Beste bezoeker,
Welkom op PC Helpforum!

Ben je op zoek naar GRATIS hulp voor je computerprobleem?

Word vandaag lid, plaats je vraag online en het PC Helpforum-team helpt je graag verder.
Je kan lid worden als je hier klikt. Meer dan 40.000 leden deden reeds beroep op onze expertise. PC HELPFORUM vzw HELPT JE GRATIS !

Bent u reeds lid, en u ziet dit bericht? Klik dan rechtsbovenaan op inloggen of klik hier indien u uw wachtwoord bent vergeten.

Discussie gesloten
Pagina 2 van 4 EersteEerste 1234 LaatsteLaatste
Resultaten: 11 t/m 20 van 35
Overzicht bedankjes15Bedankjes

Virus???

Dit is een discussie over Virus??? in het forum Archief Bestrijding malware & virussen , en maakt deel van de Bestrijding malware & virussen categorie; Hoi Pegpeg, Heb je dat probleem ook bij andere programma's, of enkel bij HijackThis? Wil je nogmaals Dial-a-fix starten en ...

  1. #11
    Lid Xeno's schermafbeelding
    Geregistreerd
    8 maart 2008
    Berichten
    140

    Standaard

    Hoi Pegpeg,

    Heb je dat probleem ook bij andere programma's, of enkel bij HijackThis?

    Wil je nogmaals Dial-a-fix starten en volgende doen:

    1. Klik op Policies, klik op Scan.
    Worden er restricties gevonden, dan klik je op Remove.

    2. Plaats een vinkje bij "Fix Windows Installer"
    Alles onder Fix windows installer moet nu aangevinkt zijn, behalve Installer windows 3.1.
    Klik op GO.

    3. Bij registration Center plaats je een vinkje bij Explorer/IE/OE/shell/WMP
    Volg de instructies op het scherm.

    Sluit hierna de tool. Kun je nu HijackThis runnen?

    Succes,
    Xeno :)
    pegpeg gaf dit bericht een bedankje.

  2. #12
    pegpeg
    Guest

    Standaard

    hoi xeno!

    heb het gedaan maar het lukt nog steeds niets. dit gebeurt niet bij alle programma's het is me al opgevallen dat hij steeds uitvalt wanneer ik een actie onderneem om de virus te verwijderen! maar krijg steeds een popup op IE dit

    BRONTOK.A[10]

    -- Hentikan kebobrokan di negeri ini --

    1. Penjarakan Koruptor, Penyelundup, Tukang Suap, & Bandar NARKOBA
    ( Send to "NUSAKAMBANGAN")

    2. Stop Free Sex, Aborsi, & Prostitusi
    ( Go To HELL )

    3. Stop pencemaran lingkungan, pembakaran hutan & perburuan liar.

    4. SAY NO TO DRUGS !!!


    -- KIAMAT SUDAH DEKAT --

    Terinspirasi oleh:
    Elang Brontok (Spizaetus Cirrhatus) yang hampir punah
    <H2>[ By: HVM31 ]
    -- JowoBot #VM Community --
    </H2>


    !!! Akan Kubuat Mereka (VM lokal yg cengeng & bodoh) Terkapar !!!


    heeft dit niets met de virus te maken???

    alvast bedankt

  3. #13
    Lid Xeno's schermafbeelding
    Geregistreerd
    8 maart 2008
    Berichten
    140

    Standaard

    Hoi Pegpeg,

    Ach nu zien we al iets.

    Download Malwarebytes' Anti-Malware via hier of hier.


    Dubbelklik mbam-setup.exe om het programma te installeren.
    • Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware' en Start Malwarebytes' Anti-Malware' Klik daarna op Voltooien.
    • Kies in het hoofdscherm voor de tab Scanner en selecteer het keuzerondje Snelle Scan.
    • Druk op de knop Scan.
    • Het scannen kan een tijdje duren, dus wees geduldig.
    • Wanneer de scan voltooid is, klik OK, daarna Bekijk Resultaten om de resultaten te zien.
    • Zorg ervoor dat daar alles aangevinkt is daarna klik: Verwijder Selectie.
    • Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie extra nota onderaan)
    • De log wordt automatisch bewaard door MBAM die je kan zien door de 'Logs tab' te klikken in MBAM.
    • Kopieer en plak de resultaten van de log in je volgend antwoord, samen met een nieuw HijackThislog.

