antivirus.startpagina.nl

op de E-schijf een hijacker

  • Anonymous avatar

    wilma

    Hallo allemaal,

    Sinds gisteren doet mijn PC heel raar. Gooit geschiedenis weg, schakeld de soundblaster van Creative uit en nu blijkt er een hijacker (volgens panda) op de installatie cd rom te staan van deze Creative (E:\audio\drivers\common\killaps). Als ik in de audio in het configuratieschem probeer te kijken dan schakeld de hele computer uit en start vervolgens opnieuw op.

    Omdat we vanavond een feestje hebben heb ik nog even wat muziek van Lime-wire gedownload. Zal dit het zijn?

    Ik heb de log hieronder gezet. Zou er heel misschien iemand even willen kijken?

    Alvast bedank en groetjes,

    wilma

    Logfile of HijackThis v1.99.0

    Scan saved at 17:28:17, on 5-11-2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\csrss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\carpserv.exe

    C:\WINDOWS\system32\CTHELPER.EXE

    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE

    C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe

    C:\Program Files\iTunes\iTunesHelper.exe

    C:\Program Files\QuickTime\qttask.exe

    C:\Program Files\Nuria\Nuria.exe

    C:\WINDOWS\system32\LVCOMSX.EXE

    C:\WINDOWS\system32\ctfmon.exe

    C:\WINDOWS\system32\RUNDLL32.EXE

    C:\Program Files\MSN Messenger\msnmsgr.exe

    C:\Program Files\Messenger\msmsgs.exe

    C:\WINDOWS\System32\CTsvcCDA.exe

    C:\WINDOWS\system32\nvsvc32.exe

    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe

    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\SRVLOAD.EXE

    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe

    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

    C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\AVENGINE.EXE

    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\wdfmgr.exe

    C:\WINDOWS\System32\MsPMSPSv.exe

    C:\Program Files\iPod\bin\iPodService.exe

    C:\WINDOWS\System32\alg.exe

    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\WebProxy.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\System32\msiexec.exe

    C:\WINDOWS\system32\rundll32.exe

    D:\Downloads\downloads\hijackthis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.standbyservice.nl

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

    O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)

    O4 - HKLM\..\Run: RunDll32 cmicnfg.cpl,CMICtrlWnd

    O4 - HKLM\..\Run: RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

    O4 - HKLM\..\Run: nwiz.exe /install

    O4 - HKLM\..\Run: carpserv.exe

    O4 - HKLM\..\Run: CTHELPER.EXE

    O4 - HKLM\..\Run: “C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe”

    O4 - HKLM\..\Run: “C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Inicio.exe”

    O4 - HKLM\..\Run: “C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE” /s

    O4 - HKLM\..\Run: C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe

    O4 - HKLM\..\Run: “C:\Program Files\iTunes\iTunesHelper.exe”

    O4 - HKLM\..\Run: “C:\Program Files\QuickTime\qttask.exe” -atboottime

    O4 - HKLM\..\Run: C:\Program Files\Nuria\Nuria.exe

    O4 - HKLM\..\Run: C:\WINDOWS\system32\LVCOMSX.EXE

    O4 - HKLM\..\Run: C:\Program Files\Logitech\Video\ISStart.exe

    O4 - HKLM\..\Run: %systemroot%\system32\dumprep 0 -k

    O4 - HKLM\..\RunServices: “C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe”

    O4 - HKCU\..\Run: C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit

    O4 - HKCU\..\Run: “C:\Program Files\MSN Messenger\msnmsgr.exe” /background

    O4 - HKCU\..\Run: “C:\Program Files\Messenger\msmsgs.exe” /background

    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O14 - IERESET.INF: START_PAGE_URL=http://www.standbyservice.nl

    O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128616202156

    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)

    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

    O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

    O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    O23 - Service: Panda Antispam Server Service - Unknown - C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

    O23 - Service: Panda Firewall Service - Unknown - C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe

    O23 - Service: Panda Function Service - Unknown - C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

    O23 - Service: Panda Pavkre - Unknown - C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe

    O23 - Service: Panda PavProt - Unknown - C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

    O23 - Service: Panda Process Protection Service - Unknown - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

    O23 - Service: Panda anti-virus service - Unknown - C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

    O23 - Service: Panda Preventium+ Service - Unknown - C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

    O23 - Service: Panda IManager Service - Panda Software Internacional - C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe

  • Anonymous avatar

    Erik

    Volgens mij is het geen Malware in dit geval:

    Het zou alleen gebruikt moeten worden bij de installatie van de creative software om de lopende processen te beindigen opdat ze de installatie niet in de weg gaan zitten. Heb je de cd gescanned ofzo :? Of heb je alles naar de E-schijf gekopieerd :?

    In fact the killapps.exe is used by the Creative setup to terminate active applications before installing/uninstalling Creative software. The problem is that the same application is used by several scripts and trojans out there to terminate anti-virus software and firewalls.

    zoek naar de reactie van Andreas Haak (A2)http://forum.emsisoft.com/viewtopic.php?t=2459

  • Anonymous avatar

    wilma

    Hoi Erik,

    Omdat de boxen het niet meer deden hebben we de versie die erop stond er af gegooid en zijn we de cd opnieuw gaan installeren en toen kwam dit eruit. Voor die tijd hadden we deze melding niet. De cd hebben we gescanned met Panda en toen kwam deze melding. Volgens mij kan je toch niets kopiieren naar de E-schijf??

    Het rare is dat wat wat je ook doet een foutmelding krijgt.

    Zou het helpen om de cd te installeren als we panda even uitzetten of vragen we dan om problemen?

    Bedankt voor je reactie!

    groetjes,

    wilma

  • Anonymous avatar

    Erik

    Zet Panda dan maar even uit, kan geen kwaad in dit geval :-)

    Vergeet niet het weer aan te zetten :+