kbddv3.exe (Computertechniek)

door soundman2 @, Wouw, 30-06-2011, 20:36 (4897 dagen geleden)
Gewijzigd door soundman2, 30-06-2011, 21:19

Gister, 29 juni klikte ik een zoekresultaat van google aan, omdat ik de naam vond van een persoon die ik zocht. Vreemd was dat het op .com eindigde.
Vandaag werd de computersnelheid flink gereduceerd doordat een bestand kbddv3.exe, 97% van de processortijd in beslag nam.
Het bestandje staat in WINNT/SYSTEM32 van windows 2000 ,(werkt voor mij uitstekend!)en is gedateerd op 29 juni 2011. Het lijkt wel of het er gisteren bijgekomen is.
De attributen zijn RAHS, dus read-only, archive verborgen en system. Nu hoort er in die directory wel een dll bestandje van ongeveer 5.904Kb, KBDDV.DLL. Dat staat er ook. Het "nieuwe" .exe bestand is 108.032Kb groot. Nu ben ik niet zo flauw en wilde het weggooien, althans ergens wegzetten dat het onvindbaar is voor het OS.
Ik kan het bestand renamen, maar niet de attributen wijzigen. In windows niet, maar ook niet achter de command regel, dus gewoon in DOS.
Op het www vindt ik er eigenlijk niets over ook niet bij Microsoft. Wie weet wat het is, wat het doet en of het er thuishoort?

In de registry vind ik ook nog wat.
Hkey_local_machine/software/microsoft/windows/currentversion/policies/explorer/run.
Daarin twee waardes:
(default) Reg_SZ value not set
Tazdux Reg_SZ C:winnt/system32/kbddv3.exe

Soundman2

kbddv3.exe

door Maarten Bakker ⌂ @, Haarlem/Delft, 30-06-2011, 21:31 (4897 dagen geleden) @ soundman2

Hijackthis werkt meestal goed voor dit soort dingen (als de verwijderde items spontaan weer terugkomen, moet je het in safe mode draaien).

Anders malwarebytes of emsisoft downloaden en draaien, als die nog onder 2000 willen werken.

kbddv3.exe

door snameroc @, Etten Leur, 30-06-2011, 21:35 (4897 dagen geleden) @ soundman2

Als ik in Google bovenstaande naam in typ krijg ik een verwijzing naar een keyboarddriver, maar verder weet ik er niets van ik zal morgen op het werk op een win2000 machine even kijken of het daar op staat.

kbddv3.exe

door Maurice ⌂ @, Dordrecht, 30-06-2011, 21:38 (4897 dagen geleden) @ soundman2

Kan het ook even niet vinden.

2 weken terug ook dergelijk iets gehad via een zoek opdracht Google en kennelijk net even wat verkeerd aangeklikt.
Normaal let ik daar op....

Merkte direct dat het fout zat.
Dus scanners er over.
Van alles en nog wat en dat bleef zich herhalen, ook na de 8e keer scannen.
Hardnekkig dus.
Internet de files opgezocht en even opletten of safe is en een KENNELIJKE remover.
Helemaal mis nu
Update V-scanner liep niet meer etc.

Dan maar safe mode en scannen via de F-secure site ( waar ik de V-scanner van heb)
In de paniek ook nu weer even onachtzaam - FAKE site zag ik later!!!
En die scanner kreeg helemaal meldingen, popups en teller op 529 en optellend.
Internet plug rap los

KPN gebeld en via hen door naar F-secure gebeld, via hen naar de juiste site en pff dat ging beter.
Was ik inmiddels wel 5 avonden verder.

Kortom
Is en blijft opletten.
Laatste dagen ook weer per dag ING-fake mails binnen.

Ieder geval weer backup gedraaid (ext LOSSE!! HD) die koppel je dan los en zet die ver weg in een kast.

