virus

[oskar01]

Dit gaat niet zoals het moet gaan:

[kape]

Staat er in de map C:\Windows\System32\Drivers\Etc een map met de naam HOSTS (maar zonder extensie achter) ?

[oskar01]

Nee, maar wel Imhosts.

Heb het nogmaals geprobeerd met de eerste download Hosts.

Ik heb het in de map programma's unzipped.

Nu gebeurd er iets anders in het (nu zwarte) DOS scherm.

Hyack this opgestart, en hier krijg ik het volgende bericht (zie afbeelding)

In uitvoeren heb ik het gevraagde ingetoetst, en krijg een file met al die O1-IP adressen in de log van Hyack This. IP adressen verwijderd, waar moet ik dan het documentje 'hosts' opslaan, en met welke extensie? in de map etc?

Wat doe ik hier verkeerd?

Na reboot is dit de Hyackthis log:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:49:54, on 26-8-2011

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Microsoft Hardware\Mouse\point32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

D:\Documenten en Settings\All Users\Application Data\3e61e5c\MS3e61.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nu.nl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O1 - Hosts: 74.125.45.100 4-open-davinci.com

O1 - Hosts: 74.125.45.100 securitysoftwarepayments.com

O1 - Hosts: 74.125.45.100 privatesecuredpayments.com

O1 - Hosts: 74.125.45.100 secure.privatesecuredpayments.com

O1 - Hosts: 74.125.45.100 getantivirusplusnow.com

O1 - Hosts: 74.125.45.100 secure-plus-payments.com

O1 - Hosts: 74.125.45.100 www.getantivirusplusnow.com

O1 - Hosts: 74.125.45.100 www.secure-plus-payments.com

O1 - Hosts: 74.125.45.100 www.getavplusnow.com

O1 - Hosts: 74.125.45.100 safebrowsing-cache.google.com

O1 - Hosts: 74.125.45.100 urs.microsoft.com

O1 - Hosts: 74.125.45.100 www.securesoftwarebill.com

O1 - Hosts: 74.125.45.100 secure.paysecuresystem.com

O1 - Hosts: 74.125.45.100 paysoftbillsolution.com

O1 - Hosts: 74.125.45.100 protected.maxisoftwaremart.com

O1 - Hosts: 173.232.149.92 www.google.com

O1 - Hosts: 173.232.149.92 google.com

O1 - Hosts: 173.232.149.92 google.com.au

O1 - Hosts: 173.232.149.92 www.google.com.au

O1 - Hosts: 173.232.149.92 google.be

O1 - Hosts: 173.232.149.92 www.google.be

O1 - Hosts: 173.232.149.92 google.com.br

O1 - Hosts: 173.232.149.92 www.google.com.br

O1 - Hosts: 173.232.149.92 google.ca

O1 - Hosts: 173.232.149.92 www.google.ca

O1 - Hosts: 173.232.149.92 google.ch

O1 - Hosts: 173.232.149.92 www.google.ch

O1 - Hosts: 173.232.149.92 google.de

O1 - Hosts: 173.232.149.92 www.google.de

O1 - Hosts: 173.232.149.92 google.dk

O1 - Hosts: 173.232.149.92 www.google.dk

O1 - Hosts: 173.232.149.92 google.fr

O1 - Hosts: 173.232.149.92 www.google.fr

O1 - Hosts: 173.232.149.92 google.ie

O1 - Hosts: 173.232.149.92 www.google.ie

O1 - Hosts: 173.232.149.92 google.it

O1 - Hosts: 173.232.149.92 www.google.it

O1 - Hosts: 173.232.149.92 google.co.jp

O1 - Hosts: 173.232.149.92 www.google.co.jp

O1 - Hosts: 173.232.149.92 google.nl

O1 - Hosts: 173.232.149.92 www.google.nl

O1 - Hosts: 173.232.149.92 google.no

O1 - Hosts: 173.232.149.92 www.google.no

O1 - Hosts: 173.232.149.92 google.co.nz

O1 - Hosts: 173.232.149.92 www.google.co.nz

O1 - Hosts: 173.232.149.92 google.pl

O1 - Hosts: 173.232.149.92 www.google.pl

O1 - Hosts: 173.232.149.92 google.se

O1 - Hosts: 173.232.149.92 www.google.se

O1 - Hosts: 173.232.149.92 google.co.uk

O1 - Hosts: 173.232.149.92 www.google.co.uk

O1 - Hosts: 173.232.149.92 google.co.za

O1 - Hosts: 173.232.149.92 www.google.co.za

O1 - Hosts: 173.232.149.92 www.google-analytics.com

O1 - Hosts: 173.232.149.92 www.bing.com

O1 - Hosts: 173.232.149.92 search.yahoo.com

O1 - Hosts: 173.232.149.92 www.search.yahoo.com

O1 - Hosts: 173.232.149.92 uk.search.yahoo.com

O1 - Hosts: 173.232.149.92 ca.search.yahoo.com

O1 - Hosts: 173.232.149.92 de.search.yahoo.com

O1 - Hosts: 173.232.149.92 fr.search.yahoo.com

O1 - Hosts: 173.232.149.92 au.search.yahoo.com

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [My Security Engine] "D:\Documenten en Settings\All Users\Application Data\3e61e5c\MS3e61.exe" /s /d

