Virus???

**Xeno** · 25 mei 2008, 00:22

Hoi Pegpeg,

Heb je dat probleem ook bij andere programma's, of enkel bij HijackThis?

Wil je nogmaals Dial-a-fix starten en volgende doen:

1. Klik op Policies, klik op Scan.
Worden er restricties gevonden, dan klik je op Remove.

2. Plaats een vinkje bij "Fix Windows Installer"
Alles onder Fix windows installer moet nu aangevinkt zijn, behalve Installer windows 3.1.
Klik op GO.

3. Bij registration Center plaats je een vinkje bij Explorer/IE/OE/shell/WMP
Volg de instructies op het scherm.

Sluit hierna de tool. Kun je nu HijackThis runnen?

Succes,
Xeno :)

**pegpeg** · 25 mei 2008, 12:10

hoi xeno!

heb het gedaan maar het lukt nog steeds niets. dit gebeurt niet bij alle programma's het is me al opgevallen dat hij steeds uitvalt wanneer ik een actie onderneem om de virus te verwijderen! maar krijg steeds een popup op IE dit

BRONTOK.A[10]

-- Hentikan kebobrokan di negeri ini --

1. Penjarakan Koruptor, Penyelundup, Tukang Suap, & Bandar NARKOBA
( Send to "NUSAKAMBANGAN")

2. Stop Free Sex, Aborsi, & Prostitusi
( Go To HELL )

3. Stop pencemaran lingkungan, pembakaran hutan & perburuan liar.

4. SAY NO TO DRUGS !!!

-- KIAMAT SUDAH DEKAT --

Terinspirasi oleh:
Elang Brontok (Spizaetus Cirrhatus) yang hampir punah
<H2>[ By: HVM31 ]
-- JowoBot #VM Community --</H2>

!!! Akan Kubuat Mereka (VM lokal yg cengeng & bodoh) Terkapar !!!

heeft dit niets met de virus te maken???

alvast bedankt

**Xeno** · 25 mei 2008, 12:47

Hoi Pegpeg,

Ach nu zien we al iets.

Download Malwarebytes' Anti-Malware via hier of hier.

Dubbelklik mbam-setup.exe om het programma te installeren.

Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware' en Start Malwarebytes' Anti-Malware' Klik daarna op Voltooien.
Kies in het hoofdscherm voor de tab Scanner en selecteer het keuzerondje Snelle Scan.
Druk op de knop Scan.
Het scannen kan een tijdje duren, dus wees geduldig.
Wanneer de scan voltooid is, klik OK, daarna Bekijk Resultaten om de resultaten te zien.
Zorg ervoor dat daar alles aangevinkt is daarna klik: Verwijder Selectie.
Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie extra nota onderaan)
De log wordt automatisch bewaard door MBAM die je kan zien door de 'Logs tab' te klikken in MBAM.
Kopieer en plak de resultaten van de log in je volgend antwoord, samen met een nieuw HijackThislog.

Extra Nota:
Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de Computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.

Succes,
Xeno :)

**pegpeg** · 25 mei 2008, 13:59

hoi xeno!

heb het juist gedaan en er waren wat virussen.. na het log bestand heeft hij niet gevraagd om terug op te starten ..

hier is het log bestand
Malwarebytes' Anti-Malware 1.12
Database versie: 785
Scan type: Snelle Scan
Objecten gescand: 93353
Verstreken tijd: 59 minute(s), 15 second(s)
Geheugenprocessen geïnfecteerd: 3
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 1
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 5
Geheugenprocessen geïnfecteerd:
C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registersleutels geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registerwaarden geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Bestanden geïnfecteerd:
C:\Documents and Settings\user\Local Settings\Application Data\csrss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Local Settings\Application Data\smss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

bedankt!

**pegpeg** · 25 mei 2008, 14:05

hjt.txt

en dit is de HJT log file heb het bewaard in kladblok want kon het anders niet posten

Mvg

**Xeno** · 25 mei 2008, 15:50

Hoi Pegpeg,

We zien terug iets meer, en is een beetje werk aan.