Dus ook de zogenaamde removers tbv speciale bestanden 10x opletten, kijk via diverse fora of de linken steeds kloppen.
Kijk bij linken of de link naar ook kloppen met de originele site.

bv kijk ik bij verdacht altijd via mijn "Spamhilator"een prog wat draait VOOR mijn email binnen halen.

Bv heb jij in 2009 mij een mail gestuurd van af een Del4100 pc met Ip adres 86.82.136.xxx (laatste ivm privacy weggelaten)
Met outlook build 9.0.6604

Hier zo'n ing mail
Received: from [77.52.101.131] ([77.52.101.131:1988] helo=User)
[ ik kan dus zien van welk IP verstuurd is en dan wel nog via poort 1988 van dat IP]
by mailrelay.embarq.synacor.com (envelope-from <services@ingbank.nl>)
(ecelerity 2.2.2.40 r(29895/29896)) with ESMTPA
id BF/45-20651-E31BC0E4; Thu, 30 Jun 2011 13:33:42 -0400
From: "ING BANK"<services@ingbank.nl>
Message-ID: <BF.45.20651.E31BC0E4@smtp02.embarq.synacor.com>
Subject: Beveilings melding
Date: Thu, 30 Jun 2011 08:23:46 +0100

b....bla bla bla...enz bekende paniek verhaal.

EN daar ik echt in de software email bericht kijk zie ik

img alt=http-cdn.moneycrashers.com/wp-content/uploads/2010/09/ingdirect_logo1.gif"
src="http-cdn.moneycrashers.com/wp-content/uploads/2010/09/ingdirect_logo.gif

Geachte klant:<br>

Of wel dat plaatje komt dus NIET van de ING af.

En bij klikken op iets dus naar deze site
target="_blank" href="http-ww.vladimirceric.com/onlineserice/ING/mijn.ing.htm">

Ja ja Vladimirceric... fijne ING site zeker??!@@# Not

En mijn programma geeft dus ook keurig aan
X-Spam-Level: 9/3
X-FS-Classification-spam: 9
X-FS-Diagnostics: database-version=2010-10-05_01 tests=DATE_IN_PAST_06_12
,DNS_AVAILABLE,FIRST_UNTRUSTED_MANY_NO_RDNS
,FIRSTUNTRUSTED_NO_RDNS,FORGED_MUA_OUTLOOK,FORGED_OUTLOOK_HTML,
FORGED_OUTLOOK_TAGS,FS_UNTRUSTED_4,HTML_IMAGE_ONLY_12,HTML_MESSAGE,
HTML_OBFUSCATE_10_20,MIME_HTML_ONLY,MISSING_HEADERS,RDNS_NONE,
FS_CLASS_SPAM_9
X-Spam-Flag: Yes

kbddv3.exe

door Paul Brouwer @, Haarlem, 30-06-2011, 22:01 (4897 dagen geleden) @ Maurice

Dit soort phisingmails worde uit naam van diverse banken verstuurd.

Banken zullen wat dit soort aangelegenheden betreft nooit per email contact opnemen met hun cliënten
maar dit altijd per reguliere post doen.

Krijg je dit soort mailtjes, dan ongelezen deleten!

Groeten,
Paul

--
[image]

kbddv3.exe - Niet in W2k

door Maurice ⌂ @, Dordrecht, 30-06-2011, 21:47 (4897 dagen geleden) @ soundman2
Gewijzigd door Maurice, 30-06-2011, 21:56

Ik heb enkel daar kbddv.Dll staan van 5.904 07-12-1999
In mijn W2K machine.

Tracht via de 2000 cd in DOSmode te starten, dan kun je denk ik wel verwijderen.
Bestand wordt geblokt om te wijzigen daar kennelijk in gebruik is reeds.

Probeer anders programma Malewarebytes
www.mailwarebytes.org
werkt ook op mijn w2k machine

Super prog is dat!

Probeer anders via Settings-Computer Management
de file op te snorren en te stoppen.
Daarna wijzig je als eerste de file in bv KBDD3.xxx kan dan als goed is ieder geval niet meer starten.