    Extra Nota:
    Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de Computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.

    Succes,
    Xeno :)
    pegpeg gaf dit bericht een bedankje.

  4. #14
    pegpeg
    Guest

    Standaard

    hoi xeno!

    heb het juist gedaan en er waren wat virussen.. na het log bestand heeft hij niet gevraagd om terug op te starten ..

    hier is het log bestand
    Malwarebytes' Anti-Malware 1.12
    Database versie: 785
    Scan type: Snelle Scan
    Objecten gescand: 93353
    Verstreken tijd: 59 minute(s), 15 second(s)
    Geheugenprocessen ge´nfecteerd: 3
    Geheugenmodulen ge´nfecteerd: 0
    Registersleutels ge´nfecteerd: 0
    Registerwaarden ge´nfecteerd: 1
    Registerdata bestanden ge´nfecteerd: 0
    Mappen ge´nfecteerd: 0
    Bestanden ge´nfecteerd: 5
    Geheugenprocessen ge´nfecteerd:
    C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
    C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
    C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
    Geheugenmodulen ge´nfecteerd:
    (Geen kwaadaardige items gevonden)
    Registersleutels ge´nfecteerd:
    (Geen kwaadaardige items gevonden)
    Registerwaarden ge´nfecteerd:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
    Registerdata bestanden ge´nfecteerd:
    (Geen kwaadaardige items gevonden)
    Mappen ge´nfecteerd:
    (Geen kwaadaardige items gevonden)
    Bestanden ge´nfecteerd:
    C:\Documents and Settings\user\Local Settings\Application Data\csrss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
    C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
    C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
    C:\Documents and Settings\user\Local Settings\Application Data\smss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
    C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.


    bedankt!

  5. #15
    pegpeg
    Guest

    Standaard

    hjt.txt

    en dit is de HJT log file heb het bewaard in kladblok want kon het anders niet posten

    Mvg

  6. #16
    Lid Xeno's schermafbeelding
    Geregistreerd
    8 maart 2008
    Berichten
    140

    Standaard

    Hoi Pegpeg,

    We zien terug iets meer, en is een beetje werk aan.

    1. Download ATF cleaner (mirror)(gemaakt door Atribune)

    Belangrijk: Sluit al je browservensters(IE en/of Firefox en/of Opera) om de tool goed te kunnen laten werken.

    • Dubbelklik op ATF cleaner om het programma te starten.
      Op het tabblad Main, plaats je een vinkje bij Select All.
      Klik op de knop Empty Selected.

      Het volgende doen als je ook FireFox als browser hebt:

      Klik op tabblad Firefox, plaats een vinkje bij Select All.
      Wil je de door Firefox opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op No.
      (dit haalt het vinkje weer weg bij Firefox saved passwords)
      Klik op de knop Empty Selected.

      Het volgende doen als je ook Opera als browser hebt:

      Klik op tabblad Opera, plaats een vinkje bij Select All.
      Wil je de door Opera opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op No.
      Klik op de knop Empty Selected.

      Ga naar het tabblad Main en klik op de knop Exit om het programma af te sluiten.

    2. Start HijackThis en kies voor Do a system scan only en plaats allÚÚn een vinkje voor de volgende regels:

    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\eksplorasi.exe
    O4 - HKLM\..\Run: [Bron-Spizaetus] C:\WINDOWS\ShellNew\sempalong.exe
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    Alle 01 lijnen

    Sluit alle open vensters(behalve HijackThis), klik daarna op Fix checked en bevestig het door in het volgende scherm op Ja te klikken.

    3. Download GV_Killer.exe en klik op uitvoeren, volg verder de aanwijzingen.
    Op het einde laat je het vinkje staan bij Launch GV_Killer, en OK, dan krijg je een blanco input.txt kladblokveld.

    Gebruik KopiŰren en Plakken om onderstaande blauwe lijnen in het venster input.txt te zetten.

    c:\windows\eksplorasi.exe
    C:\windows\prefetch\c:\windows\eksplorasi*.pf
    c:\windows\shellnew\sempalong.exe
    C:\windows\prefetch\c:\windows\shellnew\sempalong*.pf

    Sluit het venster input.txt en druk op de toets Start Killing.
    GV_Killer maakt zijn werk af en klik dan op Exit.
    Mogelijk zal GV_Killer je PC herstarten, sta dit toe en onderbreek een eventuele actie niet.
    Er opent na afloop een rapportje GV_Killer_xx.txt.
    Post het bestand GV_Killer_xx.txt in je volgende antwoord.
    De letters xx zijn een volgnummer, post dan ook het bestand met het hoogste nummer.