1. Download ATF cleaner (mirror)(gemaakt door Atribune)

Belangrijk: Sluit al je browservensters(IE en/of Firefox en/of Opera) om de tool goed te kunnen laten werken.

Dubbelklik op ATF cleaner om het programma te starten.
Op het tabblad Main, plaats je een vinkje bij Select All.
Klik op de knop Empty Selected.

Het volgende doen als je ook FireFox als browser hebt:

Klik op tabblad Firefox, plaats een vinkje bij Select All.
Wil je de door Firefox opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op No.
(dit haalt het vinkje weer weg bij Firefox saved passwords)
Klik op de knop Empty Selected.

Het volgende doen als je ook Opera als browser hebt:

Klik op tabblad Opera, plaats een vinkje bij Select All.
Wil je de door Opera opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op No.
Klik op de knop Empty Selected.

Ga naar het tabblad Main en klik op de knop Exit om het programma af te sluiten.

2. Start HijackThis en kies voor Do a system scan only en plaats alléén een vinkje voor de volgende regels:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\eksplorasi.exe
O4 - HKLM\..\Run: [Bron-Spizaetus] C:\WINDOWS\ShellNew\sempalong.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Alle 01 lijnen

Sluit alle open vensters(behalve HijackThis), klik daarna op Fix checked en bevestig het door in het volgende scherm op Ja te klikken.

3. Download GV_Killer.exe en klik op uitvoeren, volg verder de aanwijzingen.
Op het einde laat je het vinkje staan bij Launch GV_Killer, en OK, dan krijg je een blanco input.txt kladblokveld.

Gebruik Kopiëren en Plakken om onderstaande blauwe lijnen in het venster input.txt te zetten.

c:\windows\eksplorasi.exe
C:\windows\prefetch\c:\windows\eksplorasi*.pf
c:\windows\shellnew\sempalong.exe
C:\windows\prefetch\c:\windows\shellnew\sempalong*.pf

Sluit het venster input.txt en druk op de toets Start Killing.
GV_Killer maakt zijn werk af en klik dan op Exit.
Mogelijk zal GV_Killer je PC herstarten, sta dit toe en onderbreek een eventuele actie niet.
Er opent na afloop een rapportje GV_Killer_xx.txt.
Post het bestand GV_Killer_xx.txt in je volgende antwoord.
De letters xx zijn een volgnummer, post dan ook het bestand met het hoogste nummer.

4. Download: RVAXO.exe

Sla het bestand op je bureaublad op, dubbelklik het en laat het uitpakken naar je bureaublad.
Open nu de map RVAXO op je bureaublad en dubbeklik RunMe.cmd
Er zal een cmd-schermpje openen, daarin zullen snel enkele regels over niet gevonden bestanden voorbijkomen, dit is normaal.
Mogelijk start er ook een uninstaller van een rogue scanner op, sluit deze niet af maar volg eventuele aanwijzingen en laat deze gewoon zijn werk doen.
Daarna zal je PC herstarten, na de herstart opent het cmd-venster van RVAXO opnieuw.
Laat deze lopen en wacht tot er een logfile opent: C:\RVAXO-results.log
Herstart je computer niet vanzelf, of start de tool niet na de reboot, doe dit dan handmatig.
Post de inhoud van de logfile in je volgende bericht tesamen met een nieuw logje van HijackThis.

5. Download Combofix naar je Bureaublad.

OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw. Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen!

Dubbelklik op Combofix.exe

Volg de instructies, aanvaard de disclaimer door 1 (continue) te typen, gevolgd door ENTER.
Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen.

Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen.
Plaats deze log in je volgende post samen met een nieuw HijackThis log.
Succes,
Xeno :)

**pegpeg** · 26 mei 2008, 16:35

hoi xeno!!

alles ging goed tot stap 4 nadat ik rvaxo bestand had en opnieuw HJT opende sloot mijn pc terug alles af. heb dan opnieuw opgestart dan eerst malwarebytes laten lopen en zo dan de nieuws HJT log bestand kunnen posten weet niet of dit een prob is..

alvast bedankt voor je hulp
Mvg

dit is mijn gv killer log bestand

Logfile GV_Killer_01.txt v7.0.7 - Copyright © GV_Soft Guido Vaesen
Rapport datum: 26/05/2008 16:33:09 log van user , Beheerder van deze computer
Platform: Windows XP Prof SP2 NLD Normale modus
BEGIN Geplande taken-----------------------------------------------------------------
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
EINDE Geplande taken-----------------------------------------------------------------

Lijst Notify keys--------------------------------------------------------------------
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify
WgaLogon WgaLogon.dll
Settings
Einde Notify keys--------------------------------------------------------------------
Verklaring Errorcodes----------------------------------------------------------------
code 00 : Bestand is verwijderd.
code 53 : Bestand of map werd niet gevonden op uw PC.
code 70 : Bestand was in gebruik.
code 75 : Services zijn nog geladen of bestand in gebruik.
code M0 : Map is verwijderd.
code ML : Map is volledig leeg gemaakt.
code MN : Map werd niet gevonden op uw PC, is niet leeg gemaakt.
code MV : Map werd niet gevonden op uw PC, is niet verwijderd.
code K0 : Register key is verwijderd.
Einde Errorcodes--------------------------------------------------------------------
BEGIN Inhoud van Input.txt-----------------------------------------------------------
c:\windows\eksplorasi.exe
C:\windows\prefetch\c:\windows\eksplorasi*.pf
c:\windows\shellnew\sempalong.exe
C:\windows\prefetch\c:\windows\shellnew\sempalong*.pf
EINDE Inhoud van Input.txt-----------------------------------------------------------
00 c:\windows\eksplorasi.exe
0 c:\windows\eksplorasi*.pf
00 c:\windows\shellnew\sempalong.exe
0 c:\windows\shellnew\sempalong*.pf
;0955679-640-0607177-23676=E1RWL2PE33
;EINDE GV_Killer ---------------------------------------------------------------------

logfile van rvaxo

--RVAXO.exe Updated: 2008-05-26---first run---
Uninstallers:

Files found:
C:\WINDOWS\wininit.ini

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------

malware bestand

Malwarebytes' Anti-Malware 1.12
Database versie: 785
Scan type: Snelle Scan
Objecten gescand: 86067
Verstreken tijd: 41 minute(s), 10 second(s)
Geheugenprocessen geïnfecteerd: 5
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 1
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 5
Geheugenprocessen geïnfecteerd:
C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registersleutels geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registerwaarden geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Bestanden geïnfecteerd:
C:\Documents and Settings\user\Local Settings\Application Data\csrss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Local Settings\Application Data\smss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