Daarna de boel opschonen.

kbddv3.exe

door Paul Brouwer @, Haarlem, 30-06-2011, 21:57 (4897 dagen geleden) @ soundman2
Gewijzigd door Paul Brouwer, 30-06-2011, 22:02

Ik ben geen W2K-gebruiker omdat ik dit eigenlijk overgeslagen heb. Van W98 gelijk over naar WinXP.

Voor zover ik het weet ondersteunt Microsoft W2K al ruim 1 jaar niet meer en zal er ook geen update(s) meer voor komen.
De kans is levensgroot dat jij een stuk malware hebt binnengehaald. Dit soort programmatuur staat bijna nooit op zich
en dus uit meerdere (onder)delen. Verwijder één (onder)deel en een ander (onder)deel plaatst het weer terug.

WinXP kent een file kbddv.dll maar niet het door jou genoemde bestand. Je zou kunnen kijken of W2K hetzelfde bestand kent
en de genoemde keys naar dit bestand te wijzigen.

Groeten,
Paul

--
[image]

kbddv3.exe

door Maarten Bakker ⌂ @, Haarlem/Delft, 30-06-2011, 22:52 (4896 dagen geleden) @ Paul Brouwer
Gewijzigd door Maarten Bakker, 30-06-2011, 22:56

Helaas helpt ondersteuning door MS niet echt heel veel aan het niet binnenhalen van ellende. Met een stevige firewall, een alternatieve browser en mailprogramma is de kans dat je besmet raakt zonder bewust iets te openen alsnog erg klein (en dat is waar het bij ondersteuning middels updates ook voornamelijk om draait). Sterker nog, als je windowsversie maar oud genoeg is, zal de malware soms niet eens willen draaien.

Ik begrijp uit het bericht van Maurice dat malwarebytes goed werkt op 2000, dan is dat een goede optie, hoewel handmatig verwijderen vanuit safe mode -al dan niet met hijackthis- natuurlijk ook kan.

kbddv3.exe

door soundman2 @, Wouw, 30-06-2011, 23:04 (4896 dagen geleden) @ Maarten Bakker

Het wordt al laat, dus morgen verder.
Het programma laat zich wel renamen, maar niet verwijderen, ook niet in safe mode. Als ik in safe mode start met een dos prompt, dan is het bestand niet zichtbaar, maar het is hidden dus niet onmogelijk.
Ik heb de key die het bestand vermeldt in de registry verwijderd. Volgens mij start het niet meer op, want het staat niet meer in de taskmanager.
Het is ook nog niet teruggekomen in de registry.
Soundman2

kbddv3.exe

door Paul Brouwer @, Haarlem, 30-06-2011, 23:56 (4896 dagen geleden) @ soundman2

Kan je niet d.m.v. de properties van het bestand die attributen wijzigen zoals dat wel kan onder WinXP?

Als dat lukt,kan je ze renamen en bij nog geen verschil verwijderen.

Groeten,
Paul

--
[image]

kbddv3.exe

door soundman2 @, Wouw, 01-07-2011, 06:37 (4896 dagen geleden) @ soundman2
Gewijzigd door soundman2, 01-07-2011, 06:40

Het is nog niet weg het bestand.
Ik had nog ergens een win98 opstartdiskette en heb gestart in Dos.
Vervolgens de inhoud van C: bekeken. Hoewel het goede label wordt weergegeven, krijg ik de inhoud te zien van een tweede harde schijf in mijn PC. Beide hebben twee partities, dus C D E en F.
Ik krijg de inhoud van E te zien. Omdat ik niet weet op welke fysieke drive C staat, heb ik ze om beurten even losgemaakt. In beide gevallen is er geen C meer, invalid drive specification. Kan dat er mee te maken hebben dat de schijven NTFS ingedeeld zijn?
Deze methode werkte dus nog niet.
Ik heb Hijackthis gedraaid en een logfile bewaard. Daarin komt het gewraakte bestand niet voor.
Bestaat er voor W2K ook zoiets als een startup diskette? Op de cd rom staat wel zoiets, maar dat zijn vier diskettes. Ik weet niet of dat is wat ik zoek. Ik zou ze eerst moeten maken.
Ook in protected mode kan ik het bestand niet veranderen of verwijderen.
Overigens lijkt de PC alles goed te doen en het progje wordt niet meer gestart, waarschijnlijk door het wijzigen van de registry.
Maar hoe krijg ik het weg en ook de rest als er nog meer bij hoort.
Herinstallatie van W2K is voorlopig nog geen optie. Alle data van mij staat overigens wel op een back-up schijf, die ergens aan het netwerk hangt. Maar effe alles opnieuw terugzetten is toch wat meer dan even doen.