    4. Download: RVAXO.exe

    • Sla het bestand op je bureaublad op, dubbelklik het en laat het uitpakken naar je bureaublad.
    • Open nu de map RVAXO op je bureaublad en dubbeklik RunMe.cmd
      Er zal een cmd-schermpje openen, daarin zullen snel enkele regels over niet gevonden bestanden voorbijkomen, dit is normaal.
    • Mogelijk start er ook een uninstaller van een rogue scanner op, sluit deze niet af maar volg eventuele aanwijzingen en laat deze gewoon zijn werk doen.
    • Daarna zal je PC herstarten, na de herstart opent het cmd-venster van RVAXO opnieuw.
      Laat deze lopen en wacht tot er een logfile opent: C:\RVAXO-results.log
    • Herstart je computer niet vanzelf, of start de tool niet na de reboot, doe dit dan handmatig.
    • Post de inhoud van de logfile in je volgende bericht tesamen met een nieuw logje van HijackThis.

    5. Download Combofix naar je Bureaublad.

    OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw. Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen!

    • Dubbelklik op Combofix.exe

      Volg de instructies, aanvaard de disclaimer door 1 (continue) te typen, gevolgd door ENTER.
      Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen.
    Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen.
    Plaats deze log in je volgende post samen met een nieuw HijackThis log.
    Succes,
    Xeno :)
    pegpeg gaf dit bericht een bedankje.

  7. #17
    pegpeg
    Guest

    Standaard

    hoi xeno!!

    alles ging goed tot stap 4 nadat ik rvaxo bestand had en opnieuw HJT opende sloot mijn pc terug alles af. heb dan opnieuw opgestart dan eerst malwarebytes laten lopen en zo dan de nieuws HJT log bestand kunnen posten weet niet of dit een prob is..

    alvast bedankt voor je hulp
    Mvg

    dit is mijn gv killer log bestand


    Logfile GV_Killer_01.txt v7.0.7 - Copyright ę GV_Soft Guido Vaesen
    Rapport datum: 26/05/2008 16:33:09 log van user , Beheerder van deze computer
    Platform: Windows XP Prof SP2 NLD Normale modus
    BEGIN Geplande taken-----------------------------------------------------------------
    C:\WINDOWS\tasks\AppleSoftwareUpdate.job
    EINDE Geplande taken-----------------------------------------------------------------

    Lijst Notify keys--------------------------------------------------------------------
    HKLM\software\microsoft\windows nt\currentversion\winlogon\notify
    WgaLogon WgaLogon.dll
    Settings
    Einde Notify keys--------------------------------------------------------------------
    Verklaring Errorcodes----------------------------------------------------------------
    code 00 : Bestand is verwijderd.
    code 53 : Bestand of map werd niet gevonden op uw PC.
    code 70 : Bestand was in gebruik.
    code 75 : Services zijn nog geladen of bestand in gebruik.
    code M0 : Map is verwijderd.
    code ML : Map is volledig leeg gemaakt.
    code MN : Map werd niet gevonden op uw PC, is niet leeg gemaakt.
    code MV : Map werd niet gevonden op uw PC, is niet verwijderd.
    code K0 : Register key is verwijderd.
    Einde Errorcodes--------------------------------------------------------------------
    BEGIN Inhoud van Input.txt-----------------------------------------------------------
    c:\windows\eksplorasi.exe
    C:\windows\prefetch\c:\windows\eksplorasi*.pf
    c:\windows\shellnew\sempalong.exe
    C:\windows\prefetch\c:\windows\shellnew\sempalong*.pf
    EINDE Inhoud van Input.txt-----------------------------------------------------------
    00 c:\windows\eksplorasi.exe
    0 c:\windows\eksplorasi*.pf
    00 c:\windows\shellnew\sempalong.exe
    0 c:\windows\shellnew\sempalong*.pf
    ;0955679-640-0607177-23676=E1RWL2PE33
    ;EINDE GV_Killer ---------------------------------------------------------------------



    logfile van rvaxo


    --RVAXO.exe Updated: 2008-05-26---first run---
    Uninstallers:

    Files found:
    C:\WINDOWS\wininit.ini

    Folders Found:

    Hosts-file was reset, If you use a custom hosts file please replace it...

