Trojan BACKDOOR WIN32 CYBOT.B

[stijn depauw]

Ik heb vandaag te maken met een vrij nieuw trojanvirus CYBOT.B

Na wat googlen schijnt Malwarebytes Anti-Malware soelaas te bieden. Dus ik haal die freeware binnen en scan mijn systeem (Vista). Na de scan verwijder ik de geïnfecteerde files. Ik voeg hieronder het logboek toe van deze actie. De virus is nu onder controle...maar euh... mijn internet explorer werkt niet meer. Emailen lukt nog wel.

Zou ik een systeemherstel uitvoeren ? Heb nog nooit een systeem herstelpunt vastgelegd en heb ook nooit een backup gemaakt (slim !). De virus was sinds vandaag 23/01 actief. Wat best te doen nu ?

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

Databaseversie: 5577

Windows 6.0.6001 Service Pack 1

Internet Explorer 7.0.6001.18000

23/01/2011 18:23:25

mbam-log-2011-01-23 (18-23-25).txt

Scantype: Snelle scan

Objecten gescand: 140565

Verstreken tijd: 3 minuut/minuten, 5 seconde(n)

Geheugenprocessen geïnfecteerd: 2

Geheugenmodulen geïnfecteerd: 0

Registersleutels geïnfecteerd: 0

Registerwaarden geïnfecteerd: 3

Registerdata geïnfecteerd: 1

Mappen geïnfecteerd: 0

Bestanden geïnfecteerd: 5

Geheugenprocessen geïnfecteerd:

c:\Users\stanny & ponnie\AppData\Roaming\microsoft\conhost.exe (Trojan.Downloader) -> 2328 -> Unloaded process successfully.

c:\Users\stanny & ponnie\AppData\Roaming\dwm.exe (Trojan.Downloader) -> 5748 -> Unloaded process successfully.

Geheugenmodulen geïnfecteerd:

(Geen kwaadaardige objecten gedetecteerd)

Registersleutels geïnfecteerd:

(Geen kwaadaardige objecten gedetecteerd)

Registerwaarden geïnfecteerd:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Downloader) -> Value: conhost -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Delete on reboot.

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> Quarantined and deleted successfully.

Registerdata geïnfecteerd:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Downloader) -> Bad: (C:\Users\STANNY~1\AppData\Local\Temp\csrss.exe) Good: () -> Quarantined and deleted successfully.

Mappen geïnfecteerd:

(Geen kwaadaardige objecten gedetecteerd)

Bestanden geïnfecteerd:

c:\Users\stanny & ponnie\AppData\Roaming\microsoft\conhost.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\Users\Stanny & Ponnie\AppData\Local\Temp\csrss.exe (Trojan.Downloader) -> Delete on reboot.

c:\Users\stanny & ponnie\AppData\Roaming\dwm.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\Users\stanny & ponnie\AppData\Local\Temp\ms0cfg32.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\Users\stanny & ponnie\local settings\temporary internet files\Content.IE5\GQCFECQA\tnjlpwg3[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.

[Asus]

Download HijackThis

Na het plaatsen van je logje wordt dit door een expert nagekeken en begeleidt hij jou door het ganse proces.

Klik bij "HijackThis Downloads" op "Installer".

Bestand HijackThis.msi opslaan. Daarna kiezen voor "uitvoeren".

Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst.

Klik op de snelkoppeling om HijackThis te starten

Klik ofwel op "Do a systemscan and save a logfile", ofwel eerst op "Scan" en dan op "Savelog".

Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets.

Krijg je een melding ""For some reason your system denied writing to the Host file ....", klik dan gewoon door op de OK-toets.

Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis.

[Asus]

Hallo stijn depauw,

heb je ondertussen al een logje kunnen maken of zijn de problemen opgelost?...

Grtjs.