Archief - De topics van lang geleden

Wie kan mij van mijn spyware afhelpen?

03-04-2008, 13:31 door DaveW, 7 reacties
Beste forummensen,

na een aantal scans met norman ad-aware professional en
spybot (ook in veilige modus) blijft de spyware maar
terugkomen. Een proces dat mij verdacht leek was het proces
wmiprvse.exe. Als ik deze uit de task manager verwijder is
de belasting van mijn cpu ook gelijk naar nagoeg nul gedaald.

Op zich lukt het dus allemaal wel, maar sinds vandaag start
dit proces zich steeds weer zelf op. Ik heb onvoldoende
kennis van het register van windows om daar in te zoeken,
dus vandaar dat ik jullie mail. Kunnen jullie me helpen in
mijn jacht tegen de spyware?

alsvast heel erg bedankt.

groeten, dave

ps1. Ik gebruik trouwens sinds deze week mozilla en ik heb
alle peer tot peer
programma's (behalve bittorrent van mijn computer
gemikt).
ps2. Dit is mijn hijackthislogje:

Logfile of HijackThis v1.99.1
Scan saved at 19:15:56, on 1-4-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesWindows DefenderMsMpEng.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesGoogleCommonGoogle
UpdaterGoogleUpdaterService.exe
C:Program FilesM-AudioFast Track ProMAUSBInst.exe
C:Program FilesMcAfeeCommon FrameworkFrameworkService.exe
C:Program FilesMcAfeeVirusScan EnterpriseMcshield.exe
C:Program FilesMcAfeeVirusScan EnterpriseVsTskMgr.exe
C:Program FilesAnalog DevicesSoundMAXSMAgent.exe
C:WINDOWSExplorer.EXE
C:Program FilesApoint2KApoint.exe
C:Program Filesnecmfknecmfk.exe
C:WINDOWSSystem32igfxtray.exe
C:WINDOWSSystem32hkcmd.exe
C:Program FilesAnalog DevicesSoundMAXSMTray.exe
C:WINDOWSsystem32qttask.exe
C:WINDOWSSystem32M-AudioTaskBarIcon.exe
C:Program FilesMcAfeeCommon FrameworkUdaterUI.exe
C:Program FilesJavajre1.6.0_05binjusched.exe
C:Program FilesWindows DefenderMSASCui.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesDAEMON Tools Litedaemon.exe
C:Program FilesMcAfeeCommon FrameworkMcTray.exe
C:Program FilesSpybot - Search & DestroyTeaTimer.exe
C:Program FilesApoint2KHidFind.exe
C:Program FilesApoint2KApntex.exe
C:Program FilesGoogleGoogle UpdaterGoogleUpdater.exe
C:WINDOWSsystem32taskmgr.exe
C:WINDOWSsystem32NOTEPAD.EXE
C:Program FilesMozilla Firefoxfirefox.exe
C:Documents and SettingsDaveDesktophijackthis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start
Page = http://www.nu.nl/
R1 - HKLMSoftwareMicrosoftInternet
ExplorerMain,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet
ExplorerMain,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search
Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start
Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local
Page =
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local
Page =
F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe
O2 - BHO: Adobe PDF Reader Help bij koppelingen -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program
FilesCommon FilesAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection -
{53707962-6F74-2D53-2644-206D7942484F} - C:Program
FilesSpybot - Search & DestroySDHelper.dll
O2 - BHO: SSVHelper Class -
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program
FilesJavajre1.6.0_05binssv.dll
O2 - BHO: scriptproxy -
{7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:Program
FilesMcAfeeVirusScan Enterprisescriptcl.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045}
- (no file)
O2 - BHO: Windows Live Aanmelden - Help -
{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program
FilesCommon FilesMicrosoft SharedWindows
LiveWindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper -
{AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program
filesgooglegoogletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO -
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:Program
FilesGoogleGoogleToolbarNotifier2.1.615.5858swg.dll
O3 - Toolbar: &Google -
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program
filesgooglegoogletoolbar1.dll
O4 - HKLM..Run: [Apoint] C:Program FilesApoint2KApoint.exe
O4 - HKLM..Run: [NECMFK] C:Program Filesnecmfknecmfk.exe
O4 - HKLM..Run: [IgfxTray] C:WINDOWSSystem32igfxtray.exe
O4 - HKLM..Run: [HotKeysCmds] C:WINDOWSSystem32hkcmd.exe
O4 - HKLM..Run: [Smapp] C:Program FilesAnalog
DevicesSoundMAXSMTray.exe
O4 - HKLM..Run: [QuickTime Task]
"C:WINDOWSsystem32qttask.exe" -atboottime