    --------------RVAXO.exe last run---------------
    Not deleted items:

    --------------RVAXO.exe finished----------------


    malware bestand

    Malwarebytes' Anti-Malware 1.12
    Database versie: 785
    Scan type: Snelle Scan
    Objecten gescand: 86067
    Verstreken tijd: 41 minute(s), 10 second(s)
    Geheugenprocessen ge´nfecteerd: 5
    Geheugenmodulen ge´nfecteerd: 0
    Registersleutels ge´nfecteerd: 0
    Registerwaarden ge´nfecteerd: 1
    Registerdata bestanden ge´nfecteerd: 0
    Mappen ge´nfecteerd: 0
    Bestanden ge´nfecteerd: 5
    Geheugenprocessen ge´nfecteerd:
    C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
    C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
    C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
    C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
    C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
    Geheugenmodulen ge´nfecteerd:
    (Geen kwaadaardige items gevonden)
    Registersleutels ge´nfecteerd:
    (Geen kwaadaardige items gevonden)
    Registerwaarden ge´nfecteerd:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
    Registerdata bestanden ge´nfecteerd:
    (Geen kwaadaardige items gevonden)
    Mappen ge´nfecteerd:
    (Geen kwaadaardige items gevonden)
    Bestanden ge´nfecteerd:
    C:\Documents and Settings\user\Local Settings\Application Data\csrss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
    C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
    C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
    C:\Documents and Settings\user\Local Settings\Application Data\smss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
    C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
    Laatst gewijzigd door pegpeg; 26 mei 2008 om 16:30