Voor de specialisten heb ik de logfile van hijackthis bewaard.

Soundman2

kbddv3.exe

door Paul Brouwer @, Haarlem, 01-07-2011, 08:34 (4896 dagen geleden) @ soundman2

Geen enkele DOS-diskette zal een NTFS-partitie herkennen. MS-DOS ziet die partities als non-DOS partities.

Groeten,
Paul

--
[image]

kbddv3.exe

door Ed van der Weele † @, Zeist, 01-07-2011, 08:41 (4896 dagen geleden) @ soundman2

Je kan proberen de pc op te starten met een bootable cd, zodat niet de C-drive actief is maar Windows draait vanaf de cd.
Ik heb meermaals bestanden kunnen traceren en verwijderen met een cd waarop BartPE was geïnstalleerd.
http://www.schoonepc.nl/nieuwsbrief/handleiding_bartpe.html

kbddv3.exe

door soundman2 @, Wouw, 01-07-2011, 12:07 (4896 dagen geleden) @ Ed van der Weele †

Ik heb de beschrijving van bartPE gelezen. Bij het maken van de bootable cd, worden bestanden van XP gebruikt. Die heb ik niet. Wel heb ik de installatieschijf van W2k. Die wordt echter nergens meer genoemd.

Soundman2

Bestand is weg

door soundman2 @, Wouw, 01-07-2011, 15:34 (4896 dagen geleden) @ soundman2
Gewijzigd door soundman2, 01-07-2011, 15:39

Het bestand heb ik kunnen wissen, of er verder nog adders onder het gras of in de pc zitten is afwachten. De virusscanner en ook spybots zien niets.
Ik heb een NTFS opstart cd gemaakt, Hirens Boot CD.
Het is een autoboot cd en er staan heel veel tools op. Ook een miniXP, die in een ramdisk gedraaid wordt. De explorer van dat programmatje had geen enkele moeite met het wissen van de file.
In w2k is me dat niet gelukt. Steeds de melding geen toegang of het bericht dat bij hidden systeemfiles de attributen niet veranderd kunnen worden.
Nu nog afwachten dus. Lijkt wel een beetje hoopvol, maar eerst zien en dan geloven.
Het feit van geen toegang zou erop duiden dat het programmaatje toch ergens draaide.
Ik heb het risico genomen om het aan te klikken en toen wilde het internet op. Dat werd afgevangen door de firewall...........
Time will show

Soundman2

Bestand is weg

door snameroc @, Etten Leur, 01-07-2011, 17:23 (4896 dagen geleden) @ soundman2
Gewijzigd door snameroc, 01-07-2011, 17:24

Misschien toch eens interessant om een 2e hands xp machine op te doen met licentie. Met een beetje geluk zijn ze gratis te krijgen of voor een schijntje te kopen op marktplaats met orginele licentie stikker.

Bestand is weg

door Maurice ⌂ @, Dordrecht, 01-07-2011, 17:35 (4896 dagen geleden) @ snameroc
Gewijzigd door Maurice, 01-07-2011, 17:36

Niet doen, rommel dat XP

Stap dan direct over op 7
Dat ik zeg het zelf eindelijk werkelijk 10x beter dan wat ze ooit hebben bedacht.
Is niet alles maar echt 10x beter.
Ja ik heb ook met de win XP's gewerkt, draait ook hier op div pc's.

