spyware

[skalana]

hey, ik kreeg al een paar dagen de melding van windows firewall dat er een : trojan-Keyloggerwin32.Fung in het systeem zit bijgevolg heb ik het gratis programma Ad-Aware gedraaid en deze heeft idd een keylogger bestand gevonden en ik heb dat verwijderd, nu die melding blijft steeds opnieuw komen en als ik Ad-Aware opnieuw draai vind hij niets meer dus ik schakel firewall uit om dat leuke kader dat ik elk halfuur te zien krijg weg te krijgen resultaat : dat kadertje blijft maar opduiken of firewall nu aanstaat of niet !

nu heb ik in die kader een optie om microsoft defender 2009 te laten draaien dus heb ik dat ook gedaan en jawel 5 cruciale wormen/keyllogger en 1 hackfile is gevonden, nu ik klik op herstel of clear en hopla eerst betalen, daar heb ik dus geen zin in !!

kan iemand me een degelijk gratis en legaal programma aanraden om dit probleempje op te lossen ?

(Ad-Awere heeft steeds goed gewerkt bij me maar deze keer slaagt hij er niet in om het betreffende file te vinden)

nu heb ik AVG gedownload en deze vind verschillende fouten, 2 trojaanse paarden / 1 virus en 1 registratiesleutel, nu verwijder ik deze en welja ik krijg nog steeds de melding dat dat trojan-Keyloggerwin32.Fung in het systeem zit dus help A.U.B

alvast bedankt.

edit : http://img521.imageshack.us/my.php?image=trojankeyloggerny8.png een afbeelding van de betreffende kader.

[skalana]

bedankt voor het snelle antwoord, ik test spywarefighter direct uit.

[Fredpascal]

Kan je een hijackthis acherlaten?

en scan even je computer met malware byte's anti-mallware.

http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

[maikelbe]

(site) misschien heb je hier wat aan. Het is een tooltje dat dat het weg kan halen.

[Fredpascal]

Die site is volgens mcafee Siteadvisor niet echt veilig, dus laat hem eert met malware byte's proberen.

[maikelbe]

oke fredpescal ik heb trouwens op de links geklikt van die site en op de download het blijkt gewoon malware byte te zijn.

[Assyrian]

Als áller eerst zie ik liever een hijackthis log en maikelbe nóóit met scanners smijten voordat je een hijackthis log ziet(met andere woorden, voor je weet wat het probleem is).

En skalana hier zie je hoe je een hijackthis log plaatst.

[Fredpascal]

Had ik al gezegd assyrian 

Maar ik raadde ook alvast aan om malwaré byte's uit te proberen kijken of het werkt.

[skalana]

mss een domme vraag maar hoe of waar vind ik zo een hijackthis log, ik heb al die programma's juist verwijderd omdat als ze iets vinden ( wat ze allemaal doen ) ik daarna moet betalen om het te kunnen verwijderen, ik ga nu spywarefighter draaien

ad-aware heb ik altijd gebruikt en altijd tevreden van geweest maar deze kan niets terugvinden.

[Assyrian]

Skalana, ik heb  een link gestuurd waarin (naar mijn mening) duidelijk in staat hoe je een hijackthis log plaatst, lees dat eerst even door.

En FredPascal, je hebt vaak dat als je dingen in malware bytes verwijdert dat ze dan weer terug komen daarom word hijackthis vaak aangeraden eerst te gebruiken voor mbam.

Als je op nucia.nl en hijackthis.nl beetje rondkijkt zie je dat die lui daar ook altijd eerst de foute dingen in hijackthis laten verwijderen en daarna nog met mbam overheen laten scannen, maar ervoor kan natuurlijk geen kwaad.

[Fredpascal]

Probeer hijackthis logje te maken via de handleiding van assyrian.

Ik zou nog heel even wachten met SpywareFighter.

[maikelbe]

assyrian ik ben niet met scanners aan het smijten ik heb gewoon gekeken hoe je dat trojan kon vewijderen en kwam ik die site tegen en het blijkt gewoon malware byte te zijn.