  8. #18
    pegpeg
    Guest

    Standaard

    hjt1.txt

    en dit is de HJT log

    combo fix

    ComboFix 08-05-25.5 - user 2008-05-26 17:39:40.1 - NTFSx86
    Gestart vanuit: C:\Documents and Settings\user\Bureaublad\ComboFix.exe
    * Nieuw herstelpunt werd aangemaakt
    WAARSCHUWING - DE RECOVERY CONSOLE IS NIET OP DIT SYSTEEM GEINSTALLEERD !!
    .
    (((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    C:\Documents and Settings\NL\Local Settings\Temporary Internet Files\search.html
    C:\Documents and Settings\NL\new.txt
    C:\Documents and Settings\user\Local Settings\Application Data\inetinfo.exe
    C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe
    C:\Documents and Settings\user\Local Settings\Application Data\services.exe
    C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe
    C:\smp.bat
    .
    (((((((((((((((((((( Bestanden Gemaakt van 2008-04-26 to 2008-05-26 ))))))))))))))))))))))))))))))
    .
    2008-05-26 17:48 . 2008-05-26 17:48 268 --ah----- C:\sqmdata01.sqm
    2008-05-26 17:48 . 2008-05-26 17:48 244 --ah----- C:\sqmnoopt01.sqm
    2008-05-26 16:41 . 2008-05-26 16:41 268 --ah----- C:\sqmdata00.sqm
    2008-05-26 16:41 . 2008-05-26 16:41 244 --ah----- C:\sqmnoopt00.sqm
    2008-05-26 16:38 . 2008-05-26 16:42 <DIR> d-------- C:\RVAXO
    2008-05-26 16:36 . 2008-05-26 14:14 827,419 --a------ C:\WINDOWS\system32\RVAXO.bat
    2008-05-26 16:36 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
    2008-05-26 16:31 . 2008-05-26 16:31 <DIR> d-------- C:\Program Files\GV_Killer
    2008-05-26 16:31 . 2004-03-08 23:00 152,848 --a------ C:\WINDOWS\system32\COMDLG32.OCX
    2008-05-26 16:31 . 2001-09-07 11:00 59,904 --a------ C:\WINDOWS\system32\wbemdisp.tlb
    2008-05-23 18:09 . 2008-05-23 18:12 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
    2008-05-19 16:37 . 2008-05-19 16:37 <DIR> d-------- C:\Program Files\Trend Micro
    2008-05-17 18:33 . 2008-04-22 16:10 <DIR> d--h----- C:\Documents and Settings\Administrator\Sjablonen
    2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Administrator\Onlangs geopend
    2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Administrator\Netwerkprinteromgeving
    2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Administrator\Mijn documenten
    2008-05-17 18:33 . 2008-04-22 17:56 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Start
    2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Administrator\Favorieten
    2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Administrator\Bureaublad
    2008-05-17 18:33 . 2008-05-17 18:33 <DIR> d-------- C:\Documents and Settings\Administrator
    2008-05-17 18:28 . 2008-05-17 18:31 <DIR> d-------- C:\WINDOWS\BDOSCAN8
    2008-05-17 18:20 . 2008-04-22 16:10 <DIR> d--h----- C:\Documents and Settings\Farid\Sjablonen
    2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Farid\Onlangs geopend
    2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Farid\Netwerkprinteromgeving
    2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Farid\Mijn documenten
    2008-05-17 18:20 . 2008-04-22 17:56 <DIR> dr------- C:\Documents and Settings\Farid\Menu Start
    2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Farid\Favorieten
    2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Farid\Bureaublad
    2008-05-17 18:20 . 2008-05-17 18:20 <DIR> d-------- C:\Documents and Settings\Farid
    2008-05-14 20:27 . 2008-05-14 20:27 <DIR> d-------- C:\Documents and Settings\user\Bluetooth Software
    2008-05-08 14:15 . 2008-05-17 23:30 <DIR> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-05-08 14:15 . 2008-05-08 14:15 <DIR> d-------- C:\Documents and Settings\user\Application Data\Malwarebytes
    2008-05-08 14:15 . 2008-05-08 14:15 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-05-08 14:15 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
    2008-05-08 14:15 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
    2008-05-07 20:37 . 2008-05-07 20:37 <DIR> d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2
    2008-05-06 19:01 . 2008-05-06 19:05 <DIR> d-------- C:\Program Files\Symantec
    2008-05-06 19:01 . 2008-05-06 19:01 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Symantec
    2008-05-01 16:33 . 2008-05-23 17:10 54,156 --ah----- C:\WINDOWS\QTFont.qfn
    2008-05-01 16:33 . 2008-05-01 16:33 1,409 --a------ C:\WINDOWS\QTFont.for
    2008-04-30 18:43 . 2008-04-30 18:43 <DIR> d-------- C:\Program Files\C-Media 3D Audio
    2008-04-30 18:43 . 2005-12-15 13:46 2,834,432 --a------ C:\WINDOWS\system\cmicnfg.cpl
    2008-04-30 18:43 . 2004-02-17 10:51 1,458,176 --a------ C:\WINDOWS\system\SmWizard.exe
    2008-04-30 18:43 . 2008-04-30 18:40 1,454,080 --a------ C:\WINDOWS\system\SET6F.tmp
    2008-04-30 18:43 . 2005-12-15 13:57 1,368,000 --a------ C:\WINDOWS\system32\drivers\cmuda.sys
    2008-04-30 18:43 . 2002-04-29 15:04 917,504 --a------ C:\WINDOWS\system\cmids3d.dll
    2008-04-30 18:43 . 2004-04-23 15:02 233,472 --a------ C:\WINDOWS\system32\cmirmdrv.exe
    2008-04-30 18:43 . 2005-12-15 18:48 172,032 --a------ C:\WINDOWS\system32\cmuda.dll
    2008-04-30 18:43 . 2003-04-24 13:29 32,768 --a------ C:\WINDOWS\system32\udaprop.dll
    2008-04-30 18:43 . 2003-02-18 18:26 28,672 --a------ C:\WINDOWS\system32\cmirmdrv.dll
    2008-04-30 18:04 . 2003-11-04 15:10 69,632 --a------ C:\WINDOWS\system32\lfgif13n.dll
    2008-04-30 18:03 . 2004-05-14 16:53 462,848 --a------ C:\WINDOWS\system32\ltkrn13n.dll
    2008-04-30 18:03 . 2004-05-14 16:53 450,560 --a------ C:\WINDOWS\system32\ltimg13n.dll
    2008-04-30 18:03 . 2004-05-14 16:53 401,408 --a------ C:\WINDOWS\system32\lfcmp13n.dll
    2008-04-30 18:03 . 2004-05-14 16:53 299,008 --a------ C:\WINDOWS\system32\ltdis13n.dll
    2008-04-30 18:03 . 2004-01-12 02:09 206,336 --a------ C:\WINDOWS\system32\ltefx13n.dll
    2008-04-30 18:03 . 2004-05-14 16:53 163,840 --a------ C:\WINDOWS\system32\ltfil13n.dll
