antivirus.startpagina.nl

Virus in Outlook ?

  • Anonymous avatar

    Mark

    Hallo

    Ik had gisteren deze twee berichten met logs al achtergelaten op dit prikbord.

    (geen reacties gehad)

    Maar ik heb ze nu maar even bij elkaar gezet, met wat meer uitleg.

    Alle geadviseerde stappen die het prikbord voorschrijft heb ik al doorlopen.

    Mijn outlook opent gewoon, het zandlopertje blijft ca. 5 seconden hangen, daarna is het weg,

    Dan is er ca. 5 seconden geen activiteit (ook geen pijltje/handje) en verdwijnt Outlook van het scherm.

    Ik heb Outlook hersteld. Dat hielp ook niet.

    Kan dit een virus zijn? Onze virusscanner Norman heeft enkele dagen geleden wel een Trojan verwijderd.

    Mark

    Logfile of Trend Micro HijackThis v2.0.3 (BETA)

    Scan saved at 12:52:17, on 24-3-2010

    Platform: Windows XP SP3 (WinNT 5.01.2600)

    MSIE: Internet Explorer v7.00 (7.00.6000.16981)

    Boot mode: Normal

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\csrss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Norman\Npm\bin\ELOGSVC.EXE

    C:\Norman\Npm\Bin\Zanda.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\LEXBCES.EXE

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\system32\LEXPPS.EXE

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

    C:\Program Files\Bonjour\mDNSResponder.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Program Files\Norman\NPF\NPFSVICE.EXE

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\PSIService.exe

    C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Norman\Npm\bin\NJEEVES.EXE

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\wbem\unsecapp.exe

    C:\WINDOWS\System32\alg.exe

    C:\WINDOWS\system32\wbem\wmiprvse.exe

    C:\WINDOWS\RTHDCPL.EXE

    C:\Norman\Npm\bin\ZLH.EXE

    C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe

    C:\WINDOWS\system32\VTTimer.exe

    C:\Program Files\Lexmark 2200 Series\lxbvbmon.exe

    C:\Program Files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe

    C:\Program Files\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe

    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

    C:\Program Files\iTunes\iTunesHelper.exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\Program Files\Messenger\msmsgs.exe

    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

    C:\Program Files\Norman\NPF\NPFMSG.EXE

    C:\Program Files\Belkin Corporation\Belkin Wireless Network Monitor Utility and Driver\RtlWake.exe

    C:\Program Files\Webshots\WebshotsTray.exe

    C:\Program Files\iPod\bin\iPodService.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

    C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe

    C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe

    C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

    C:\Norman\nse\bin\NSESVC.EXE

    C:\Norman\Nvc\BIN\NIP.EXE

    C:\Norman\Nvc\bin\nvcoas.exe

    C:\Norman\Nvc\BIN\NVCSCHED.EXE

    C:\Norman\Nvc\bin\cclaw.exe

    C:\Program Files\Internet Explorer\iexplore.exe

    C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe

    C:\WINDOWS\System32\msiexec.exe

    C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe

    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

    O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

    O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll

    O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll

    O4 - HKLM\..\Run: RTHDCPL.EXE

    O4 - HKLM\..\Run: ALCMTR.EXE

    O4 - HKLM\..\Run: C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: “C:\Norman\Npm\bin\ZLH.EXE” /LOAD /SPLASH

    O4 - HKLM\..\Run: “C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe”

    O4 - HKLM\..\Run: VTTimer.exe

    O4 - HKLM\..\Run: S3trayp.exe

    O4 - HKLM\..\Run: “C:\Program Files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe” -startup

    O4 - HKLM\..\Run: C:\Program Files\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe

    O4 - HKLM\..\Run: “C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe” -launchedbylogin

    O4 - HKLM\..\Run: C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

    O4 - HKLM\..\Run: “C:\Program Files\QuickTime\qttask.exe” -atboottime

    O4 - HKLM\..\Run: “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe”

    O4 - HKLM\..\Run: “C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe”

    O4 - HKLM\..\Run: C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

    O4 - HKLM\..\Run: “C:\Program Files\iTunes\iTunesHelper.exe”

    O4 - HKLM\..\RunOnce: C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

    O4 - HKCU\..\Run: C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: “C:\Program Files\Messenger\msmsgs.exe” /background

    O4 - HKUS\S-1-5-19\..\Run: C:\WINDOWS\System32\CTFMON.EXE (User ‘Lokale service’)

    O4 - HKUS\S-1-5-20\..\Run: C:\WINDOWS\System32\CTFMON.EXE (User ‘Netwerkservice’)

    O4 - HKUS\S-1-5-18\..\Run: C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’)

    O4 - HKUS\.DEFAULT\..\Run: C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’)

    O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\WebshotsTray.exe

    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

    O4 - Global Startup: NPF Messenger.lnk = ?

    O4 - Global Startup: RtlWake.lnk = ?

