Trojan horse agent r.XJ

[mhvsaane]

AVG vindt nog steeds trojan horse agent_r.XJ. Hij draait nog, maar zal zo logje posten.

[mhvsaane]

Hierbij de AVG scan log file:

Scan "De hele computer scannen" is voltooid.

Infecties;"10";"5";"5"Voor scan geselecteerde mappen:;

"De hele computer scannen"

Scan is gestart:;

"donderdag 27 januari 2011, 21:17:49

"Scan voltooid:;"donderdag 27 januari 2011, 21:50:33 (32 min. 43 seconde (n))

"Totaal gescande objecten:;"1041351"

Gebruiker die de scan heeft gestart:;"Saane"

Infecties;"Bestand";"Infectie";"Resultaat";"

C:\Windows\explorer.exe (1700):\memory_00010000";"Trojaans paard Agent_r.XJ";"Object is niet toegankelijk.";"

C:\Windows\explorer.exe (1700)";"Trojaans paard Agent_r.XJ";""

;"C:\Program Files\Internet Explorer\iexplore.exe (5008):\memory_00010000";"Trojaans paard Agent_r.XJ";"Object is niet toegankelijk.";

"C:\Program Files\Internet Explorer\iexplore.exe (5008)";"Trojaans paard Agent_r.XJ";"";"C:\Program Files\Internet Explorer\iexplore.exe (3812):\memory_00010000";"Trojaans paard Agent_r.XJ";"Object is niet toegankelijk.";"C:\Program Files\Internet Explorer\iexplore.exe (3812)";"Trojaans paard Agent_r.XJ";"";"C:\Program Files\Internet Explorer\iexplore.exe (3692):\memory_00010000";"Trojaans paard Agent_r.XJ";"Object is niet toegankelijk.";"C:\Program Files\Internet Explorer\iexplore.exe (3692)";"Trojaans paard Agent_r.XJ";"";"C:\Program Files\Internet Explorer\iexplore.exe (2520):\memory_00010000";"Trojaans paard Agent_r.XJ";"Object is niet toegankelijk.";"C:\Program Files\Internet Explorer\iexplore.exe (2520)";"Trojaans paard Agent_r.XJ";""

27 januari 2011 aangepast door mhvsaane

[kape]

Dan gaan we dieper kijken :

Download ComboFix van één van deze locaties:

Link 1

Link 2

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op

1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen:

Klik hier

2. Het kan voorkomen dat de computer meerdere malen opnieuw gestart moet worden, dit is normaal.

3. Dubbelklik op "Combofix.exe" om de tool te starten.

4. Klik niet in het scherm van Combofix als deze actief is, hierdoor kan de 'tool' vastlopen.

Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion", herstart dan de computer.

5. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

[mhvsaane]

combofix gestart, maar zodra balkje bijna vol is komt laptop met blauw scherm, datadump en herstart de laptop. Ga nu proberen in safe mode en als administrator.

---------- Post toegevoegd om 18:30 ---------- Vorige post was om 18:16 ----------

ook in safe mode + uitvoeren als admin krijg ik blauw scherm en restart de laptop. In gewone modus als admin ook blauw scherm. AVG is uitgeschakeld, zowel resident shield als real time beveiliging. Wat nu?

[kape]

Ga naar de site van de .

• Klik op de knop ESET Online Scanner
  
• Zet een vinkje bij YES, I accept the Terms of Use
  
• Klik op Start
  
• Sta het ActiveX control toe om te installeren.
  
• Klik op "Advanced settings"
  
• Zet een vinkje bij de volgende opties:
  
  • Remove found threats
    
  • Scan archives
    
  • Scan for potentially unwanted applications
    
  • Scan for potentially unsafe applications
    
  • Enable Anti-Stealth technology
    

  [*]Klik op Start

  [*]De computer wordt nu gescand. Dit kan best lang duren, heb dus geduld.

  [*]Je mag het venster sluiten wanneer de scan klaar is.

  [*]Gebruik Kladblok om het logje te openen. Dit logje vind je op de locatie C:\Program Files\EsetOnlineScanner\log.txt

  [*]Kopieer en plak de inhoud van dit logje in je volgende bericht.