**pegpeg** · 26 mei 2008, 17:37

hjt1.txt

en dit is de HJT log

combo fix

ComboFix 08-05-25.5 - user 2008-05-26 17:39:40.1 - NTFSx86
Gestart vanuit: C:\Documents and Settings\user\Bureaublad\ComboFix.exe
* Nieuw herstelpunt werd aangemaakt
WAARSCHUWING - DE RECOVERY CONSOLE IS NIET OP DIT SYSTEEM GEINSTALLEERD !!
.
(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\NL\Local Settings\Temporary Internet Files\search.html
C:\Documents and Settings\NL\new.txt
C:\Documents and Settings\user\Local Settings\Application Data\inetinfo.exe
C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe
C:\Documents and Settings\user\Local Settings\Application Data\services.exe
C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe
C:\smp.bat
.
(((((((((((((((((((( Bestanden Gemaakt van 2008-04-26 to 2008-05-26 ))))))))))))))))))))))))))))))
.
2008-05-26 17:48 . 2008-05-26 17:48 268 --ah----- C:\sqmdata01.sqm
2008-05-26 17:48 . 2008-05-26 17:48 244 --ah----- C:\sqmnoopt01.sqm
2008-05-26 16:41 . 2008-05-26 16:41 268 --ah----- C:\sqmdata00.sqm
2008-05-26 16:41 . 2008-05-26 16:41 244 --ah----- C:\sqmnoopt00.sqm
2008-05-26 16:38 . 2008-05-26 16:42 <DIR> d-------- C:\RVAXO
2008-05-26 16:36 . 2008-05-26 14:14 827,419 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-05-26 16:36 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-05-26 16:31 . 2008-05-26 16:31 <DIR> d-------- C:\Program Files\GV_Killer
2008-05-26 16:31 . 2004-03-08 23:00 152,848 --a------ C:\WINDOWS\system32\COMDLG32.OCX
2008-05-26 16:31 . 2001-09-07 11:00 59,904 --a------ C:\WINDOWS\system32\wbemdisp.tlb
2008-05-23 18:09 . 2008-05-23 18:12 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-05-19 16:37 . 2008-05-19 16:37 <DIR> d-------- C:\Program Files\Trend Micro
2008-05-17 18:33 . 2008-04-22 16:10 <DIR> d--h----- C:\Documents and Settings\Administrator\Sjablonen
2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Administrator\Onlangs geopend
2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Administrator\Netwerkprinteromgeving
2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Administrator\Mijn documenten
2008-05-17 18:33 . 2008-04-22 17:56 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Start
2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Administrator\Favorieten
2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Administrator\Bureaublad
2008-05-17 18:33 . 2008-05-17 18:33 <DIR> d-------- C:\Documents and Settings\Administrator
2008-05-17 18:28 . 2008-05-17 18:31 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-05-17 18:20 . 2008-04-22 16:10 <DIR> d--h----- C:\Documents and Settings\Farid\Sjablonen
2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Farid\Onlangs geopend
2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Farid\Netwerkprinteromgeving
2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Farid\Mijn documenten
2008-05-17 18:20 . 2008-04-22 17:56 <DIR> dr------- C:\Documents and Settings\Farid\Menu Start
2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Farid\Favorieten
2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Farid\Bureaublad
2008-05-17 18:20 . 2008-05-17 18:20 <DIR> d-------- C:\Documents and Settings\Farid
2008-05-14 20:27 . 2008-05-14 20:27 <DIR> d-------- C:\Documents and Settings\user\Bluetooth Software
2008-05-08 14:15 . 2008-05-17 23:30 <DIR> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-08 14:15 . 2008-05-08 14:15 <DIR> d-------- C:\Documents and Settings\user\Application Data\Malwarebytes
2008-05-08 14:15 . 2008-05-08 14:15 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-08 14:15 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-08 14:15 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-07 20:37 . 2008-05-07 20:37 <DIR> d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2