    O9 - Extra button: Toon of verberg HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

    O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} (JordanUploader Class) -

    O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) -

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

    O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) -

    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} -

    O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) -

    O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

    O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

    O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

    O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

    O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Norman\Npm\bin\ELOGSVC.EXE

    O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

    O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

    O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

    O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

    O23 - Service: Norman NJeeves - Norman ASA - C:\Norman\Npm\bin\NJEEVES.EXE

    O23 - Service: Norman Type-R - Unknown owner - C:\Program Files\Norman\NPF\NPFSVICE.EXE

    O23 - Service: Norman ZANDA - Norman ASA - C:\Norman\Npm\Bin\Zanda.exe

    O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\Norman\nse\bin\NSESVC.EXE

    O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe

    O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Norman\Nvc\BIN\NVCSCHED.EXE

    O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

    O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe

    End of file - 10332 bytes

    Malwarebytes' Anti-Malware 1.44

    Database versie: 3908

    Windows 5.1.2600 Service Pack 3

    Internet Explorer 7.0.5730.13

    24-3-2010 12:50:15

    mbam-log-2010-03-24 (12-50-15).txt

    Scan type: Snelle Scan

    Objecten gescand: 124038

    Verstreken tijd: 10 minute(s), 43 second(s)

    Geheugenprocessen geïnfecteerd: 0

    Geheugenmodulen geïnfecteerd: 0

    Registersleutels geïnfecteerd: 0

    Registerwaarden geïnfecteerd: 0

    Registerdata bestanden geïnfecteerd: 0

    Mappen geïnfecteerd: 0

    Bestanden geïnfecteerd: 0

    Geheugenprocessen geïnfecteerd:

    (Geen kwaadaardige items gevonden)

    Geheugenmodulen geïnfecteerd:

    (Geen kwaadaardige items gevonden)

    Registersleutels geïnfecteerd:

    (Geen kwaadaardige items gevonden)

    Registerwaarden geïnfecteerd:

    (Geen kwaadaardige items gevonden)

    Registerdata bestanden geïnfecteerd:

    (Geen kwaadaardige items gevonden)

    Mappen geïnfecteerd:

    (Geen kwaadaardige items gevonden)

    Bestanden geïnfecteerd:

    (Geen kwaadaardige items gevonden)

  • Anonymous avatar

    Jos H

    Beter was om geen nieuw topic aan te maken ,daar dit verwarring geeft.

    Als je een reactie plaatst onder de eerste vraag komt hij vanzelf bovenaan.

  • Anonymous avatar

    Mark

    Oké, ik zal de volgende keer mijn aanvulling eronder plaatsen.

  • Anonymous avatar

    Mark

    Hallo,

    Heeft dit iets met een virus te maken? Ik ben aan het zoeken maar heb er weinig verstand van.

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

    Dit stond op virusalert.nl:

    Wuwo is een trojan, welke verpakt zit in een bestand met een PDF- of MS office extensie. Het wordt geactiveerd door dit bestand handmatig te openen. Na infectie installeert het het bestand ‘wuweb.exe’ in de standaard Windows\Temp directorie.

    Herkenning van besmetting:

    Het maakt een registry sleutel aan die ervoor zorgt dat de trojan wordt gestart nadat Windows is gestart, de sleutel luidt:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\“wuweb” = "\wuweb.exe"

    Mark

  • Anonymous avatar

    Jos H

    Mark ik ben geen loglezer , maar deze regel is geen virus .

    Met google gevonden: http://support.microsoft.com/kb/914227

  • Anonymous avatar

    Jos H

    Staat bij internetopties ,programma's MS outlook wel als standaard mailprogramma.

  • Anonymous avatar

    Mark

    Ja, dat staat wel goed.

    Blijkbaar ziet niemand iets raars in mijn logfiles…..

  • Anonymous avatar

    Jos H

    Nogmaals ik ben geen loglezer , maar ik zie geen problemen in je log.?

    Mogelijk toch een probleem in Ms outlook of instellingen.

  • Anonymous avatar

    fazantje

    Hoi Mark,

    Start HijackThis, vink de volgende regel aan:

    016 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) -

    Sluit alle openstaande vensters, behalve HijackThis en klik op Fix Checked

    Laat hierna even weten of het heeft geholpen.

    Denk het niet want mijn gevoel zegt dat het een software matig probleem is.

    Succes,

    Huib:)

  • Anonymous avatar

    Ruudje

    Mark Schreef:

    ——————————————————-

    > Mijn outlook opent gewoon, het zandlopertje blijft ca. 5 seconden hangen, daarna is het weg,

    > Dan is er ca. 5 seconden geen activiteit (ook geen pijltje/handje) en verdwijnt Outlook van het scherm.

    >

    > Onze virusscanner Norman heeft enkele dagen geleden wel een Trojan verwijderd.

    Maakt Norman geen Report-logjes aan?

    Als dat wel zo is kan je daarin opzoeken wat ie heeft verwijdert.