Mededeling

Collapse
No announcement yet.

adware gevonden door avast

Collapse
X
Collapse
  •  
  • Page of 1
  • Filter
  • Tijd
  • Show
Clear All
new posts
Vorige template Volgende
  • #1

    adware gevonden door avast

    Ik heb een scan met avast gedaan, en het bleek dat er 2 meldingen van adware zijn. Ik merkte verder niks van adware.

    Sign of "Win32:Agent-AWB [Adw]" has been found in "D:\System Volume Information\_restore{F29D7BFC-DEF7-4065-ACE6-0478442158FB}\RP11\A0001767.exe\$INSTDIR\SetupDTSB.exe\DaemonTools_WhenUSaveNow_Installer.exe" file.
    Sign of "Win32:Adware-gen [Adw]" has been found in "D:\System Volume Information\_restore{F29D7BFC-DEF7-4065-ACE6-0478442158FB}\RP11\A0001767.exe\$INSTDIR\SetupDTSB.exe" file.
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:05:23, on 23/01/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Avastp\aswUpdSv.exe
    C:\Program Files\Avastp\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\SOUNDMAN.EXE
    D:\Program Files\D-Tools\daemon.exe
    C:\PROGRA~1\Avastp\ashDisp.exe
    C:\Program Files\Mouse Optical\Panel.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Agnitum\outpost.exe
    C:\Program Files\Avastp\ashWebSv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Avastp\ashSimpl.exe
    E:\Emule\eMule.exe
    C:\Program Files\Avastp\ashLogV.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    D:\Program Files\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.altavista.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
    O4 - HKLM\..\Run: [DAEMON Tools] "D:\Program Files\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avastp\ashDisp.exe
    O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\outpost.exe /waitservice
    O4 - HKLM\..\Run: [Trust Gaming mouse] "C:\Program Files\Mouse Optical\Panel.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\npjpi160_03.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\npjpi160_03.dll
    O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Plugins\BrowserBar\ie_bar.dll
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155829201453
    O17 - HKLM\System\CCS\Services\Tcpip\..\{23ED24D7-9972-444B-B014-2A694C6532BC}: NameServer = 194.134.5.55,194.134.5.5
    O17 - HKLM\System\CS1\Services\Tcpip\..\{23ED24D7-9972-444B-B014-2A694C6532BC}: NameServer = 194.134.5.55,194.134.5.5
    O17 - HKLM\System\CS2\Services\Tcpip\..\{23ED24D7-9972-444B-B014-2A694C6532BC}: NameServer = 194.134.5.55,194.134.5.5
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avastp\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avastp\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avastp\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avastp\ashWebSv.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\outpost.exe

    --
    End of file - 4843 bytes
    Labels: Geen
    • Citaat
  • #2
    Beide bestanden zijn in systeemherstelpunten gevonden.

    1. Download [url=http://java.sun.com/javase/downloads/index.jsp]Java Runtime Environment (JRE) 6u4.
    • Scroll omlaag naar : "Java Runtime Environment (JRE) 6u4".
    • Klik op de "Download" knop aan de rechterkant.
    • In het uitklapmenu rechts naast Platform, selecteer Windows
    • Vink aan: "[b]I agree to the Java SE Runtime Environment 6 License Agreement[/i]", en klik op Continue.
    • De pagina zal herladen.
    • Klik op de jre-6u4-windows-i586-p.exe link ONDER Windows Offline Installation en bewaar het naar je Bureaublad.
    • Sluit alle programma's die eventueel open zijn - Zeker je web browser!
    • Ga dan naar Start > Configuratiescherm > Software en verwijder alle oudere versies van Java uit de Softwarelijst.
    • Vink alles aan met Java Runtime Environment (JRE of J2SE) in de naam.
    • Klik dan op Verwijderen of op de Wijzig/Verwijder knop.
    • Herhaal dit tot alle oudere versies verdwenen zijn.
    • Na het verwijderen van alle oudere versies, herstart je pc.
    • Dubbelklik vervolgens op jre-6u4-windows-i586-p.exe op je Bureaublad om de nieuwste versie van Java te installeren.


    2. Verwijder de huidige herstelpunten even:
    http://www.nucia.eu/forum/showthread.php?t=30317

    Daarna kun je systeemherstel weer gewoon inschakelen.

    Post een nieuw Hijackthislogje en meld hoe het met de problemen is.

    Succes
    • Citaat

    Comment

    • #3
      Ik merkte nog steeds niks van de adware.