[skalana]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:41:53, on 2/11/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\ATKKBService.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\PROGRA~1\AVG\AVG8\avgfws8.exe

C:\Program Files\Fighters\configservice.exe

C:\PROGRA~1\AVG\AVG8\avgam.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\PROGRA~1\AVG\AVG8\avgnsx.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\AVG\AVG8\avgemc.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Program Files\Telenet EasyCare\bin\mpbtn.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.telenet.be

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telenet.be/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telenet Internet

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pac.telenet.be:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [snelkoppeling naar eigenschappenvenster voor High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe"

O4 - HKLM\..\Run: [WINCINEMAMGR] "C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\TELENE~1\SMARTB~1\MotiveSB.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [GameFace Messenger] C:\Program Files\GameFace Messenger\GameFace.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [spywarefighterguard] C:\Program Files\Fighters\spywarefighter\SpywarefighterUser.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - HKCU\..\Run: [wixpo] "C:\Documents and Settings\Bio-Garant\Application Data\Google\mupd1_2_1931888.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Telenet EasyCare.lnk = C:\Program Files\Telenet EasyCare\bin\matcli.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll

O20 - AppInit_DLLs: avgrsstx.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: AVG8 Firewall (avgfws8) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgfws8.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: PTK SharedAccess-FIGHTERS-297811811 - SPAMfighter - C:\Program Files\Fighters\configservice.exe

--

End of file - 7499 bytes

[Assyrian]

Skelebe, het klopt niet wat je zegt over spyware want er is geen spoor van spyware te vinden in je log.

Gewoon met een virusscanner scannen en die verwijdert de trojan wel.

Ik raad nod32 of kaspersky aan.

EDIT: Of malware bytes natuurlijk.

[maikelbe]

en als dat niet werk gewoon even scannen met malware byte

[Fredpascal]

Skalana ik zag in je bericht wel wat verontrustends, het installeren van microsoft defender 2009 dit is namelijk mallware.

[Assyrian]

FredPascal het lijkt me niet iets om zorgen over te maken, want volgens mij heeft ze dat al verwijdert.

In het hijackthis logje zie ik nergens een spoor of zelfs een aanwijzing dat microsoft defender 2009 haar pc aan het besmetten is.

[skalana]

hmmm, wat raar, ondanks alles wat ik doe krijg ik deze meldingen ik kan ze echter niet verwijderen :

- trojan - keylogger.win32.Fung

-viruswin32/cryptor

- registreersleutel/drivers

- trojaanspaard sg1084.exe

- trojaanspaard app.exe

ikzelf versta er geen sikkepit van.

edit : ik probeer dat malware byte's eens

[Fredpascal]

Nee ik bedoel zomaar iets installeren zonder weten of het goed werkt voor je het weet installeer je meer rotzooi.

[skalana]

fredpascal ik heb deze al verwijderd en ik krijg nog steeds die kader zie eerste post.

assyrian het is hij :-)

[Assyrian]

Download ATF cleaner (mirror)(gemaakt door Atribune)

Belangrijk: Sluit al je browservensters(IE en/of Firefox en/of Opera) om de tool goed te kunnen laten werken.

• Dubbelklik op ATF cleaner om het programma te starten.
  Op het tabblad Main, plaats je een vinkje bij Select All.
  Klik op de knop Empty Selected.
  Het volgende doen als je ook FireFox als browser hebt:
  Klik op tabblad Firefox, plaats een vinkje bij Select All.
  Wil je de door Firefox opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op No.
  (dit haalt het vinkje weer weg bij Firefox saved passwords)
  Klik op de knop Empty Selected.
  Het volgende doen als je ook Opera als browser hebt:
  Klik op tabblad Opera, plaats een vinkje bij Select All.
  Wil je de door Opera opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op No.
  Klik op de knop Empty Selected.
  Ga naar het tabblad Main en klik op de knop Exit om het programma af te sluiten.

3. Je mag alle gebruikte tools en aangemaakte mappen terug verwijderen.

- Ga naar Start/Alle programma's/Bureau-accessoires/Systeemwerkset/Systeemherstel.

- Klik in de linkerhelft van het venster op "Instellingen van systeemherstel".

- Zet een vinkje voor "Systeemherstel uitschakelen".

- Klik "Toepassen".

- Windows vraagt of je dat zeker weet.

- Klik "Ja".

- Klik "OK".

- Start de pc opnieuw op.

- Ga weer naar Start/Alle programma's/Bureau-accessoires/Systeemwerkset/Systeemherstel.