    2008-04-30 18:03 . 2004-05-14 16:53 57,344 --a------ C:\WINDOWS\system32\lfbmp13n.dll
    2008-04-30 11:31 . 1998-10-09 14:36 327,168 --a------ C:\WINDOWS\IsUn0413.exe
    2008-04-30 11:31 . 2003-08-05 14:23 266,240 --a------ C:\WINDOWS\CMIUninstall.exe
    2008-04-30 11:31 . 2003-07-22 11:15 225,280 --a------ C:\WINDOWS\CmiRmRedundDir.exe
    2008-04-30 11:31 . 2002-10-18 15:56 28,672 --a------ C:\WINDOWS\CMIRmDriver.dll
    2008-04-30 11:31 . 2008-05-04 21:48 206 --a------ C:\WINDOWS\system\CmiCnfg.ini
    2008-04-30 11:31 . 2008-04-30 18:43 92 --a------ C:\WINDOWS\CMISETUP.INI
    2008-04-30 11:31 . 2008-04-30 18:43 26 --a------ C:\WINDOWS\CMCDPLAY.INI
    2008-04-29 15:48 . 2004-02-24 11:08 400,384 --------- C:\WINDOWS\system32\drivers\alcxsens.sys
    2008-04-29 15:48 . 2004-04-28 17:19 66,048 --------- C:\WINDOWS\soundb9f.rra
    2008-04-29 15:10 . 2008-04-29 15:10 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
    2008-04-29 15:10 . 2008-04-29 15:10 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Apple
    2008-04-28 18:35 . 2004-08-03 22:58 7,552 --a------ C:\WINDOWS\system32\drivers\MSKSSRV.sys
    2008-04-28 18:35 . 2004-08-03 22:58 7,552 --a--c--- C:\WINDOWS\system32\dllcache\mskssrv.sys
    2008-04-28 18:35 . 2004-08-03 22:58 5,376 --a------ C:\WINDOWS\system32\drivers\MSPCLOCK.sys
    2008-04-28 18:35 . 2004-08-03 22:58 5,376 --a--c--- C:\WINDOWS\system32\dllcache\mspclock.sys
    2008-04-28 18:35 . 2004-08-03 22:58 4,992 --a------ C:\WINDOWS\system32\drivers\MSPQM.sys
    2008-04-28 18:35 . 2004-08-03 22:58 4,992 --a--c--- C:\WINDOWS\system32\dllcache\mspqm.sys
    2008-04-28 18:34 . 2008-04-28 18:34 <DIR> d-------- C:\Program Files\Realtek AC97
    2008-04-27 10:15 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
    2008-04-27 10:15 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
    2008-04-26 19:08 . 2008-05-26 17:36 <DIR> dr-h----- C:\Documents and Settings\user\Onlangs geopend
    2008-04-26 19:08 . 2008-05-17 13:58 118 --a------ C:\WINDOWS\system32\MRT.INI
    2008-04-26 18:49 . 2008-04-26 18:49 379 --a------ C:\WINDOWS\ODBC.INI
    2008-04-26 18:48 . 2003-06-18 17:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
    2008-04-26 18:45 . 2008-04-26 18:45 <DIR> d-------- C:\Program Files\Microsoft ActiveSync
    2008-04-26 18:43 . 2008-04-26 18:43 <DIR> d-------- C:\Program Files\Microsoft.NET
    2008-04-26 18:38 . 2008-04-26 18:38 <DIR> dr-h----- C:\MSOCache
    2008-04-26 18:29 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
    2008-04-26 14:48 . 2008-05-18 22:31 <DIR> d-------- C:\Documents and Settings\user\Contacts
    2008-04-26 14:43 . 2008-04-26 14:46 <DIR> d-------- C:\Program Files\Windows Live
    2008-04-26 14:43 . 2008-04-26 14:46 <DIR> d--hsc--- C:\Program Files\Common Files\WindowsLiveInstaller
    2008-04-26 14:42 . 2008-04-26 14:42 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
    .
    ((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-05-06 17:01 --------- d-----w C:\Program Files\Common Files\Symantec Shared
    2008-04-29 13:11 --------- d-----w C:\Program Files\QuickTime
    2008-04-28 16:38 --------- d-----w C:\Program Files\Google
    2008-04-25 18:11 23,600 ----a-w C:\WINDOWS\system32\drivers\TVICHW32.SYS
    2008-04-22 15:55 --------- d-----w C:\Program Files\Common Files\Adobe
    2008-04-22 14:58 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-04-22 14:58 --------- d-----w C:\Program Files\Realtek Sound Manager
    2008-04-22 14:58 --------- d-----w C:\Program Files\AvRack
    2008-04-22 14:39 --------- d-----w C:\Program Files\MSBuild
    2008-04-22 14:33 --------- d-----w C:\Program Files\Reference Assemblies
    2008-04-22 14:33 --------- d-----w C:\Program Files\MSXML 6.0
    2008-04-22 14:10 --------- d-----w C:\Program Files\Windows Media Connect 2
    2008-04-02 16:30 --------- d-----w C:\Program Files\Common Files\Download Manager
    2008-04-02 06:37 164 ----a-w C:\install.dat
    2008-04-01 20:20 --------- d-----w C:\Program Files\ESET
    2008-03-24 19:51 42,713 ---h--w C:\WINDOWS\eksplorasi.exe
    2006-08-25 18:58 788,992 ----a-w C:\Program Files\1043.MST
    2006-08-25 18:58 5,118 ----a-w C:\Program Files\0x0413.ini
    2006-08-25 18:58 33,976,320 ----a-w C:\Program Files\iPod for Windows 2006-03-23.msi
    .
    ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:03 15360]
    "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
    "Tok-Cirrhatus"="C:\Documents and Settings\user\Local Settings\Application Data\smss.exe" [2008-03-24 21:51 42713]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
    "SoundMan"="SOUNDMAN.EXE" [2005-05-17 12:48 77824 C:\WINDOWS\SOUNDMAN.EXE]
    "Cmaudio"="cmicnfg.cpl" []
    "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 01:03 110592 C:\WINDOWS\system32\bthprops.cpl]
    "Bron-Spizaetus"="C:\WINDOWS\ShellNew\sempalong.exe" [2008-03-24 21:51 42713]
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:03 15360]
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "ShowDeskFix"="regsvr32 /s /n /i:u shell32" []
    C:\Documents and Settings\NL\Start Menu\Programs\Startup\
    Empty.pif [2008-03-24 21:51:15 42713]
    C:\Documents and Settings\user\Menu Start\Programma's\Opstarten\
    Empty.pif [2008-03-24 21:51:15 42713]
    C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\
    BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2004-10-01 15:12:18 565309]
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
    "DisableRegistryTools"= 1 (0x1)
    "DisableCMD"= 0 (0x0)
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoFolderOptions"= 1 (0x1)
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
    "Shell"="Explorer.exe \"C:\\WINDOWS\\eksplorasi.exe\""
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\WINDOWS\\system32\\dpvsetup.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

