Spring naar inhoud

Guest's Foto
Welkom,
Guest
Wenst u zich te registreren?


- - - - -

Virus???


  • Dit onderwerp is gesloten Dit onderwerp is gesloten
34 reacties op dit onderwerp

#1 Guest_pegpeg_*

Guest_pegpeg_*
  • Gasten

Geplaatst 17 mei 2008 - 21:51


hoi!!!

ik heb net iets raar meegmaakt op mijn pc.. eerst en vooral pijn pc heb ik over 3weken binnen gebracht omdat ik prob had met virsussen maar toen ik hem terug kreeg vond ik dat hij nog niet 100% in orde was hij was nog veel te traag. en plots vandaag zet ik mijn pc op en de pc start dus gewoon op maar als hij opgestart is krijg ik niets op mijn bureaublad geen kolom onderaan of niets enkel het achtergrond.. iemand gekend met dit prob??? of imeand die me kan helpen??? alvast bedankt voor jullie hulp
Mvg

#2 Xeno

Xeno

    Lid

  • Lid
  • PipPipPip
  • 140 berichten

Geplaatst 17 mei 2008 - 22:51

Hoi Pegpeg,

Ja die PC winkels hé, we kunnen eens kijken.

Download deze versie van HijackThis en installeer het.

Klik op "Do a systemscan and save a logfile". en hang dit logje aan je volgende bericht.

Succes,
Xeno :)
Carpe Diem ;)

#3 Guest_pegpeg_*

Guest_pegpeg_*
  • Gasten

Geplaatst 19 mei 2008 - 16:18

[hoi xeno!!

alvast bedankt voor u reactie!! ik heb gedaan wat je me gevraagd heb maar als ik de log file nu open om te kopieren en zo te plakken sluit mij pc alle toepassingen (shutdown) :s ik kan het document wel doorsturen maar eens ik het open valt mij pc uit!! gr

#4 kape

kape

    Website Beheerder

  • Website Beheerder
  • 40948 berichten

Geplaatst 22 mei 2008 - 08:03

Probeer eens of je de logfile ongeopend als bijlage aan een bericht kan hangen. Dan kunnen we zo ook wel meekijken.

#5 Guest_pegpeg_*

Guest_pegpeg_*
  • Gasten

Geplaatst 22 mei 2008 - 16:37

hoi xeno!!

ok dan voeg ik hierbij de log file dan

alvast bedankt

Mvg[ATTACH]788[/ATTACH]

Bijgevoegde Bestanden



#6 kape

kape

    Website Beheerder

  • Website Beheerder
  • 40948 berichten

Geplaatst 22 mei 2008 - 16:59

Wil je - voor alle zekerheid - nog eens in dat log van HJT op je PC kijken. Zijn al die 01-lijntjes wel degelijk identiek aan wat in je log in het bericht staat, want dat is HTML-code en geen normale HJT-taal ?

Als dit klopt, mag je zeker al die 01-lijntjes al fixen in je HJT-log én een nieuw HJT-logje maken (en aan een nieuw bericht hangen).

#7 Xeno

Xeno

    Lid

  • Lid
  • PipPipPip
  • 140 berichten

Geplaatst 22 mei 2008 - 20:14



Hoi Pegpeg,

Pech onderweg, en Kape gaf al een goeie vingerwijzing, maar bij deze is het beter van eens totaal te zijn.

1. Start HijackThis en kies voor Do a system scan only en plaats alléén een vinkje voor de volgende regels:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Sluit alle open vensters(behalve HijackThis), klik daarna op Fix checked en bevestig het door in het volgende scherm op Ja te klikken.


2. Download HostsXpert 4.0
  • Unzip het programma naar je Bureaublad.
    Start het en klik op "Restore microsoft host file".
    Klik op "OK" en sluit het programma af.
3. Hierna kan je normaal een HJT log maken en posten, lukt het niet, dan gaan we een registerfix doen om het te doen lukken.