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')

O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe

--

End of file - 4895 bytes

26 augustus 2011 aangepast door oskar01

[kape]

Het bestand HOSTS heeft geen extensie (vreemd, maar is zo). Zitten de O1-items nog in je logje ? Of kan je dat niet doordrukken met die foutmelding ? Zou nochtans wel moeten kunnen.

[oskar01]

Het bestand hosts (heb het in de map etc gezet) is een text file...

niet het soort bestand als de andere files in die map.

Wat kan ik nog meer verwijderen uit de hyack log?

Moet ik de nieuwe hyack log opslaan (.log), en in welke map?

dit is de nieuwe log:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:17:47, on 26-8-2011

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Microsoft Hardware\Mouse\point32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

D:\Documenten en Settings\All Users\Application Data\3e61e5c\MS3e61.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = nu.nl | Het laatste nieuws het eerst op nu.nl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [My Security Engine] "D:\Documenten en Settings\All Users\Application Data\3e61e5c\MS3e61.exe" /s /d

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')

O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe

--

End of file - 2107 bytes

26 augustus 2011 aangepast door oskar01

[oskar01]

Het probleem is nog niet opgelost.

krijg nog steeds hetzelfde bericht in mijn scherm:

Ik heb een paar jaar geleden per ongeluk een zgn antivirus programma gedownload: My security engine.

Ik heb het idee dat het daar mee te maken heeft, dat dat het probleem veroorzaakt.

26 augustus 2011 aangepast door oskar01

[kweezie wabbit]

My Security Engine kan je inderdaad beter niet op je pc hebben.

Ga naar start - alle programma's - bureauaccesoires.

Zoek het icoon van het opdrachtprompt en klik er op met de rechter muisknop en kies dan in het lijstje voor uitvoeren als administrator om het opdrachtprompt te openen.

Tik in: sc stop "My Security Engine" en druk op Enter.

Tik in: sc delete "My Security Engine" en druk op Enter.

Verwijder de vetgedrukte map D:\Documenten en Settings\All Users\Application Data\3e61e5c en herstart de pc.

Download MBAM (Malwarebytes Anti-Malware)

Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien".

Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden.

Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan.

Het scannen kan een tijdje duren, dus wees geduldig.

Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.

Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.

Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder).

Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook.

MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen.

Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma.

Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... Dus sta toe dat MBAM de computer opnieuw opstart.

Voer dan de instructies van Kape uit bericht nr 5 (MVPS Hosts) nogmaals uit.

Plak de inhoud van het logje van malwarebytes in je volgende bericht, samen met een nieuw HijackThis log.

[oskar01]

In opdracht prompt sc stop "My Security Engine" en sc delete "My Security Engine" ingetypt:

er gebeurd niets, zie afbeelding.

De map D:\Documenten en Settings\All Users\Application Data\3e61e5c kan ik niet vinden, is er niet.

Ik heb MBAM geinstalleerd, maar updaten zal niet werken, want de laptop heeft geen internet verbinding.

[oskar01]

Daar waar MBAM vraagt om naar update te zoeken, op Nee geklikt,

uiteindelijk krijg ik dan deze error:

[kape]

Typ deze twee opdrachten :

sc stop "My Security Engine"

sc delete "My Security Engine"

eens in het vak "uitvoeren" (na Start) en druk op Enter.

De map D:\Documenten en Settings\All Users\Application Data\3e61e5c zit in Application Data. Dat is een verborgen map. Je zal dus eerst de optie "verborgen mappen tonen" moeten inschakelen. En dan zou je map moeten kunnen zien en verwijderen.