2008-05-06 19:01 . 2008-05-06 19:05 <DIR> d-------- C:\Program Files\Symantec
2008-05-06 19:01 . 2008-05-06 19:01 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Symantec
2008-05-01 16:33 . 2008-05-23 17:10 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-01 16:33 . 2008-05-01 16:33 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-30 18:43 . 2008-04-30 18:43 <DIR> d-------- C:\Program Files\C-Media 3D Audio
2008-04-30 18:43 . 2005-12-15 13:46 2,834,432 --a------ C:\WINDOWS\system\cmicnfg.cpl
2008-04-30 18:43 . 2004-02-17 10:51 1,458,176 --a------ C:\WINDOWS\system\SmWizard.exe
2008-04-30 18:43 . 2008-04-30 18:40 1,454,080 --a------ C:\WINDOWS\system\SET6F.tmp
2008-04-30 18:43 . 2005-12-15 13:57 1,368,000 --a------ C:\WINDOWS\system32\drivers\cmuda.sys
2008-04-30 18:43 . 2002-04-29 15:04 917,504 --a------ C:\WINDOWS\system\cmids3d.dll
2008-04-30 18:43 . 2004-04-23 15:02 233,472 --a------ C:\WINDOWS\system32\cmirmdrv.exe
2008-04-30 18:43 . 2005-12-15 18:48 172,032 --a------ C:\WINDOWS\system32\cmuda.dll
2008-04-30 18:43 . 2003-04-24 13:29 32,768 --a------ C:\WINDOWS\system32\udaprop.dll
2008-04-30 18:43 . 2003-02-18 18:26 28,672 --a------ C:\WINDOWS\system32\cmirmdrv.dll
2008-04-30 18:04 . 2003-11-04 15:10 69,632 --a------ C:\WINDOWS\system32\lfgif13n.dll
2008-04-30 18:03 . 2004-05-14 16:53 462,848 --a------ C:\WINDOWS\system32\ltkrn13n.dll
2008-04-30 18:03 . 2004-05-14 16:53 450,560 --a------ C:\WINDOWS\system32\ltimg13n.dll
2008-04-30 18:03 . 2004-05-14 16:53 401,408 --a------ C:\WINDOWS\system32\lfcmp13n.dll
2008-04-30 18:03 . 2004-05-14 16:53 299,008 --a------ C:\WINDOWS\system32\ltdis13n.dll
2008-04-30 18:03 . 2004-01-12 02:09 206,336 --a------ C:\WINDOWS\system32\ltefx13n.dll
2008-04-30 18:03 . 2004-05-14 16:53 163,840 --a------ C:\WINDOWS\system32\ltfil13n.dll
2008-04-30 18:03 . 2004-05-14 16:53 57,344 --a------ C:\WINDOWS\system32\lfbmp13n.dll
2008-04-30 11:31 . 1998-10-09 14:36 327,168 --a------ C:\WINDOWS\IsUn0413.exe
2008-04-30 11:31 . 2003-08-05 14:23 266,240 --a------ C:\WINDOWS\CMIUninstall.exe
2008-04-30 11:31 . 2003-07-22 11:15 225,280 --a------ C:\WINDOWS\CmiRmRedundDir.exe
2008-04-30 11:31 . 2002-10-18 15:56 28,672 --a------ C:\WINDOWS\CMIRmDriver.dll
2008-04-30 11:31 . 2008-05-04 21:48 206 --a------ C:\WINDOWS\system\CmiCnfg.ini
2008-04-30 11:31 . 2008-04-30 18:43 92 --a------ C:\WINDOWS\CMISETUP.INI
2008-04-30 11:31 . 2008-04-30 18:43 26 --a------ C:\WINDOWS\CMCDPLAY.INI
2008-04-29 15:48 . 2004-02-24 11:08 400,384 --------- C:\WINDOWS\system32\drivers\alcxsens.sys
2008-04-29 15:48 . 2004-04-28 17:19 66,048 --------- C:\WINDOWS\soundb9f.rra
2008-04-29 15:10 . 2008-04-29 15:10 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-04-29 15:10 . 2008-04-29 15:10 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Apple
2008-04-28 18:35 . 2004-08-03 22:58 7,552 --a------ C:\WINDOWS\system32\drivers\MSKSSRV.sys
2008-04-28 18:35 . 2004-08-03 22:58 7,552 --a--c--- C:\WINDOWS\system32\dllcache\mskssrv.sys
2008-04-28 18:35 . 2004-08-03 22:58 5,376 --a------ C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2008-04-28 18:35 . 2004-08-03 22:58 5,376 --a--c--- C:\WINDOWS\system32\dllcache\mspclock.sys
2008-04-28 18:35 . 2004-08-03 22:58 4,992 --a------ C:\WINDOWS\system32\drivers\MSPQM.sys
2008-04-28 18:35 . 2004-08-03 22:58 4,992 --a--c--- C:\WINDOWS\system32\dllcache\mspqm.sys
2008-04-28 18:34 . 2008-04-28 18:34 <DIR> d-------- C:\Program Files\Realtek AC97