Succes,
Xeno :)
Carpe Diem ;)

#8 Guest_pegpeg_*

Guest_pegpeg_*
  • Gasten

Geplaatst 23 mei 2008 - 15:38

Hoi xeno en kape!!

het prob nu is als ik HJT open sluit mijn pc automatische alle vensters en shuts down :s zoals ik eerder had vermeld. en de logfile die ik heb gespost is de enige die ik heb.. is het dan zo een lastige virus???

albast bedankt voor jullie hulp

#9 Xeno

Xeno

    Lid

  • Lid
  • PipPipPip
  • 140 berichten

Geplaatst 23 mei 2008 - 16:43

Hoi Pegpeg,

Eens zien of je PC wil luisteren.

Download Dial-a-fix-2006 en pak beide bestanden in hun eigen map uit naar je Bureaublad.

In de map Dial-a-fix-v0.60.0.24, dubbelklik op Dial-a-fix.exe
In het venster dat opengaat, klik onderaan op het icoontje met het dubbele groene vinkje (check all).
Klik daarna op "GO" en laat de tool alle instellingen terugzetten.
Sluit dit venster na afloop door onderaan op "Exit" te klikken.

Meld of dat verbetering geeft.

Groetjes,
Xeno :)
Carpe Diem ;)

#10 Guest_pegpeg_*

Guest_pegpeg_*
  • Gasten

Geplaatst 23 mei 2008 - 17:42

hoi xeno!!

heb het juist gedaan maar geen verandering:viking:

Mvg

#11 Xeno

Xeno

    Lid

  • Lid
  • PipPipPip
  • 140 berichten

Geplaatst 24 mei 2008 - 23:22

Hoi Pegpeg,

Heb je dat probleem ook bij andere programma's, of enkel bij HijackThis?

Wil je nogmaals Dial-a-fix starten en volgende doen:

1. Klik op Policies, klik op Scan.
Worden er restricties gevonden, dan klik je op Remove.

2. Plaats een vinkje bij "Fix Windows Installer"
Alles onder Fix windows installer moet nu aangevinkt zijn, behalve Installer windows 3.1.
Klik op GO.

3. Bij registration Center plaats je een vinkje bij Explorer/IE/OE/shell/WMP
Volg de instructies op het scherm.

Sluit hierna de tool. Kun je nu HijackThis runnen?

Succes,
Xeno :)
Carpe Diem ;)

#12 Guest_pegpeg_*

Guest_pegpeg_*
  • Gasten

Geplaatst 25 mei 2008 - 11:10

hoi xeno!

heb het gedaan maar het lukt nog steeds niets. dit gebeurt niet bij alle programma's het is me al opgevallen dat hij steeds uitvalt wanneer ik een actie onderneem om de virus te verwijderen! maar krijg steeds een popup op IE dit

BRONTOK.A[10]

-- Hentikan kebobrokan di negeri ini --

1. Penjarakan Koruptor, Penyelundup, Tukang Suap, & Bandar NARKOBA
( Send to "NUSAKAMBANGAN")

2. Stop Free Sex, Aborsi, & Prostitusi
( Go To HELL )

3. Stop pencemaran lingkungan, pembakaran hutan & perburuan liar.

4. SAY NO TO DRUGS !!!


-- KIAMAT SUDAH DEKAT --

Terinspirasi oleh:
Elang Brontok (Spizaetus Cirrhatus) yang hampir punah
<H2>[ By: HVM31 ]
-- JowoBot #VM Community --
</H2>


!!! Akan Kubuat Mereka (VM lokal yg cengeng & bodoh) Terkapar !!!


heeft dit niets met de virus te maken???

alvast bedankt

#13 Xeno

Xeno

    Lid

  • Lid
  • PipPipPip
  • 140 berichten

Geplaatst 25 mei 2008 - 11:47

Hoi Pegpeg,

Ach nu zien we al iets.

Download Malwarebytes' Anti-Malware via hier of hier.


Dubbelklik mbam-setup.exe om het programma te installeren.
  • Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware' en Start Malwarebytes' Anti-Malware' Klik daarna op Voltooien.
  • Kies in het hoofdscherm voor de tab Scanner en selecteer het keuzerondje Snelle Scan.
  • Druk op de knop Scan.
  • Het scannen kan een tijdje duren, dus wees geduldig.
  • Wanneer de scan voltooid is, klik OK, daarna Bekijk Resultaten om de resultaten te zien.
  • Zorg ervoor dat daar alles aangevinkt is daarna klik: Verwijder Selectie.
  • Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie extra nota onderaan)
  • De log wordt automatisch bewaard door MBAM die je kan zien door de 'Logs tab' te klikken in MBAM.
  • Kopieer en plak de resultaten van de log in je volgend antwoord, samen met een nieuw HijackThislog.
Extra Nota:
Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de Computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.