Dan wel ik heb Win7 enterprise op mijn hoofd werk pc nu.

werk er nu 6 maanden mee na 10 jaar win2K.

Bestand is weg

door soundman2 @, Wouw, 01-07-2011, 17:55 (4896 dagen geleden) @ snameroc

Ik hoef niet zonodig tweedehands, zo arm ben ik ook weer niet. Ik hoef ook niet de nieuwste software,
Win2K doet alles wat ik wil en loopt hoogst zelden vast. Op zeker moment zal ik wel over moeten, omdat steeds meer toepassingen niet meer draaien onder dat OS, terwijl er ook geen nazorg meer voor is. De huidige PC is dan eigenlijk weer te krap om er W7 op te draaien.
Mijn nieuwe laptop draait dan wel weer W7

Soundman2

Bestand is weg

door Maarten Bakker ⌂ @, Haarlem/Delft, 01-07-2011, 21:47 (4896 dagen geleden) @ snameroc
Gewijzigd door Maarten Bakker, 01-07-2011, 21:48

XP werkt inderdaad prima (2000 heb ik altijd minder prettig gevonden). Vista moet je in elk geval vermijden, werkt wel maar is vrij traag en niet alles werkt altijd perfect. 7 lijkt vrij aardig te werken maar is dusdanig anders in de bediening en uiterlijk dat je dan misschien ook linux zou kunnen overwegen omdat die stap dan opeens al een stuk kleiner is.

Er is wel een kleine catch bij XP: het is met alle servicepacks en updates behoorlijk geheugenintensief geworden, aan 1GB heb je eigenlijk al nauwelijks genoeg en moet je soms al wachten op het swappen. Zorg dus voor 2 a 3GB RAM.

Overigens is een overstap natuurlijk pas echt noodzakelijk als dit voor de applicaties nodig is.

Bestand is weg

door Maurice ⌂ @, Dordrecht, 01-07-2011, 17:30 (4896 dagen geleden) @ soundman2

Henk

Probeer eens Totalcommander,
Het oude NortonCommander programma.

Ik gebruik dat heden ten dage nog immer ipv de slechte verkenner windhopeloos.
http://www.ghisler.com/download.htm

of de nieuwste versie
http://total-commander.en.softonic.com/

loop ik achter met mijn 7.04a

Gebruik type sedert mijn eerste XT en indien je daar 1x mee gewerkt hebt wil je niet anders meer.
Heerlijk die 2 schermen, perfect organiseren van je doc's bv over meerdere pc's.

Ook even een vinkje en al je hiddenfiles zichtbaar, atributen bekijken.
Kopieeren, inpakken, uitpakken een zaligheid.

Zoeken van bestand even k* in tikken en enkel de bestanden beginnen met k zichtbaar.

aanrader

Bestand is weg

door soundman2 @, Wouw, 01-07-2011, 17:48 (4896 dagen geleden) @ Maurice

Die totalcommander heette lang geleden norton commander. Er waren meer van die tweeschermen programma's. Een verademing in het dostijdperk. Heel wat anders dan voortdurend alles achter de prompt intikken. Je ziet wat je doet. Sinds een aantal jaren heet het wincommander, maar de functionaliteit is nog steeds dezelfde. Ook de commandline is soms erg handig, Windows explorer gebruik ik zelden. Evenwel kun je ook daar twee schermen open zetten (tweemaal starten) en vervolgens bestanden slepen.

Soundman2

Bestand is weg

door snameroc @, Etten Leur, 01-07-2011, 21:46 (4896 dagen geleden) @ soundman2
Gewijzigd door snameroc, 01-07-2011, 21:47

Win commander voegt in mijn ogen weinig toe, inderdaad het vroegere norton commander.
In dos een verademing in windows totaal overbodig al was het maar om het feit dat als je achter een andermans pc zit (en welke electronicus doet dat niet regelmatig) je het niet hebt.
Gewoon verkenner dat zit op iedere pc.
En dan natuurlijk is win7 beter maar draait niet op een oude pc ( xp doet het goed op een pentium II) en is niet legaal voor een appel en een ei te krijgen, en met xp is helemaal niets mis zeker niet tov win2000.