2008-04-27 10:15 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-04-27 10:15 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-04-26 19:08 . 2008-05-26 17:36 <DIR> dr-h----- C:\Documents and Settings\user\Onlangs geopend
2008-04-26 19:08 . 2008-05-17 13:58 118 --a------ C:\WINDOWS\system32\MRT.INI
2008-04-26 18:49 . 2008-04-26 18:49 379 --a------ C:\WINDOWS\ODBC.INI
2008-04-26 18:48 . 2003-06-18 17:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2008-04-26 18:45 . 2008-04-26 18:45 <DIR> d-------- C:\Program Files\Microsoft ActiveSync
2008-04-26 18:43 . 2008-04-26 18:43 <DIR> d-------- C:\Program Files\Microsoft.NET
2008-04-26 18:38 . 2008-04-26 18:38 <DIR> dr-h----- C:\MSOCache
2008-04-26 18:29 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-04-26 14:48 . 2008-05-18 22:31 <DIR> d-------- C:\Documents and Settings\user\Contacts
2008-04-26 14:43 . 2008-04-26 14:46 <DIR> d-------- C:\Program Files\Windows Live
2008-04-26 14:43 . 2008-04-26 14:46 <DIR> d--hsc--- C:\Program Files\Common Files\WindowsLiveInstaller
2008-04-26 14:42 . 2008-04-26 14:42 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-06 17:01 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-04-29 13:11 --------- d-----w C:\Program Files\QuickTime
2008-04-28 16:38 --------- d-----w C:\Program Files\Google
2008-04-25 18:11 23,600 ----a-w C:\WINDOWS\system32\drivers\TVICHW32.SYS
2008-04-22 15:55 --------- d-----w C:\Program Files\Common Files\Adobe
2008-04-22 14:58 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-22 14:58 --------- d-----w C:\Program Files\Realtek Sound Manager
2008-04-22 14:58 --------- d-----w C:\Program Files\AvRack
2008-04-22 14:39 --------- d-----w C:\Program Files\MSBuild
2008-04-22 14:33 --------- d-----w C:\Program Files\Reference Assemblies
2008-04-22 14:33 --------- d-----w C:\Program Files\MSXML 6.0
2008-04-22 14:10 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-04-02 16:30 --------- d-----w C:\Program Files\Common Files\Download Manager
2008-04-02 06:37 164 ----a-w C:\install.dat
2008-04-01 20:20 --------- d-----w C:\Program Files\ESET
2008-03-24 19:51 42,713 ---h--w C:\WINDOWS\eksplorasi.exe
2006-08-25 18:58 788,992 ----a-w C:\Program Files\1043.MST
2006-08-25 18:58 5,118 ----a-w C:\Program Files\0x0413.ini
2006-08-25 18:58 33,976,320 ----a-w C:\Program Files\iPod for Windows 2006-03-23.msi
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:03 15360]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
"Tok-Cirrhatus"="C:\Documents and Settings\user\Local Settings\Application Data\smss.exe" [2008-03-24 21:51 42713]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"SoundMan"="SOUNDMAN.EXE" [2005-05-17 12:48 77824 C:\WINDOWS\SOUNDMAN.EXE]
"Cmaudio"="cmicnfg.cpl" []
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 01:03 110592 C:\WINDOWS\system32\bthprops.cpl]
"Bron-Spizaetus"="C:\WINDOWS\ShellNew\sempalong.exe" [2008-03-24 21:51 42713]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:03 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="regsvr32 /s /n /i:u shell32" []
C:\Documents and Settings\NL\Start Menu\Programs\Startup\
Empty.pif [2008-03-24 21:51:15 42713]
C:\Documents and Settings\user\Menu Start\Programma's\Opstarten\
Empty.pif [2008-03-24 21:51:15 42713]
C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\
BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2004-10-01 15:12:18 565309]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 1 (0x1)
"DisableCMD"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoFolderOptions"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Shell"="Explorer.exe \"C:\\WINDOWS\\eksplorasi.exe\""
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