Succes,
Xeno :)
Carpe Diem ;)

#14 Guest_pegpeg_*

Guest_pegpeg_*
  • Gasten

Geplaatst 25 mei 2008 - 12:59

hoi xeno!

heb het juist gedaan en er waren wat virussen.. na het log bestand heeft hij niet gevraagd om terug op te starten ..

hier is het log bestand
Malwarebytes' Anti-Malware 1.12
Database versie: 785
Scan type: Snelle Scan
Objecten gescand: 93353
Verstreken tijd: 59 minute(s), 15 second(s)
Geheugenprocessen geïnfecteerd: 3
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 1
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 5
Geheugenprocessen geïnfecteerd:
C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registersleutels geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registerwaarden geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Bestanden geïnfecteerd:
C:\Documents and Settings\user\Local Settings\Application Data\csrss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Local Settings\Application Data\smss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.


bedankt!

#15 Guest_pegpeg_*

Guest_pegpeg_*
  • Gasten

Geplaatst 25 mei 2008 - 13:05

[ATTACH]795[/ATTACH]

en dit is de HJT log file heb het bewaard in kladblok want kon het anders niet posten

Mvg

Bijgevoegde Bestanden

  • Bijgevoegd Bestand  hjt.txt   13,18KB   110 downloads


#16 Xeno

Xeno

    Lid

  • Lid
  • PipPipPip
  • 140 berichten

Geplaatst 25 mei 2008 - 14:50

Hoi Pegpeg,

We zien terug iets meer, en is een beetje werk aan.

1. Download ATF cleaner (mirror)(gemaakt door Atribune)

Belangrijk: Sluit al je browservensters(IE en/of Firefox en/of Opera) om de tool goed te kunnen laten werken.

  • Dubbelklik op ATF cleaner om het programma te starten.
    Op het tabblad Main, plaats je een vinkje bij Select All.
    Klik op de knop Empty Selected.

    Het volgende doen als je ook FireFox als browser hebt:

    Klik op tabblad Firefox, plaats een vinkje bij Select All.
    Wil je de door Firefox opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op No.
    (dit haalt het vinkje weer weg bij Firefox saved passwords)
    Klik op de knop Empty Selected.

    Het volgende doen als je ook Opera als browser hebt:

    Klik op tabblad Opera, plaats een vinkje bij Select All.
    Wil je de door Opera opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op No.
    Klik op de knop Empty Selected.

    Ga naar het tabblad Main en klik op de knop Exit om het programma af te sluiten.
2. Start HijackThis en kies voor Do a system scan only en plaats alléén een vinkje voor de volgende regels:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\eksplorasi.exe
O4 - HKLM\..\Run: [Bron-Spizaetus] C:\WINDOWS\ShellNew\sempalong.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Alle 01 lijnen

Sluit alle open vensters(behalve HijackThis), klik daarna op Fix checked en bevestig het door in het volgende scherm op Ja te klikken.

3. Download GV_Killer.exe en klik op uitvoeren, volg verder de aanwijzingen.
Op het einde laat je het vinkje staan bij Launch GV_Killer, en OK, dan krijg je een blanco input.txt kladblokveld.

Gebruik Kopiëren en Plakken om onderstaande blauwe lijnen in het venster input.txt te zetten.

c:\windows\eksplorasi.exe
C:\windows\prefetch\c:\windows\eksplorasi*.pf
c:\windows\shellnew\sempalong.exe
C:\windows\prefetch\c:\windows\shellnew\sempalong*.pf

Sluit het venster input.txt en druk op de toets Start Killing.
GV_Killer maakt zijn werk af en klik dan op Exit.
Mogelijk zal GV_Killer je PC herstarten, sta dit toe en onderbreek een eventuele actie niet.
Er opent na afloop een rapportje GV_Killer_xx.txt.
Post het bestand GV_Killer_xx.txt in je volgende antwoord.
De letters xx zijn een volgnummer, post dan ook het bestand met het hoogste nummer.