    .
    Inhoud van de 'Gedeelde Taken' map
    "2008-05-03 20:35:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    .
    **************************************************************************
    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-05-26 17:50:23
    Windows 5.1.2600 Service Pack 2 NTFS
    scannen van verborgen processen ...
    scannen van verborgen autostart items ...
    scannen van verborgen bestanden ...
    Scan succesvol afgerond
    verborgen bestanden: 0
    **************************************************************************
    .
    --------------------- DLLs Geladen Onder Lopende Processen ---------------------
    PROCESS: C:\WINDOWS\system32\winlogon.exe
    -> C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Qoobox\Quarantine\C\Documents and Settings\user\Local Settings\Application Data\winlogon.exe.virww_ac3f9c03.Manifest
    .
    **************************************************************************
    .
    Voltooingstijd: 2008-05-26 17:56:22 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-05-26 15:56:19
    Pre-Run: 16,389,287,936 bytes beschikbaar
    Post-Run: 16,557,977,600 bytes beschikbaar
    203 --- E O F --- 2008-05-17 11:58:51



    bedankt
    Laatst gewijzigd door pegpeg; 26 mei 2008 om 16:59

  9. #19
    Lid Xeno's schermafbeelding
    Geregistreerd
    8 maart 2008
    Berichten
    140

    Standaard

    Hoi Pegpeg,

    Dit is een nieuwe besmetting, en moeten nu even roeien met de riemen die we hebben.