O4 - HKLM..Run: [M-Audio Taskbar Icon]
C:WINDOWSSystem32M-AudioTaskBarIcon.exe
O4 - HKLM..Run: [ShStatEXE] "C:Program
FilesMcAfeeVirusScan EnterpriseSHSTAT.EXE" /STANDALONE
O4 - HKLM..Run: [McAfeeUpdaterUI] "C:Program
FilesMcAfeeCommon FrameworkUdaterUI.exe" /StartedFromRunKey
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program
FilesJavajre1.6.0_05binjusched.exe"
O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:Program
FilesAdobeReader 8.0ReaderReader_sl.exe"
O4 - HKLM..Run: [Windows Defender] "C:Program
FilesWindows DefenderMSASCui.exe" -hide
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [swg] C:Program
FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
O4 - HKCU..Run: [DAEMON Tools Lite] "C:Program
FilesDAEMON Tools Litedaemon.exe" -autorun
O4 - HKCU..Run: [SpybotSD TeaTimer] C:Program
FilesSpybot - Search & DestroyTeaTimer.exe
O4 - HKCU..Run: [AROReminder] C:Program FilesAdvanced
Registry Optimizeraro.exe -rem
O4 - Global Startup: Google Updater.lnk = C:Program
FilesGoogleGoogle UpdaterGoogleUpdater.exe
O8 - Extra context menu item: E&xport to Microsoft Excel -
res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: (no name) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program
FilesJavajre1.6.0_05binssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program
FilesJavajre1.6.0_05binssv.dll
O9 - Extra button: (no name) -
{2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: Research -
{92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: (no name) -
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:Program
FilesSpybot - Search & DestroySDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy
Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -
C:Program FilesSpybot - Search & DestroySDHelper.dll
O9 - Extra button: (no name) -
{e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%Network
Diagnosticxpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -
{e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%Network
Diagnosticxpnetdiag.exe (file missing)
O9 - Extra button: Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C}
(WUWebControl Class) -
http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1196539236156
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3}
(MUWebControl Class) -
http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1196869771669
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave
Flash Object) -
http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall -
{828030A1-22C1-4009-854F-8E305202313F} -
C:PROGRA~1WI1F86~1MESSEN~1MSGRAP~1.DLL
O18 - Protocol: msnim -
{828030A1-22C1-4009-854F-8E305202313F} -
C:PROGRA~1WI1F86~1MESSEN~1MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui -
C:WINDOWSSYSTEM32igfxsrvc.dll
O21 - SSODL: WPDShServiceObj -
{AAA288BA-9A4C-45B0-95D7-94D524869DB5} -
C:WINDOWSsystem32WPDShServiceObj.dll
O23 - Service: Google Updater Service (gusvc) - Google -
C:Program FilesGoogleCommonGoogle
UpdaterGoogleUpdaterService.exe
O23 - Service: M-Audio USB Installer (MAudioUSBService) -
M-Audio - C:Program FilesM-AudioFast Track ProMAUSBInst.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) -
Unknown owner - C:Program FilesMcAfeeCommon
FrameworkFrameworkService.exe" /ServiceStart (file missing)
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. -
C:Program FilesMcAfeeVirusScan EnterpriseMcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee,
Inc. - C:Program FilesMcAfeeVirusScan EnterpriseVsTskMgr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent
Service (default)) - Analog Devices, Inc. - C:Program
FilesAnalog DevicesSoundMAXSMAgent.exe
Reacties (7)
03-04-2008, 14:24 door Anoniem
Hoi Dave, volgens wiki is het geen syware en virus, lees
onderstand wat men geschreven heeft.

wmiprvse is verbonden met Windows Management Instrumentation
(WMI). Het houdt de fouten bij die een applicatie maakt,
bekijkt of al je hardware nog correct is aangesloten, ...

Op windows 2000-systemen werd deze service gebundeld met
meerdere services, in het proces WinMgmt.exe (Windows
Management). Het probleem hierbij was, dat als het met 1
service fout ging, WMI ook werd gestopt, met als gevolg dat
je toepassingen niet meer (correct) werkten.
In Windows XP wordt WMI in een apart proces gezet, namelijk
wmiprvse.exe.