4. Download: RVAXO.exe

  • Sla het bestand op je bureaublad op, dubbelklik het en laat het uitpakken naar je bureaublad.
  • Open nu de map RVAXO op je bureaublad en dubbeklik RunMe.cmd
    Er zal een cmd-schermpje openen, daarin zullen snel enkele regels over niet gevonden bestanden voorbijkomen, dit is normaal.
  • Mogelijk start er ook een uninstaller van een rogue scanner op, sluit deze niet af maar volg eventuele aanwijzingen en laat deze gewoon zijn werk doen.
  • Daarna zal je PC herstarten, na de herstart opent het cmd-venster van RVAXO opnieuw.
    Laat deze lopen en wacht tot er een logfile opent: C:\RVAXO-results.log
  • Herstart je computer niet vanzelf, of start de tool niet na de reboot, doe dit dan handmatig.
  • Post de inhoud van de logfile in je volgende bericht tesamen met een nieuw logje van HijackThis.
5. Download Combofix naar je Bureaublad.

OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw. Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen!

  • Dubbelklik op Combofix.exe

    Volg de instructies, aanvaard de disclaimer door 1 (continue) te typen, gevolgd door ENTER.
    Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen.
Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen.
Plaats deze log in je volgende post samen met een nieuw HijackThis log.
Succes,
Xeno :)
Carpe Diem ;)

#17 Guest_pegpeg_*

Guest_pegpeg_*
  • Gasten

Geplaatst 26 mei 2008 - 15:35

hoi xeno!!

alles ging goed tot stap 4 nadat ik rvaxo bestand had en opnieuw HJT opende sloot mijn pc terug alles af. heb dan opnieuw opgestart dan eerst malwarebytes laten lopen en zo dan de nieuws HJT log bestand kunnen posten weet niet of dit een prob is..

alvast bedankt voor je hulp
Mvg

dit is mijn gv killer log bestand


Logfile GV_Killer_01.txt v7.0.7 - Copyright © GV_Soft Guido Vaesen
Rapport datum: 26/05/2008 16:33:09 log van user , Beheerder van deze computer
Platform: Windows XP Prof SP2 NLD Normale modus
BEGIN Geplande taken-----------------------------------------------------------------
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
EINDE Geplande taken-----------------------------------------------------------------

Lijst Notify keys--------------------------------------------------------------------
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify
WgaLogon WgaLogon.dll
Settings
Einde Notify keys--------------------------------------------------------------------
Verklaring Errorcodes----------------------------------------------------------------
code 00 : Bestand is verwijderd.
code 53 : Bestand of map werd niet gevonden op uw PC.
code 70 : Bestand was in gebruik.
code 75 : Services zijn nog geladen of bestand in gebruik.
code M0 : Map is verwijderd.
code ML : Map is volledig leeg gemaakt.
code MN : Map werd niet gevonden op uw PC, is niet leeg gemaakt.
code MV : Map werd niet gevonden op uw PC, is niet verwijderd.
code K0 : Register key is verwijderd.
Einde Errorcodes--------------------------------------------------------------------
BEGIN Inhoud van Input.txt-----------------------------------------------------------
c:\windows\eksplorasi.exe
C:\windows\prefetch\c:\windows\eksplorasi*.pf
c:\windows\shellnew\sempalong.exe
C:\windows\prefetch\c:\windows\shellnew\sempalong*.pf
EINDE Inhoud van Input.txt-----------------------------------------------------------
00 c:\windows\eksplorasi.exe
0 c:\windows\eksplorasi*.pf
00 c:\windows\shellnew\sempalong.exe
0 c:\windows\shellnew\sempalong*.pf
;0955679-640-0607177-23676=E1RWL2PE33
;EINDE GV_Killer ---------------------------------------------------------------------



logfile van rvaxo


--RVAXO.exe Updated: 2008-05-26---first run---
Uninstallers:

Files found:
C:\WINDOWS\wininit.ini

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------


malware bestand

Malwarebytes' Anti-Malware 1.12
Database versie: 785
Scan type: Snelle Scan
Objecten gescand: 86067
Verstreken tijd: 41 minute(s), 10 second(s)
Geheugenprocessen geïnfecteerd: 5
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 1
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 5
Geheugenprocessen geïnfecteerd:
C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registersleutels geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registerwaarden geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Bestanden geïnfecteerd:
C:\Documents and Settings\user\Local Settings\Application Data\csrss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Local Settings\Application Data\smss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