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 13:56:50, on 28/01/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Avastp\aswUpdSv.exe
      C:\Program Files\Avastp\ashServ.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\ctfmon.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\SOUNDMAN.EXE
      D:\Program Files\D-Tools\daemon.exe
      C:\PROGRA~1\Avastp\ashDisp.exe
      C:\Program Files\Mouse Optical\Panel.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\Program Files\Agnitum\outpost.exe
      C:\Program Files\Avastp\ashWebSv.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\WINDOWS\System32\svchost.exe
      E:\Emule\eMule.exe
      C:\Program Files\MSN Messenger\msnmsgr.exe
      C:\Program Files\Microsoft Office\Office\WINWORD.EXE
      C:\WINDOWS\msagent\AgentSvr.exe
      E:\Emule\tsugi\Share.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      D:\Program Files\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.altavista.com
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
      O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
      O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
      O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
      O4 - HKLM\..\Run: [DAEMON Tools] "D:\Program Files\D-Tools\daemon.exe" -lang 1033
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avastp\ashDisp.exe
      O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\outpost.exe /waitservice
      O4 - HKLM\..\Run: [Trust Gaming mouse] "C:\Program Files\Mouse Optical\Panel.exe"
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
      O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Plugins\BrowserBar\ie_bar.dll
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155829201453
      O17 - HKLM\System\CCS\Services\Tcpip\..\{23ED24D7-9972-444B-B014-2A694C6532BC}: NameServer = 194.134.5.55,194.134.5.5
      O17 - HKLM\System\CS1\Services\Tcpip\..\{23ED24D7-9972-444B-B014-2A694C6532BC}: NameServer = 194.134.5.55,194.134.5.5
      O17 - HKLM\System\CS2\Services\Tcpip\..\{23ED24D7-9972-444B-B014-2A694C6532BC}: NameServer = 194.134.5.55,194.134.5.5
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avastp\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avastp\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avastp\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avastp\ashWebSv.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\outpost.exe

      --
      End of file - 4914 bytes
      • Citaat

      Comment

      • #4
        Ziet er goed uit.
        Vindt Avast nog steeds infectie's??
        • Citaat

        Comment

        • #5
          nee, avast heeft geen adware ofzo meer gevonden.
          • Citaat

          Comment

          • #6
            Is de pc nu helemaal schoon?
            • Citaat

            Comment

            • #7
              Ziet er allemaal weer goed uit

              Ik verplaats dit topic naar de sectie "Opgelost / inactieve HJT-logs".
              Mocht je het topic heropend willen hebben kun je mij een pb sturen.
              • Citaat

              Comment

              • #8
                Heropent op verzoek.

                Oorspronkelijk geplaatst door okeee
                hoi, ik had nog een vraag.

                Sign of "Win32:Agent-AWB [Adw]" has been found in "D:\System Volume Information\_restore{F29D7BFC-DEF7-4065-ACE6-0478442158FB}\RP11\A0001767.exe\$INSTDIR\SetupDTSB.exe\DaemonTools_WhenUSaveNow_Installer.exe" file.
                Dit programma, ik weet dat het mogelijk is hiermee spyware te installeren. Bij de installer.exe kan je een optie kiezen die spyware bevat. Ik had die optie niet gekozen om spyware te vermijden, maar toch geeft a-vast een melding.
                Zat er dan toch adware op de pc, of was het maar een melding dat de installer.exe adware bevat?
                Het gevonden bestand zit in een herstelpunt.
                Als het goed is heb je deze volgens de gegeven instructies verwijderd.

                Ondanks dat je kunt kiezen, betekent dat ook dat er wel spyware in de installer zit. Het is dus terecht dat avast het bestand aangeeft. Ook al is het mogelijk om de spyware niet mee te installeren.

                Is het nu een beetje duidelijk, of nog niet helemaal??
                • Citaat

                Comment

                • #9
                  Wat ik bedoelde was, of er misschien "stiekem" enig spyware door de installer geinstalleerd was (ondanks dat ik de optie niet had gekozen).
                  • Citaat

                  Comment

                  • #10
                    Wat ik bedoelde was, of er misschien "stiekem" enig spyware door de installer geinstalleerd was (ondanks dat ik de optie niet had gekozen)?

                    (Ik bedoel de spyware die al verwijderd is)
                    • Citaat

                    Comment

                    • #11
                      Als het goed is, is er niet stiekem spyware geïnstalleerd.
                      Het is echter altijd beter om dat soort programma's te vermijden aangezien het een grote bron van infectie's is...
                      • Citaat

                      Comment

                      • #12
                        met infecties bedoel je dat er dan makkelijker spyware op een pc geinstalleerd worden?
                        • Citaat

                        Comment

                        • #13
                          Dat soort programma's (met een optie tot het kiezen voor het installeren van spyware) zijn een grote oorzaak van spyware.

                          Om de zin iets anders te formuleren...
                          • Citaat

                          Comment

                          • #14
                            Ok, dat wist ik niet.. misschien een soortgelijk programma proberen. wel vreemd dat ik pas net de melding kreeg van avast, aangezien het programma al meer dan 2 jaar geinstalleerd is..
                            maar in ieder geval bedankt voor je hulp.
                            • Citaat

                            Comment

                            • #15
                              Dit is waarschijnlijk het gevolg van update's van Avast.

                              Ik verplaats dit topic naar de sectie "Opgelost / inactieve HJT-logs".
                              Mocht je het topic heropend willen hebben kun je mij een pb sturen.
                              • Citaat

                              Comment

                              Vorige template Volgende
                              Sorry, you are not authorized to view this page
                              Working...
                              X