[mhvsaane]

ESETSmartInstaller@High as CAB hook log:

OnlineScanner.ocx - registred OK

Hierboven het logje van ESET. Staat niet veel in? ESET vond geen infecties tijdens de scan.

mvgr,

Marco

[mhvsaane]

Nog een keer ESET gedraaid, nu met dit als logje:

ESETSmartInstaller@High as CAB hook log:

OnlineScanner.ocx - registred OK

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6419

# api_version=3.0.2

# EOSSerial=5004ff8ed044694c86851599e2f2c208

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=true

# antistealth_checked=true

# utc_time=2011-01-28 11:53:12

# local_time=2011-01-29 12:53:12 (+0100, Romance Standard Time)

# country="Netherlands"

# lang=1043

# osver=6.1.7600 NT

# compatibility_mode=512 16777215 100 0 184862 184862 0 0

# compatibility_mode=1032 16777213 100 94 21222 39547669 0 0

# compatibility_mode=5893 16776574 100 94 258373 48706268 0 0

# compatibility_mode=8192 67108863 100 0 20610 20610 0 0

# scanned=119798

# found=0

# cleaned=0

# scan_time=5116

mvgr,

Marco

[kape]

Download Dr.Web CureIt en sla het op je bureaublad op.

• Dubbelklik drweb-cureit.exe en sta het toe om te express scan te starten.
  Indien er een popup verschijnt met het voorstel tot kopen/50% korting mag je deze sluiten.
  
• De express scan zal de bestanden scannen die momenteel in het geheugen geladen zijn. Wanneer er iets gevonden wordt klik op 'alles selecteren' kies nu voor 'repareren' en uit het kleine menutje dat verschijnt kies je 'verplaatsen'.
  
• Kies bovenaan in het menu voor Language/Taal en wijzig deze naar Dutch (Nederlands) indien deze bij jou anders staat ingesteld.
  
• Druk op F9, kies daarna voor het tabblad Acties en stel daar het volgende in onder Malware:
  
  • 
    
  • Adware: Verplaats
    
  • Dialers: Verplaats
    
  • Jokes: Rapportage
    
  • Riskware: Rapportage
    
  • Hacktools: Verplaats
    
  • Haal dan het vinkje weg bij 'Prompt bij actie'.
    

  [*]Kies daarna voor het tabblad Scan en verwijder het vinkje bij Heuristische analyse.

  Druk vervolgens op Toepassen gevolgd door OK.

  [*]Eenmaal als de korte scan is beëindigd vink je aan: Volledige scan.

  Druk daarna op het groene pijltje (start knop) om de scan te starten.

  [*]Gevonden bestanden worden naar '%USERPROFILE%\DocterWeb\Quarantine' -map verplaatst indien het herstellen niet mogelijk is.

  [*]Nadat de scan gedaan is ga dan naar Bestand en kies Rapportage lijst opslaan.

  Bewaar deze op je bureaublad en sluit daarna Dr.Web CureIt.

  [*]Herstart vervolgens de computer!! Dit is een belangrijke stap want het kan zijn dat Dr.Web CureIt bestanden zal verplaatsen/verwijderen tijdens herstart.

  [*]Na het herstarten, kopieer en plak de inhoud van die log die je eerder hebt bewaard in je volgende post.

[mhvsaane]

Ik heb doctor web snelle scan gedraaid:

1e keer kwam die met 2 "backdoor tdss" meldingen. Die zijn verwijderd door dr.web. Op F9 drukken had geen effect, kon ook niet kiezen voor volledige scan.

Heb nog een keer snelle scan gedraaid, geen meldingen. Daarna wel F9 gebruikt en alles aangeklikt zoals in je email. Volledige scan duurde heel lang, maar geen meldingen van virussen o.i.d.

Laptop opnieuw opgestart, checkdisk werd geactiveerd voordat windows7 gestart werd. Laptop draait nu weer.

Zal vanmiddag AVG er weer op zetten en checken wat die meldt.

mvgr,

Marco

[mhvsaane]

Ik heb net AVG free weer gedownload, geupdate en laten scannen.

Resultaat:

Geen infecties meer gevonden. Het lijkt er sterk op dat mijn laptop weer schoon is.

Hartstikke bedankt voor uw hulp.

Als er nog iets zou zijn verneem ik graag uw reactie.

mvgr,

Marco