#18 Guest_pegpeg_*

Guest_pegpeg_*
  • Gasten

Geplaatst 26 mei 2008 - 16:37

[ATTACH]796[/ATTACH]

en dit is de HJT log

combo fix

ComboFix 08-05-25.5 - user 2008-05-26 17:39:40.1 - NTFSx86
Gestart vanuit: C:\Documents and Settings\user\Bureaublad\ComboFix.exe
* Nieuw herstelpunt werd aangemaakt
WAARSCHUWING - DE RECOVERY CONSOLE IS NIET OP DIT SYSTEEM GEINSTALLEERD !!
.
(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\NL\Local Settings\Temporary Internet Files\search.html
C:\Documents and Settings\NL\new.txt
C:\Documents and Settings\user\Local Settings\Application Data\inetinfo.exe
C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe
C:\Documents and Settings\user\Local Settings\Application Data\services.exe
C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe
C:\smp.bat
.
(((((((((((((((((((( Bestanden Gemaakt van 2008-04-26 to 2008-05-26 ))))))))))))))))))))))))))))))
.
2008-05-26 17:48 . 2008-05-26 17:48 268 --ah----- C:\sqmdata01.sqm
2008-05-26 17:48 . 2008-05-26 17:48 244 --ah----- C:\sqmnoopt01.sqm
2008-05-26 16:41 . 2008-05-26 16:41 268 --ah----- C:\sqmdata00.sqm
2008-05-26 16:41 . 2008-05-26 16:41 244 --ah----- C:\sqmnoopt00.sqm
2008-05-26 16:38 . 2008-05-26 16:42 <DIR> d-------- C:\RVAXO
2008-05-26 16:36 . 2008-05-26 14:14 827,419 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-05-26 16:36 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-05-26 16:31 . 2008-05-26 16:31 <DIR> d-------- C:\Program Files\GV_Killer
2008-05-26 16:31 . 2004-03-08 23:00 152,848 --a------ C:\WINDOWS\system32\COMDLG32.OCX
2008-05-26 16:31 . 2001-09-07 11:00 59,904 --a------ C:\WINDOWS\system32\wbemdisp.tlb
2008-05-23 18:09 . 2008-05-23 18:12 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-05-19 16:37 . 2008-05-19 16:37 <DIR> d-------- C:\Program Files\Trend Micro
2008-05-17 18:33 . 2008-04-22 16:10 <DIR> d--h----- C:\Documents and Settings\Administrator\Sjablonen
2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Administrator\Onlangs geopend
2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Administrator\Netwerkprinteromgeving
2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Administrator\Mijn documenten
2008-05-17 18:33 . 2008-04-22 17:56 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Start
2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Administrator\Favorieten
2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Administrator\Bureaublad
2008-05-17 18:33 . 2008-05-17 18:33 <DIR> d-------- C:\Documents and Settings\Administrator
2008-05-17 18:28 . 2008-05-17 18:31 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-05-17 18:20 . 2008-04-22 16:10 <DIR> d--h----- C:\Documents and Settings\Farid\Sjablonen
2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Farid\Onlangs geopend
2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Farid\Netwerkprinteromgeving
2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Farid\Mijn documenten
2008-05-17 18:20 . 2008-04-22 17:56 <DIR> dr------- C:\Documents and Settings\Farid\Menu Start
2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Farid\Favorieten
2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Farid\Bureaublad
2008-05-17 18:20 . 2008-05-17 18:20 <DIR> d-------- C:\Documents and Settings\Farid
2008-05-14 20:27 . 2008-05-14 20:27 <DIR> d-------- C:\Documents and Settings\user\Bluetooth Software
2008-05-08 14:15 . 2008-05-17 23:30 <DIR> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-08 14:15 . 2008-05-08 14:15 <DIR> d-------- C:\Documents and Settings\user\Application Data\Malwarebytes