Er zijn véél processen afhankelijk van deze service. Er
wordt dan ook aangeraden dit proces niet te stoppen! Het is
mogelijk dat dit proces meerdere malen voorkomt in je lijst
met processen.

gr
03-04-2008, 16:10 door Anoniem
Vervolg op bovenstaand,

Dave je zult wel even moeten controlen of het bestand staat
waar het behoort te staan, zie onderstaand.

Waar is Wmiprvse gelegen?

Wmiprvse is een onderdeel van Windows en is gelegen in het
systems32 map. Het pad is C: \ WINDOWS \ System32 \ Wbem.

Kan Wmiprvse Een virus worden?

Ja het kan een virus worden. Wanneer u uw Task Manager en
ziet een soortgelijke naamsbestand - of zelfs een bestand
met dezelfde naam - hardlopen, maar dat is niet gelegen in
het systems32 map, zou zij een Trojan of een spyware kunnen
zijn. Het systeem moet worden gecontroleerd met de Security
Task Manager. Veel hackers gebruik dit virus te infiltreren
in het systeem.

gr
03-04-2008, 18:19 door DaveW
Op dit moment doet mijn computer weer redelijk normaal, maar
eergisteren nog werd mijn cpu om de paar seconden 100procent
belast en sprong mijn ventilator ook om de halve minuut aan.
Toen ik wmiprvse uit het taakbeheer verwijderde deed hij
weer normaal. Heb het bestand iig op de volgende locaties
gevonden:

WMIPRSVE ex-file
c:windowsI386
WMIPRVSE.EXE-28F301A9.pf pf file
c:windowsPrefetch
wmiprvse
application c:windowsServicePackFiles

i386
wmiprvse
application c:windowssystem32wbem
wmiprvse
application c:windows

NtServicePackUninstall%

groeten
03-04-2008, 18:22 door DaveW
Hier even iets overzichtelijker:

WMIPRSVE
Type: ex-file
c:windowsI386

WMIPRVSE.EXE-28F301A9.pf
Type: pf file
c:windowsPrefetch

wmiprvse
Type: application
c:windowsServicePackFilesi386

wmiprvse
Type: application
c:windowssystem32wbem

wmiprvse
Type: application
c:windowsNtServicePackUninstall%

groeten
03-04-2008, 23:18 door Bitwiper
Als je Googled naar wmiprvse zul je meerdere pagina's zien die uitleggen dat dit een "host" (gastheer) proces is voor processen die Windows Management Information opvragen.

Hoewel er virussen in omloop zijn (geweest) met (bijna) dezelfde naam zul je in Google zien dat veel mensen onder allerlei omstandigheden last hebben van een "high CPU load" veroorzaakt door 1 of meer legitieme wmiprvse processen.

Met wat verder zoeken vond ik op deze page: [url=http://msdn2.microsoft.com/en-us/library/aa394053(VS.85).aspx]What's New in WMI[/url] een verwijzing naar [url=http://msdn2.microsoft.com/en-us/library/aa394053(VS.85).aspx#windows_server_2003_sp1]WMI Diagnosis Utility - A New Utility for Diagnosing and Repairing Problems with the WMI Service[/url]. Ik ken het zelf niet maar wie weet heb jij er wat aan; hou ons svp op de hoogte!
04-04-2008, 11:23 door DaveW
Via deze link heb ik het programma gedownload waar je het
over had:
http://www.microsoft.com/downloads/details.aspx?FamilyID=d7ba3cd6-18d1-4d05-b11e-4c64192ae97d&displaylang=en

Het programma draait op de achtergrond en gaf na een paar
minuten aan dat mijn wmi goed functioneert. Dus neem aan dat
dit dan goed zit. Verder zaten er een aantal ingewikkelde
rapporten bij. Die heb ik niet doorgekeken, omdat ik er
eerlijk gezegd niets van begreep. Bedankt voor de tip iig!
06-04-2008, 15:48 door Anoniem
Of je maakt een ghost backup en installeert je pc volledig opnieuw (vergeet
niet TRAAG te formatteren) Haal vervolgens de belangrijke bestanden van je
ghost backup, gebruik vervolgens een goede firewall.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.