Gen.Trojan!IK/WildTangent

[daveEHV]

Ik ben pas geholpen en alles loopt nog als een trein.Nu heb ik wel een vraag?Het volgende is er namelijk aan de hand ik gebruik kaspersky internet security en superanti spyware en als test heb ik de nieuwe A sqaured anti malware van Emsi software.Als ik alles een keer scan geeft alleen de A sqaured anti malware 3 meldingen op 4 verschillende plaatsen zo ziet dat er uit die meldingen

Riskware.Win32.KillApp!A2

bestand: C:\HP\BIN\EndProcess.exe

Riskware.Win32.ACLSet!A2

bestand: C\Program Files\Hewlett-Packard\HP TCS\SetACL.exe

Gen.Trojan!IK

bestand: C:\ProgramData\WildTangent\f405496e-4cd5-4891-a8bc-3e58bd47b25c-extr.exe/wtap.dll

bestand: C:\Users\All Users\WildTangent\f405496e-4cd5-4891-a8bc-3e58bd47b25c-extr.exe/wtap.dll

het is niet dat ik persoonlijk problemen ondervindt en weet ook niet of ik ze wel zomaar kan wegdoen het is mij nogal onduidelijk en als ik op het internet kijk word ik er helemaal niets wijzer van:stupid: dus als iemand me kan vertellen of ik ze weg kan doen of niet

alvast vriendelijk bedankt

19 januari 2010 aangepast door daveEHV

[jv9090]

Begin alvast met het maken van een hijackthislog:

Download HiJackThis

Dubbelklik op HJTInstall.exe

Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst.

HijackThis zal openen na het installeren.

Klik op "Do a systemscan and save a logfile".

Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets.

N.B. : gebruikers van Windows Vista en Windows 7 zullen eerst moeten rechtsklikken op HijackThis.exe en dan kiezen voor "Run as Administrator".

[MOONBOY]

Zoek op google achter SMITREM heel effectief te gebruiken en handig maar zet je virus scanner wel af anders werkt het niet. 100% veilig. Heb het meerdere malen gebruikt.

[jv9090]

Is inderdaad wel een handig programma Moonboy, maar het is ontworpen om de trojan

Trojan-Spy.HTML.Smitfraud.c en zijn varianten te verwijderen.

Op dit moment is het nog niet zeker of het over deze trojan gaat.

[daveEHV]

bedankt voor de verwijzing naar de smitrem site maar zag al dat dat op mij niet van toepassing was dus heb hier een logje voor jullie

Logfile of Trend Micro HijackThis v2.0.3 (BETA)

Scan saved at 18:29:44, on 20-1-2010

Platform: Windows Vista SP2 (WinNT 6.00.1906)

MSIE: Internet Explorer v8.00 (8.00.6001.18865)

Boot mode: Normal

Running processes:

C:\Windows\System32\smss.exe

C:\Windows\system32\csrss.exe

C:\Windows\system32\wininit.exe

C:\Windows\system32\csrss.exe

C:\Windows\system32\services.exe

C:\Windows\system32\lsass.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\winlogon.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\Ati2evxx.exe

C:\Windows\System32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_827e372d\STacSV.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\SLsvc.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\Hpservice.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\Ati2evxx.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\WLANExt.exe

C:\Windows\System32\spoolsv.exe

C:\Windows\system32\svchost.exe

C:\Program Files\a-squared Anti-Malware\a2service.exe

C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_827e372d\aestsrv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe

C:\Windows\system32\svchost.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\Windows\System32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Program Files\SMINST\BLService.exe

C:\Program Files\CyberLink\Shared files\RichVideo.exe

C:\Windows\system32\svchost.exe

C:\Program Files\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe

C:\Program Files\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe

C:\Windows\System32\svchost.exe

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE

C:\Windows\system32\SearchIndexer.exe

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\IDT\WDM\sttray.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe

C:\Program Files\a-squared Anti-Malware\a2guard.exe

C:\Program Files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe

C:\Program Files\DAEMON Tools Lite\DTLite.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\SUPERAntiSpyware\SUPERANTISPYWARE.EXE

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Windows Media Player\wmpnetwk.exe

C:\Program Files\XstreamRadio 3.02\XstreamRadio.exe

C:\Program Files\Synaptics\SynTP\SynTPHelper.exe

C:\Windows\system32\conime.exe

C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe

C:\Program Files\Mozilla Firefox 3.6 Beta 2\firefox.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtblfs.exe

C:\Windows\system32\vssvc.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\msiexec.exe

C:\Windows\servicing\TrustedInstaller.exe

C:\Windows\system32\wbem\wmiprvse.exe

C:\Users\home\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O1 - Hosts: ::1 localhost

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [sysTrayApp] C:\Program Files\IDT\WDM\sttray.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"

O4 - HKLM\..\Run: [a-squared] "C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60

O4 - HKLM\..\Run: [smartMenu] %ProgramFiles%\Hewlett-Packard\HP MediaSmart\SmartMenu.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O8 - Extra context menu item: Add to Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm

O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Verz&enden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: &Virtual keyboard - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll

O9 - Extra button: Xstream Radio - {7A0815F1-6B65-4e3a-B198-709807B4042A} - C:\Program Files\XstreamRadio 3.02\RadioHelper.dll

O9 - Extra 'Tools' menuitem: Xstream Radio - {7A0815F1-6B65-4e3a-B198-709807B4042A} - C:\Program Files\XstreamRadio 3.02\RadioHelper.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: URLs c&heck - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll

O9 - Extra button: Toon of verberg HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5BB7BBF4-5484-4488-9278-0AEBB2BEBADE}: NameServer = 195.241.77.55,195.241.77.58

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll

O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe

O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_827e372d\aestsrv.exe

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe

O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe

O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: HP Service (hpsrv) - Hewlett-Packard Corporation - C:\Windows\system32\Hpservice.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Norton Internet Security - Unknown owner - C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe (file missing)

O23 - Service: Recovery Service for Windows - Unknown owner - C:\Program Files\SMINST\BLService.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_827e372d\STacSV.exe

O23 - Service: TV Background Capture Service (TVBCS) (TVCapSvc) - Unknown owner - C:\Program Files\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe

O23 - Service: TV Task Scheduler (TVTS) (TVSched) - Unknown owner - C:\Program Files\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe

--

End of file - 9673 bytes

[kape]

Dit logje ziet er prima uit

Het vreemde aan het A-Squared-verhaal is inderdaad dat deze bestanden door de scanner bij herhaling als riskware of trojan worden omschreven, zonder dat daar effectief een aanduiding voor is.

Wil je - bij wijze van test en ter controle - de verschillende bestanden eens opladen bij Jotti.

C:\HP\BIN\EndProcess.exe

C\Program Files\Hewlett-Packard\HP TCS\SetACL.exe

C:\ProgramData\WildTangent\f405496e-4cd5-4891-a8bc-3e58bd47b25c-extr.exe/wtap.dll

[daveEHV]

al prettig om te weten dat mijn hijack goed is

ik heb a sqaured ze in qaurantine laten zetten en geen verschi gemerkt is het veilig om ze te verwijderen?? of raad je aan een keer herplaatsen en dan door jotti laten checken.Als het aan mij ligt pleur ik ze er gewoon vanaf dus wat wordt me aangeraden???

[kape]

Uit nieuwsgierigheid - en om de betrouwbaarheid van A-Squared te checken - zou ik ze willen laten controleren bij Jotti. Maar dat is enkel een persoonlijke drijfveer of een soort "semi-professionele" bekommernis.

Dus geen goed argument om het jou te laten doen. Laat ze voorlopig maar even in die quarantaine zitten, bekijk verder hoe de PC zich gedraagt ... en na enkele dagen kan je ze dan nog steeds definitief verwijderen. Want ik vrees dat A-Squared hier met "valse positieven" zit

[daveEHV]

ok bedankt ik had ze alweer herstelt om te laten testen door jotti ga ik dadelijk aan starten, na de boodschappen laat ik het wel weten of het nu wel een probleem is of dat idd a sqaured een schoonheids foutje heeft dus hou de zaak op de hoogte verder geen noemenswaardige dingen niet toen ze in quarantine stonden of sinds ik ze heb herplaatst maar wil het nu weten ook hahhahaha

wordt vervolgd

groet dave

[daveEHV]

ok hier is de eerste

2010-01-01 Found nothing

2010-01-02 Found nothing

2010-01-02 Riskware.Win32.KillApp!A2

2010-01-02 Found nothing

2009-12-31 Found nothing

2010-01-02 Found nothing

2010-01-01 Found nothing

2010-01-02 Found nothing

2010-01-01 APPL/KillApp.A

2010-01-01 Found nothing

2010-01-02 Found nothing

2010-01-01 Found nothing

2010-01-01 Found nothing

2009-12-31 Found nothing

2010-01-02 Found nothing

2010-01-02 Found nothing

2010-01-02 Found nothing

2010-01-01 Found nothing

2010-01-01 Found nothing

2010-01-01 Found nothing

---------- Post toegevoegd om 14:27 ---------- Vorige post was om 14:19 ----------

de tweede scan

2010-01-23 Found nothing

2010-01-24 Found nothing

2010-01-24 Riskware.Win32.ACLSet!A2

2010-01-24 Found nothing

2010-01-24 Found nothing

2010-01-24 Found nothing

2010-01-24 Found nothing

2010-01-24 Found nothing

2010-01-22 APPL/ACLSet

2010-01-24 Found nothing

2010-01-24 Found nothing

2010-01-23 Found nothing

No result available

2010-01-22 Found nothing

2010-01-24 Found nothing

2010-01-24 Found nothing

2010-01-24 Found nothing

2010-01-23 Found nothing

2010-01-23 Found nothing

2010-01-23 Found nothing

---------- Post toegevoegd om 14:42 ---------- Vorige post was om 14:27 ----------

de laatste kan niet gescand worden door jotti omdat de maximale te testen file maar 15mb mag zijn en de laatste is 44 mb dus zoek een andere online scan