2008-05-08 14:15 . 2008-05-08 14:15 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-08 14:15 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-08 14:15 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-07 20:37 . 2008-05-07 20:37 <DIR> d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2
2008-05-06 19:01 . 2008-05-06 19:05 <DIR> d-------- C:\Program Files\Symantec
2008-05-06 19:01 . 2008-05-06 19:01 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Symantec
2008-05-01 16:33 . 2008-05-23 17:10 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-01 16:33 . 2008-05-01 16:33 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-30 18:43 . 2008-04-30 18:43 <DIR> d-------- C:\Program Files\C-Media 3D Audio
2008-04-30 18:43 . 2005-12-15 13:46 2,834,432 --a------ C:\WINDOWS\system\cmicnfg.cpl
2008-04-30 18:43 . 2004-02-17 10:51 1,458,176 --a------ C:\WINDOWS\system\SmWizard.exe
2008-04-30 18:43 . 2008-04-30 18:40 1,454,080 --a------ C:\WINDOWS\system\SET6F.tmp
2008-04-30 18:43 . 2005-12-15 13:57 1,368,000 --a------ C:\WINDOWS\system32\drivers\cmuda.sys
2008-04-30 18:43 . 2002-04-29 15:04 917,504 --a------ C:\WINDOWS\system\cmids3d.dll
2008-04-30 18:43 . 2004-04-23 15:02 233,472 --a------ C:\WINDOWS\system32\cmirmdrv.exe
2008-04-30 18:43 . 2005-12-15 18:48 172,032 --a------ C:\WINDOWS\system32\cmuda.dll
2008-04-30 18:43 . 2003-04-24 13:29 32,768 --a------ C:\WINDOWS\system32\udaprop.dll
2008-04-30 18:43 . 2003-02-18 18:26 28,672 --a------ C:\WINDOWS\system32\cmirmdrv.dll
2008-04-30 18:04 . 2003-11-04 15:10 69,632 --a------ C:\WINDOWS\system32\lfgif13n.dll
2008-04-30 18:03 . 2004-05-14 16:53 462,848 --a------ C:\WINDOWS\system32\ltkrn13n.dll
2008-04-30 18:03 . 2004-05-14 16:53 450,560 --a------ C:\WINDOWS\system32\ltimg13n.dll
2008-04-30 18:03 . 2004-05-14 16:53 401,408 --a------ C:\WINDOWS\system32\lfcmp13n.dll
2008-04-30 18:03 . 2004-05-14 16:53 299,008 --a------ C:\WINDOWS\system32\ltdis13n.dll
2008-04-30 18:03 . 2004-01-12 02:09 206,336 --a------ C:\WINDOWS\system32\ltefx13n.dll
2008-04-30 18:03 . 2004-05-14 16:53 163,840 --a------ C:\WINDOWS\system32\ltfil13n.dll
2008-04-30 18:03 . 2004-05-14 16:53 57,344 --a------ C:\WINDOWS\system32\lfbmp13n.dll
2008-04-30 11:31 . 1998-10-09 14:36 327,168 --a------ C:\WINDOWS\IsUn0413.exe
2008-04-30 11:31 . 2003-08-05 14:23 266,240 --a------ C:\WINDOWS\CMIUninstall.exe
2008-04-30 11:31 . 2003-07-22 11:15 225,280 --a------ C:\WINDOWS\CmiRmRedundDir.exe
2008-04-30 11:31 . 2002-10-18 15:56 28,672 --a------ C:\WINDOWS\CMIRmDriver.dll
2008-04-30 11:31 . 2008-05-04 21:48 206 --a------ C:\WINDOWS\system\CmiCnfg.ini
2008-04-30 11:31 . 2008-04-30 18:43 92 --a------ C:\WINDOWS\CMISETUP.INI
2008-04-30 11:31 . 2008-04-30 18:43 26 --a------ C:\WINDOWS\CMCDPLAY.INI
2008-04-29 15:48 . 2004-02-24 11:08 400,384 --------- C:\WINDOWS\system32\drivers\alcxsens.sys
2008-04-29 15:48 . 2004-04-28 17:19 66,048 --------- C:\WINDOWS\soundb9f.rra
2008-04-29 15:10 . 2008-04-29 15:10 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-04-29 15:10 . 2008-04-29 15:10 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Apple
2008-04-28 18:35 . 2004-08-03 22:58 7,552 --a------ C:\WINDOWS\system32\drivers\MSKSSRV.sys
2008-04-28 18:35 . 2004-08-03 22:58 7,552 --a--c--- C:\WINDOWS\system32\dllcache\mskssrv.sys
2008-04-28 18:35 . 2004-08-03 22:58 5,376 --a------ C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2008-04-28 18:35 . 2004-08-03 22:58 5,376 --a--c--- C:\WINDOWS\system32\dllcache\mspclock.sys
2008-04-28 18:35 . 2004-08-03 22:58 4,992 --a------ C:\WINDOWS\system32\drivers\MSPQM.sys
2008-04-28 18:35 . 2004-08-03 22:58 4,992 --a--c--- C:\WINDOWS\system32\dllcache\mspqm.sys
2008-04-28 18:34 . 2008-04-28 18:34 <DIR> d-------- C:\Program Files\Realtek AC97
