvol verwijdert is, maar hij blijft maar komen ik kom niet van hem af.

    Bikkell

  • pablo

    probeer dit nog even ;)

    Download win32delfkil.exe.

    http://users.telenet.be/marcvn/tools/win32delfkil.exe

    Plaats het op je bureaublad en dubbelklik op win32delfkil.exe om het te installeren.

    Er wordt een map op je bureaublad geplaatst die win32delfkil noemt.

    Sluit alle open vensters en sla bestanden op die eventueel nog openstaan.

    Open de map win32delfkil en dubbelklik op fix.bat.

    De computer zal herstarten.

    vertel even of hij nu wel weg blijft ;)

    paul :)

  • Bikkel

    heb ik gedaan paul maar hij komt nog steeds terug zucht.

    Groetjes

  • pablo

    download silentrunners.vbs naar je bureaublad ( zie lucas zijn bericht voor de link ),dubbelklik het bestand,als je een melding krijgt van norton over een gevaarlijk script sta het dan toe.

    wacht geduldig tot hij klaar is en plaats dan het tekst bestand wat aangemaakt is hier :)

    paul :)