    1. Open Kladblok, kopiŰer en plak het volgende (vetgedrukte, blauwe tekst) in een leeg venster:


    • File::
      C:\\WINDOWS\\eksplorasi.exe
      C:\WINDOWS\ShellNew\sempalong.exe

      Registry::
      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Tok-Cirrhatus"=-
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Bron-Spizaetus"=-
      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
      "ShowDeskFix"=-
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
      "Shell"=-
    Sla dit op op je Bureaublad als CFScript.txt
    Sleep CFScript.txt in ComboFix.exe zoals getoond in onderstaand voorbeeld :



    Dit zal ComboFix doen herstarten.
    Start opnieuw op als daarom gevraagd wordt,
    en post de inhoud van de Combofix.txt in je volgende antwoord samen met een nieuw HijackThislogje.

    Succes,
    Xeno :)
    pegpeg gaf dit bericht een bedankje.

  10. #20
    pegpeg
    Guest

    Standaard

    hoi xeno!!

    heb gedaan wat je gevraagd hebt maar het lukt niet goed, heb opgemerkt dat ik altijd eerst antimalware moet doen alvorens ik 1 van je stappen kan doen zoals bv bij combofix of HJT! en heb altijd 9infecties altijd dezelfde :s nu heb ik eerst malware laten lopen en da zo het log bestandje gesleept in de venster . maar eens hij terug opstart en ik dan een HJT log wil doen valt alles terug uit!!! en hij kan neit alle betanden wissen pfff

    bedankt alvast

    Mvg

    hier het malware bestand

    Malwarebytes' Anti-Malware 1.12
    Database versie: 789
    Scan type: Snelle Scan
    Objecten gescand: 39762
    Verstreken tijd: 9 minute(s), 5 second(s)
    Geheugenprocessen ge´nfecteerd: 3
    Geheugenmodulen ge´nfecteerd: 0
    Registersleutels ge´nfecteerd: 0
    Registerwaarden ge´nfecteerd: 1
    Registerdata bestanden ge´nfecteerd: 0
    Mappen ge´nfecteerd: 0
    Bestanden ge´nfecteerd: 5
    Geheugenprocessen ge´nfecteerd:
    C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Failed to unload process.
    C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
    C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
    Geheugenmodulen ge´nfecteerd:
    (Geen kwaadaardige items gevonden)
    Registersleutels ge´nfecteerd:
    (Geen kwaadaardige items gevonden)
    Registerwaarden ge´nfecteerd:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
    Registerdata bestanden ge´nfecteerd:
    (Geen kwaadaardige items gevonden)
    Mappen ge´nfecteerd:
    (Geen kwaadaardige items gevonden)
    Bestanden ge´nfecteerd:
    C:\Documents and Settings\user\Local Settings\Application Data\csrss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
    C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.
    C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
    C:\Documents and Settings\user\Local Settings\Application Data\smss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
    C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
    Laatst gewijzigd door pegpeg; 27 mei 2008 om 17:23

Discussie gesloten
Pagina 2 van 4 EersteEerste 1234 LaatsteLaatste

Soortgelijke discussies

  1. [OPGELOST] msn virus ?
    door pr@yl&0n@!r in forum Archief Bestrijding malware & virussen
    Reacties: 27
    Laatste bericht: 12 juli 2008, 20:29
  2. Virus (2)
    door billmcneal in forum Archief Bestrijding malware & virussen
    Reacties: 5
    Laatste bericht: 16 juni 2008, 12:50
  3. [OPGELOST] msn virus
    door patrick3 in forum Archief Bestrijding malware & virussen
    Reacties: 5
    Laatste bericht: 23 maart 2008, 18:38
  4. [OPGELOST] Msn virus: Virus:&quot;Je foto's worden gepubliceerd op deze site&quot;
    door Wesleyyy in forum Archief Bestrijding malware & virussen
    Reacties: 11
    Laatste bericht: 15 maart 2008, 00:40
  5. [OPGELOST] virus
    door basserd in forum Archief Bestrijding malware & virussen
    Reacties: 8
    Laatste bericht: 12 maart 2008, 20:33

Labels voor deze discussie

Regels voor berichten

  • Je mag geen nieuwe discussies starten
  • Je mag niet reageren op berichten
  • Je mag geen bijlagen versturen
  • Je mag niet je berichten bewerken
  •