.
Inhoud van de 'Gedeelde Taken' map
"2008-05-03 20:35:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-26 17:50:23
Windows 5.1.2600 Service Pack 2 NTFS
scannen van verborgen processen ...
scannen van verborgen autostart items ...
scannen van verborgen bestanden ...
Scan succesvol afgerond
verborgen bestanden: 0
**************************************************************************
.
--------------------- DLLs Geladen Onder Lopende Processen ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Qoobox\Quarantine\C\Documents and Settings\user\Local Settings\Application Data\winlogon.exe.virww_ac3f9c03.Manifest
.
**************************************************************************
.
Voltooingstijd: 2008-05-26 17:56:22 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-26 15:56:19
Pre-Run: 16,389,287,936 bytes beschikbaar
Post-Run: 16,557,977,600 bytes beschikbaar
203 --- E O F --- 2008-05-17 11:58:51

bedankt

**Xeno** · 26 mei 2008, 22:48

Hoi Pegpeg,

Dit is een nieuwe besmetting, en moeten nu even roeien met de riemen die we hebben.

1. Open Kladblok, kopiëer en plak het volgende (vetgedrukte, blauwe tekst) in een leeg venster:

File::
C:\\WINDOWS\\eksplorasi.exe
C:\WINDOWS\ShellNew\sempalong.exe

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Shell"=-

Sla dit op op je Bureaublad als CFScript.txt
Sleep CFScript.txt in ComboFix.exe zoals getoond in onderstaand voorbeeld :

Dit zal ComboFix doen herstarten.
Start opnieuw op als daarom gevraagd wordt,
en post de inhoud van de Combofix.txt in je volgende antwoord samen met een nieuw HijackThislogje.

Succes,
Xeno :)

**pegpeg** · 27 mei 2008, 17:30

hoi xeno!!

heb gedaan wat je gevraagd hebt maar het lukt niet goed, heb opgemerkt dat ik altijd eerst antimalware moet doen alvorens ik 1 van je stappen kan doen zoals bv bij combofix of HJT! en heb altijd 9infecties altijd dezelfde :s nu heb ik eerst malware laten lopen en da zo het log bestandje gesleept in de venster . maar eens hij terug opstart en ik dan een HJT log wil doen valt alles terug uit!!! en hij kan neit alle betanden wissen pfff

bedankt alvast

Mvg

hier het malware bestand

Malwarebytes' Anti-Malware 1.12
Database versie: 789
Scan type: Snelle Scan
Objecten gescand: 39762
Verstreken tijd: 9 minute(s), 5 second(s)
Geheugenprocessen geïnfecteerd: 3
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 1
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 5
Geheugenprocessen geïnfecteerd:
C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Failed to unload process.
C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registersleutels geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registerwaarden geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Bestanden geïnfecteerd:
C:\Documents and Settings\user\Local Settings\Application Data\csrss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.
C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Local Settings\Application Data\smss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Virus???

LinkBack

Discussietools

Soortgelijke discussies

[OPGELOST] msn virus ?

Virus (2)

[OPGELOST] msn virus

[OPGELOST] Msn virus: Virus:"Je foto's worden gepubliceerd op deze site"

[OPGELOST] virus

Labels voor deze discussie

Regels voor berichten

Virus???

LinkBack

Discussietools

Soortgelijke discussies

[OPGELOST] msn virus ?

Virus (2)

[OPGELOST] msn virus

[OPGELOST] Msn virus: Virus:&quot;Je foto's worden gepubliceerd op deze site&quot;

[OPGELOST] virus

Labels voor deze discussie

Regels voor berichten

[OPGELOST] Msn virus: Virus:"Je foto's worden gepubliceerd op deze site"