- Je krijgt de melding: "Systeemherstel is uitgeschakeld. Wilt u systeemherstel nu inschakelen?"

- Klik "Ja".

- Verwijder het vinkje voor "Systeemherstel uitschakelen".

- Klik "Toepassen".

- Klik "OK".

- Start de pc opnieuw op

- Er is nu een nieuw schoon herstel punt aangemaakt

Download MalwareBytes' Anti-Malware en sla het op je bureaublad op.

Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg dat er na de installatie een vinkje is geplaatst bij:

• Update MalwareBytes' Anti-Malware
  
• Start MalwareBytes' Anti-Malware
  

Klik daarna op "Voltooien".

Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.

• Zodra het programma gestart is, ga dan naar het tabblad "Instellingen".
  
• Vink hier aan: "Sluit Internet Explorer tijdens verwijdering van malware".
  
• Ga daarna naar het tabblad "Scanner", kies hier voor "Snelle Scan".
  
• Druk vervolgens op "Scannen" om de scan te starten.
  
• Het scannen kan een tijdje duren, dus wees geduldig.
  
• Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
  
• Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".
  
• Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.
  

Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "Logs" tab te klikken in het programma.

Plaats dit logje in jou volgende bericht, zo is het onmogelijk dat het bestand terugkomt omdat het niet via systeemherstel of je cache terug kan komen en omdat het niet schadelijk genoeg is dat het zich in hijackthis vertoont kan mbam het verwijderen.

[skalana]

malware is nog steeds bezig na 40 minuten en heeft nog steeds niets gevonden, het kadertje is ook al even niet komen opduiken, mss is het dan toch verwijderd, als het programm klaar is zal ik de log posten zoals gevraagd.

fantastisch dat jullie mensen willen helpen om hun pc problemen op te lossen, echt fantastisch. bedank iedereen.

[Assyrian]

Hmm, waarschijnlijk kwam het dus gewoon steeds terug via de cache of systeemhrstel óf hij heeft het nóg niet gevonden.

Heb je een volledige scan gedaan?

[skalana]

de volledige scan is gedaan en dit is de log :

Malwarebytes' Anti-Malware 1.30

Database versie: 1306

Windows 5.1.2600 Service Pack 2

2/11/2008 14:56:08

mbam-log-2008-11-02 (14-56-08).txt

Scan type: Volledige Scan (C:\|)

Objecten gescand: 141389

Verstreken tijd: 47 minute(s), 47 second(s)

Geheugenprocessen geïnfecteerd: 0

Geheugenmodulen geïnfecteerd: 0

Registersleutels geïnfecteerd: 0

Registerwaarden geïnfecteerd: 0

Registerdata bestanden geïnfecteerd: 0

Mappen geïnfecteerd: 0

Bestanden geïnfecteerd: 2

Geheugenprocessen geïnfecteerd:

(Geen kwaadaardige items gevonden)

Geheugenmodulen geïnfecteerd:

(Geen kwaadaardige items gevonden)

Registersleutels geïnfecteerd:

(Geen kwaadaardige items gevonden)

Registerwaarden geïnfecteerd:

(Geen kwaadaardige items gevonden)

Registerdata bestanden geïnfecteerd:

(Geen kwaadaardige items gevonden)

Mappen geïnfecteerd:

(Geen kwaadaardige items gevonden)

Bestanden geïnfecteerd:

C:\WINDOWS\hosts (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\core.cache.dsk (Rootkit.Agent) -> Quarantined and deleted successfully.

ik heb het verwijderd en ga morgenvroeg direct een programma in de winkel gaan kopen dat de pc toch wat bescherming heeft.

[Assyrian]

Je zit op een download forum en je hebt het over kopen

Maar niet meer zomaar elke scanner die er op het internet is downloaden en installeren, want eigenlijk was er haast niks aan de hand met je pc.

[Piraatje]

Vergeten jullie alsjeblieft de VPN verbinding niet? Je internet provider zoals Ziggo of KPN kan door gebruik van de VPN niet zien wat er gebeurd op je internet verbinding en ben je volledig anoniem voor iedereen. Een vereiste tegenwoordig.... We een uitgebreide handleiding geschreven met informatie. 

Deze vindt je hier:   https://www.duken.nl/forums/handleidingen/downloaden/vpn-verbinding-en-anoniem-downloaden-r35/