Mededeling

Collapse
No announcement yet.

"Trojan-downloader.small.dcu" ("FTP99CMP Back Oriffice" [sic]) mogelijk probleem

Collapse
X
  •  
  • Filter
  • Tijd
  • Show
Clear All
new posts

  • "Trojan-downloader.small.dcu" ("FTP99CMP Back Oriffice" [sic]) mogelijk probleem

    Hallo allemaal,

    Okay waar te beginnen... Ik post hier voor het eerst, zal zo bondig mogelijk proberen te formuleren en 'netjes in de hokjes proberen te kleuren' (huisregels etcetera).

    Sinds een tijd bemerk ik dat mijn PC trager loopt en harde schijf activiteit is aanwezig wanneer dat niet behoort te gebeuren; ook langere tijd dat, terwijl er zo goed als geen processen 'lopen', het toch een ratelfestijn (harde schijf geluid) af en toe is.
    Vooral als ik games draai (meerdere clients) dan vertraagt dat sowieso de boel, logisch. Maar dus ook eventuele nare programma's/scripts! En wat dan opvalt is dat voor een fractie van een seconde ik een desktopachtig/file system beeld zie, maar het is niet te definieren; het is een video glitch. (eerder kwam dit niet voor in vergelijkbare situatie)

    Toch maar na veel uitstellen PC Tools Spyware Doctor erover gehaald en ik kreeg dit te zien:
    "Trojan-Downloader.Small.DCU (1 infections)"
    \_ C:\DOCUMENTS AND SETTINGS\XXXXX\LOCAL SETTINGS\TEMP\WindowsInstaller-KB893803-v2-x86.exe
    Verder gaf een louche programma genaamd Trojan Guarder het volgende aan:
    "TCP:1492:FTP99CMP (BackOriffice.FTP) : 0.0.0.0:0 Listening"

    Voor U allen de volgende vragen:
    - Hoe heeft dit kunnen gebeuren waarbij bekend is dat er vrij weinig spannends gedownload is, firewall altijd aan was en Firefox de standaard browser is?
    - Hebben we hier te maken met een zgn false-positive? Zo niet;
    - Hoe kan ik dit oplossen zonder er voor te betalen en zonder de welbekende Windows herinstallatie? (en ja, ik weet dat dit klunzig klinkt, het zei me vergeven)

    De eerste vraag is voornamelijk zodat ik weet hoe ik het in de toekomst kan voorkomen, de derde uiteraard uit praktische optiek.

    Ik hoor het graag van U en laat het me weten als er informatie nodig is om dit probleem beter te tacklen.

    Hier volgt de log:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 02:15:33, on 03/01/2008
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
    C:\Program Files\Microsoft IntelliType Pro\itype.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
    C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
    C:\Program Files\Webroot\Spy Sweeper\SSU.EXE
    C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
    C:\Program Files\HijackThis\HijackThis.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
    O4 - HKLM\..\Run: [itype] "c:\Program Files\Microsoft IntelliType Pro\itype.exe"
    O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [SpyHunter Security Suite] "C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe"
    O4 - HKLM\..\Run: [SpySweeper] C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe /startintray
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: Crawler Search - tbr:iemenu
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184577159234
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
    O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
    O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
    O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
    O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

    --
    End of file - 5098 bytes
    Last edited by burnedout78; 03-01-08, 03:06.

  • #2
    Na 4 dagen spitten kwam ik met "Webroot Antivirus" er achter dat ik een zgn. TIBS dialer zou hebben. Dit schaadt mij volgens de beschrijving echt niet, daar ik een kabelverbinding heb. De vraag luidt dan alsnog, hoe kan dit ?

    Na enig zoeken met google kwam ik op "XoftSpySE" die dit probleem zou kunnen verhelpen. Dit is niet gebeurd (TIBS dialer kwam niet voor in de scan) maar wel iets veel vervelenders: "Delf WG Trojan" als c:\windows\start.exe . Uiteraard moest $39.99 opgehoest worden om dit te verwijderen en geld is nog altijd een probleem, dus handmatig verwijderd en gezocht naar de loader (vreemd genoeg kwam deze zowel in c:\windows en subdirs als de registry niet voor (windrv.exe)).

    Wat erg frustrerend is is dat avast, webroot en trojan hunter allen deze trojan niet eens detecteerden. Je krijgt sterk het gevoel dat je door de bomen het bos niet meer ziet met al deze exotische virus/spyware/adware/trojan/whateverwares scanners.

    Na XoftSpySE opnieuw te hebben gedraaid kreeg ik geen hits meer, en de rest ziet er nu ook kalm uit, maar de vraag is en blijft nog altijd, is dit einde oefening of zijn al deze scanners bij elkaar alsnog niet 100% waterproof?

    Ik hoor het graag.

    Comment


    • #3
      *Azrael bump (geen verandering sinds laatste post)

      Comment


      • #4
        Blijkbaar heb je zelf per ongeluk je topic de "In behandeling-status" gegeven, dit in combinatie met het posten van meerdere antwoorden in je eigen topic heeft er voor gezorgd dat wij je topic over het hoofd hebben gezien.

        Heb je nog steeds hulp nodig?
        Zo ja, post dan even een nieuw logje van Hijackthis en vertel welke problemen je nog ondervindt

        Comment

        Sorry, you are not authorized to view this page
        Working...
        X