2008-04-27 10:15 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-04-27 10:15 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-04-26 19:08 . 2008-05-26 17:36 <DIR> dr-h----- C:\Documents and Settings\user\Onlangs geopend
2008-04-26 19:08 . 2008-05-17 13:58 118 --a------ C:\WINDOWS\system32\MRT.INI
2008-04-26 18:49 . 2008-04-26 18:49 379 --a------ C:\WINDOWS\ODBC.INI
2008-04-26 18:48 . 2003-06-18 17:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2008-04-26 18:45 . 2008-04-26 18:45 <DIR> d-------- C:\Program Files\Microsoft ActiveSync
2008-04-26 18:43 . 2008-04-26 18:43 <DIR> d-------- C:\Program Files\Microsoft.NET
2008-04-26 18:38 . 2008-04-26 18:38 <DIR> dr-h----- C:\MSOCache
2008-04-26 18:29 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-04-26 14:48 . 2008-05-18 22:31 <DIR> d-------- C:\Documents and Settings\user\Contacts
2008-04-26 14:43 . 2008-04-26 14:46 <DIR> d-------- C:\Program Files\Windows Live
2008-04-26 14:43 . 2008-04-26 14:46 <DIR> d--hsc--- C:\Program Files\Common Files\WindowsLiveInstaller
2008-04-26 14:42 . 2008-04-26 14:42 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-06 17:01 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-04-29 13:11 --------- d-----w C:\Program Files\QuickTime
2008-04-28 16:38 --------- d-----w C:\Program Files\Google
2008-04-25 18:11 23,600 ----a-w C:\WINDOWS\system32\drivers\TVICHW32.SYS
2008-04-22 15:55 --------- d-----w C:\Program Files\Common Files\Adobe
2008-04-22 14:58 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-22 14:58 --------- d-----w C:\Program Files\Realtek Sound Manager
2008-04-22 14:58 --------- d-----w C:\Program Files\AvRack
2008-04-22 14:39 --------- d-----w C:\Program Files\MSBuild
2008-04-22 14:33 --------- d-----w C:\Program Files\Reference Assemblies
2008-04-22 14:33 --------- d-----w C:\Program Files\MSXML 6.0
2008-04-22 14:10 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-04-02 16:30 --------- d-----w C:\Program Files\Common Files\Download Manager
2008-04-02 06:37 164 ----a-w C:\install.dat
2008-04-01 20:20 --------- d-----w C:\Program Files\ESET
2008-03-24 19:51 42,713 ---h--w C:\WINDOWS\eksplorasi.exe
2006-08-25 18:58 788,992 ----a-w C:\Program Files\1043.MST
2006-08-25 18:58 5,118 ----a-w C:\Program Files\0x0413.ini
2006-08-25 18:58 33,976,320 ----a-w C:\Program Files\iPod for Windows 2006-03-23.msi
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:03 15360]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
"Tok-Cirrhatus"="C:\Documents and Settings\user\Local Settings\Application Data\smss.exe" [2008-03-24 21:51 42713]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"SoundMan"="SOUNDMAN.EXE" [2005-05-17 12:48 77824 C:\WINDOWS\SOUNDMAN.EXE]
"Cmaudio"="cmicnfg.cpl" []
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 01:03 110592 C:\WINDOWS\system32\bthprops.cpl]
"Bron-Spizaetus"="C:\WINDOWS\ShellNew\sempalong.exe" [2008-03-24 21:51 42713]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:03 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="regsvr32 /s /n /i:u shell32" []
C:\Documents and Settings\NL\Start Menu\Programs\Startup\
Empty.pif [2008-03-24 21:51:15 42713]
C:\Documents and Settings\user\Menu Start\Programma's\Opstarten\
Empty.pif [2008-03-24 21:51:15 42713]
C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\
BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2004-10-01 15:12:18 565309]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 1 (0x1)
"DisableCMD"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoFolderOptions"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Shell"="Explorer.exe \"C:\\WINDOWS\\eksplorasi.exe\""
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

