antivirus.startpagina.nl

W32.DlStwoyle.J

  • Anonymous avatar

    Erik

    Dacht dat kaspersky die file er al uit gehaald had :?

    Download win32delfkil.exe.

    Plaats het op je bureaublad en dubbelklik op win32delfkil.exe om het te installeren.

    Er wordt een map op je bureaublad geplaatst die win32delfkil noemt.

    Sluit alle open vensters en sla bestanden op die eventueel nog openstaan.

    Open de map win32delfkil en dubbelklik op fix.bat.

    De computer zal automatisch herstarten.

    Een logfile wordt gemaakt in het bestand c:\windelf.txt

    Plaats dat logje hier svp

    Verwijder de volgende bestanden nog via killbox:

    C:\WINDOWS\system32\ld7C34.tmp

    C:\WINDOWS\system32\mscornet.exe

    C:\WINDOWS\system32\svchosts.dll

    en deze map:

    c:\windows\system32\1024

  • Anonymous avatar

    pablo

    Erik schreef:

    >

    > Dacht dat kaspersky die file er al uit gehaald had :?

    volgens mij verwijdert de on-line scanner van kaspersky niets :?:)

    paul :)

  • Anonymous avatar

    Erik

    http://users.telenet.be/marcvn/tools/win32delfkil.exe

    Ik ben trouwens bang dat waar we nu mee te maken hebben een heel nieuwe variant is maar we gaan zien :-)

  • Anonymous avatar

    Erik

    Ook mooi KL**te ding dan :-( Gaan we weer terug naar Panda

  • Anonymous avatar

    Erik

    Verwijder eigenlijk maar alle bestanden met een .tmp extensie uit de map c:\windows\system32

  • Anonymous avatar

    Ronald

    In de system32 map 2 .tmp files:

    __delete_on_reboot__ld7781.tmp ———–> kan ik niet verwijderen

    config.tmp ————> is verwijderd

    C:\WINDOWS\system32\ld7C34.tmp ———> niette vinden

    C:\WINDOWS\system32\mscornet.exe ——-> kan ik niet verwijderen

    C:\WINDOWS\system32\svchosts.dll ——–> alleen een svchost.dll geen svchosts.dll te vinden.

    1024 is (weer) verwijderd.

    Logje van Win32delfkill:

    ************************

    * WIN32DELFKIL LOGFILE *

    ************************

    BEFORE RUNNING WIN32DELFKIL

    ***************************

    File(s) found in Windows directory

    ———————————-

    File(s) found in system32 folder

    ——————————–

    SharedTaskScheduler key

    ———————–

    SteelWerX Registry Console Tool 1.0

    Written by Bobbi Flekman © 2005

    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler

    {438755C2-A8BA-11D1-B96B-00A0C90312E1} REG_SZ Preloader van browseui

    {8C7461EF-2B13-11d2-BE35-3078302C2030} REG_SZ Cache-daemon voor onderdeelcategorieën

    {E802FFFF-8E58-4d2c-A435-8BEEFB10AB77} REG_SZ Reload Browse

    Notify key

    ———-

    AFTER RUNNING WIN32DELFKIL

    **************************

    File(s) found in Windows directory

    ———————————-

    File(s) found in system32 folder

    ——————————–

    SharedTaskScheduler key

    ———————–

    SteelWerX Registry Console Tool 1.0

    Written by Bobbi Flekman © 2005

    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler

    {438755C2-A8BA-11D1-B96B-00A0C90312E1} REG_SZ Preloader van browseui

    {8C7461EF-2B13-11d2-BE35-3078302C2030} REG_SZ Cache-daemon voor onderdeelcategorieën

    {E802FFFF-8E58-4d2c-A435-8BEEFB10AB77} REG_SZ Reload Browse

    Notify key

    ———-

  • Anonymous avatar

    Erik

    Zet in killbox tevens een vinkje bij end explorer shell en probeer dan nog eens deze te veriwjderen C:\WINDOWS\system32\mscornet.exe

    Doe eens een online scan bij Panda: http://www.pandasoftware.com/products/activescan.htm scan in eerste instantie alleen c:\windows bewaar het logje en plaats dat hier samen met een nieuw HJT logje :-)

  • Anonymous avatar

    Ronald

    mscornet.exe wil gewoon niet verwijderd worden.

    hier het logje van Panda en HJT

    Ik ga nu even Sint Maarten met m'n dochtertje van 3 .. dus ik kijk straks wel weer.