Bestand is weg

door PA9JAN, 01-07-2011, 21:57 (4896 dagen geleden) @ snameroc

Probeer de A43 datamanager maar eens in de toekomst, daarmee laat zich vrijwel iedere file verwijderen. Heeft ook zo'n Commander structuur.
Ook ik ben een fervent gebruiker van de Total Commander. Staat bij mij op een stick, die ik meestal bij me heb, en kan dan op iedere PC zonder de idioterie van Windows (iedere versie weer andere routines en eigenaardigheden) mijn ding doen.
Voor de liefhebbers wil ik best die A43 beschikbaar stellen.
m.v.g.,
Jan

Bestand is weg

door soundman2 @, Wouw, 01-07-2011, 22:56 (4895 dagen geleden) @ PA9JAN
Gewijzigd door soundman2, 01-07-2011, 22:58

Probeer de A43 datamanager maar eens in de toekomst, daarmee laat zich vrijwel iedere file verwijderen. Heeft ook zo'n Commander structuur.
Ook ik ben een fervent gebruiker van de Total Commander. Staat bij mij op een stick, die ik meestal bij me heb, en kan dan op iedere PC zonder de idioterie van Windows (iedere versie weer andere routines en eigenaardigheden) mijn ding doen.
Voor de liefhebbers wil ik best die A43 beschikbaar stellen.
m.v.g.,
Jan

wellicht was de file toch ergens in gebruik. Via wincommander, win explorer en ook via de dosprompt (run CMD) kreeg ik het niet weg.
Bij het draaien van een "extern" progje was de file te wissen.
Tot nu toe lijkt de pc alles weer goed te doen.
A43 datamanager ken ik niet, maar ik ben bang als die op het actieve OS gedraaid zou worden, dat de file eveneens ontoegankelijk was. Blijft gissen.
A43 kun je downloaden van het web.

Soundman2

Bestand is weg

door soundman2 @, Wouw, 02-07-2011, 11:54 (4895 dagen geleden) @ soundman2
Gewijzigd door soundman2, 02-07-2011, 12:16

Ik heb vandaag nog wat onderzoek gedaan. Op zeker moment dat het fout ging, 29 juni stond in een directory het programma dian_deelen_wouw.com.
Ik klikte daarop en er gebeurde "niets" . Wel was het item verdwenen.
Vandaag, nog eens gezocht op bestanden van die datum en ik vond in Documents en settings\recent dian_deelen_wouw.com.pif.
daar heb ik niet op geklikt (ik vond het vandaag pas). Ik heb het gemoved naar een floppy en durf er niets mee te doen, temeer omdat virusbestanden vaak als pif verstuurd worden. Kun je aan dat pif bestand onderzoeken wat het allemaal doet?

Ik heb zelf geen pif editor meer en durf eigenlijk ook het bestand niet te openen. Als ik met de viewer van wincommander kijk, verwijst het in elk geval naar het .com progamma: dian_deelen_wouw.com . Dat is er volgens mij niet meer.
Soundman2


edit:

Ik heb nog wat teruggevonden in de history van de pc (firefox).
Daar stonden sites inb waar ik zeker niet naar gezocht heb, of bewust naar toegegaan ben.De ene is
beauty2.nc-9.com/....../dian_deelen-wouw.com en iets later http://beauty2.nc-9.com/
Als ik dan het zoekresultaat aanklik, dan verschijnt er een zoekpagina van google.

Geen zuivere koffie.

Bestand is weg

door snameroc @, Etten Leur, 02-07-2011, 12:02 (4895 dagen geleden) @ soundman2

als je het opent met kladblok of een knopix cd?

powered by my little forum