.
Inhoud van de 'Gedeelde Taken' map
"2008-05-03 20:35:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-26 17:50:23
Windows 5.1.2600 Service Pack 2 NTFS
scannen van verborgen processen ...
scannen van verborgen autostart items ...
scannen van verborgen bestanden ...
Scan succesvol afgerond
verborgen bestanden: 0
**************************************************************************
.
--------------------- DLLs Geladen Onder Lopende Processen ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Qoobox\Quarantine\C\Documents and Settings\user\Local Settings\Application Data\winlogon.exe.virww_ac3f9c03.Manifest
.
**************************************************************************
.
Voltooingstijd: 2008-05-26 17:56:22 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-26 15:56:19
Pre-Run: 16,389,287,936 bytes beschikbaar
Post-Run: 16,557,977,600 bytes beschikbaar
203 --- E O F --- 2008-05-17 11:58:51



bedankt

Bijgevoegde Bestanden

  • Bijgevoegd Bestand  hjt1.txt   13,24KB   87 downloads


#19 Xeno

Xeno

    Lid

  • Lid
  • PipPipPip
  • 140 berichten

Geplaatst 26 mei 2008 - 21:48

Hoi Pegpeg,

Dit is een nieuwe besmetting, en moeten nu even roeien met de riemen die we hebben.



1. Open Kladblok, kopiëer en plak het volgende (vetgedrukte, blauwe tekst) in een leeg venster:


  • File::
    C:\\WINDOWS\\eksplorasi.exe
    C:\WINDOWS\ShellNew\sempalong.exe

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Tok-Cirrhatus"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Bron-Spizaetus"=-
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "ShowDeskFix"=-
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
    "Shell"=-
Sla dit op op je Bureaublad als CFScript.txt
Sleep CFScript.txt in ComboFix.exe zoals getoond in onderstaand voorbeeld :

Geplaatste Afbeelding

Dit zal ComboFix doen herstarten.
Start opnieuw op als daarom gevraagd wordt,
en post de inhoud van de Combofix.txt in je volgende antwoord samen met een nieuw HijackThislogje.

Succes,
Xeno :)
Carpe Diem ;)

#20 Guest_pegpeg_*

Guest_pegpeg_*
  • Gasten

Geplaatst 27 mei 2008 - 16:30

hoi xeno!!

heb gedaan wat je gevraagd hebt maar het lukt niet goed, heb opgemerkt dat ik altijd eerst antimalware moet doen alvorens ik 1 van je stappen kan doen zoals bv bij combofix of HJT! en heb altijd 9infecties altijd dezelfde :s nu heb ik eerst malware laten lopen en da zo het log bestandje gesleept in de venster . maar eens hij terug opstart en ik dan een HJT log wil doen valt alles terug uit!!! en hij kan neit alle betanden wissen pfff

bedankt alvast

Mvg

hier het malware bestand

Malwarebytes' Anti-Malware 1.12
Database versie: 789
Scan type: Snelle Scan
Objecten gescand: 39762
Verstreken tijd: 9 minute(s), 5 second(s)
Geheugenprocessen geïnfecteerd: 3
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 1
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 5
Geheugenprocessen geïnfecteerd:
C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Failed to unload process.
C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registersleutels geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registerwaarden geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Bestanden geïnfecteerd:
C:\Documents and Settings\user\Local Settings\Application Data\csrss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.
C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Local Settings\Application Data\smss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.




0 gebruiker(s) lezen dit onderwerp

0 leden, 0 gasten, 0 anonieme gebruikers

Over ons

PC Helpforum helpt GRATIS computergebruikers sinds juli 2006. Ons team geeft via het forum professioneel antwoord op uw vragen en probeert uw pc problemen zo snel mogelijk op te lossen. Word lid vandaag, plaats je vraag online en het PC Helpforum-team helpt u graag verder!