    P.S. nee Erik .. ik zet m'n PC niet uit.

    Incident Status Location

    Adware:adware/securityerror No disinfected C:\WINDOWS\system32\mscornet.exe

    Logfile of HijackThis v1.99.1

    Scan saved at 17:12:39, on 11-11-2005

    Platform: Windows XP SP1 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\System32\Ati2evxx.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\system32\Ati2evxx.exe

    C:\WINDOWS\System32\RunDll32.exe

    C:\Program Files\Medion Home Cinema XL II\PowerCinema\PCMService.exe

    C:\WINDOWS\Dit.exe

    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

    C:\Program Files\D-Tools\daemon.exe

    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

    C:\WINDOWS\System32\ctfmon.exe

    C:\WINDOWS\DitExp.exe

    C:\WINDOWS\System32\ZoneLabs\isafe.exe

    C:\Program Files\ewido\security suite\ewidoctrl.exe

    C:\Program Files\ewido\security suite\ewidoguard.exe

    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    C:\WINDOWS\system32\fxssvc.exe

    C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

    C:\WINDOWS\explorer.exe

    C:\Program Files\Internet Explorer\iexplore.exe

    E:\Programma's\PC bewerking\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

    O4 - HKLM\..\Run: RunDll32 cmicnfg.cpl,CMICtrlWnd

    O4 - HKLM\..\Run: “C:\Program Files\Medion Home Cinema XL II\PowerCinema\PCMService.exe”

    O4 - HKLM\..\Run: Dit.exe

    O4 - HKLM\..\Run: C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

    O4 - HKLM\..\Run: “C:\Program Files\D-Tools\daemon.exe” -lang 1033

    O4 - HKLM\..\Run: %systemroot%\system32\dumprep 0 -k

    O4 - HKLM\..\Run: “C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe”

    O4 - HKLM\..\Run: C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

    O4 - HKCU\..\Run: C:\WINDOWS\System32\ctfmon.exe

    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

    O9 - Extra ‘Tools’ menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

    O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab

    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

    O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe

    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

    O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

  • Anonymous avatar

    Erik

    Doe dan killbox en zet een vinkje bij delete on reboot.

  • Anonymous avatar

    Ronald

    Hij is verdwenen …… was dat alles?

    Nog even een logje van HJT:

    Logfile of HijackThis v1.99.1

    Scan saved at 18:15:27, on 11-11-2005

    Platform: Windows XP SP1 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\System32\Ati2evxx.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\system32\Ati2evxx.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\System32\RunDll32.exe

    C:\Program Files\Medion Home Cinema XL II\PowerCinema\PCMService.exe

    C:\WINDOWS\Dit.exe

    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

    C:\Program Files\D-Tools\daemon.exe

    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

    C:\WINDOWS\System32\ctfmon.exe

    C:\WINDOWS\DitExp.exe

    C:\WINDOWS\System32\ZoneLabs\isafe.exe

    C:\Program Files\ewido\security suite\ewidoctrl.exe

    C:\Program Files\ewido\security suite\ewidoguard.exe

    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    C:\WINDOWS\system32\fxssvc.exe

    C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

    C:\Program Files\Internet Explorer\iexplore.exe

    E:\Programma's\PC bewerking\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

    O4 - HKLM\..\Run: RunDll32 cmicnfg.cpl,CMICtrlWnd

    O4 - HKLM\..\Run: “C:\Program Files\Medion Home Cinema XL II\PowerCinema\PCMService.exe”

    O4 - HKLM\..\Run: Dit.exe

    O4 - HKLM\..\Run: C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

    O4 - HKLM\..\Run: “C:\Program Files\D-Tools\daemon.exe” -lang 1033

    O4 - HKLM\..\Run: %systemroot%\system32\dumprep 0 -k

    O4 - HKLM\..\Run: “C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe”

    O4 - HKCU\..\Run: C:\WINDOWS\System32\ctfmon.exe

    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

    O9 - Extra ‘Tools’ menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

    O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab

    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

    O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe

    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

    O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe