Vraag & Antwoord

Beveiliging & privacy

Logje i.v.m. W32.Straiton.DB@mm

7 antwoorden
  • Ik krijg continu meldingen van Symantec over bovengenoemde worm. Ik kan de besmetting echter niet verwijderen: Hierbij even een logje: Logfile of HijackThis v1.99.1 Scan saved at 23:02:36, on 30-10-2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe C:\Program Files\Picasa2\PicasaMediaDetector.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe C:\WINDOWS\System32\wstdmode.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\logonui.exe C:\WINDOWS\System32\wstdmode.exe C:\WINDOWS\system32\rdpclip.exe C:\WINDOWS\system32\brwconf.exe C:\WINDOWS\system32\brwconf.exe C:\WINDOWS\system32\logon.scr C:\Program Files\Windows Defender\MsMpEng.exe C:\Program Files\Windows Defender\MSASCui.exe C:\WINDOWS\system32\ntvdm.exe C:\Program Files\Internet Explorer\iexplore.exe C:\DOCUME~1\bnrrw\LOCALS~1\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bnrbouwstoffen.nl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0413/bl8.asp R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/0413/bl7.asp R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.virusalert.nl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Common Files\Roxio Shared\System\EngUtil.exe" O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe" O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe O4 - HKLM\..\Run: [mswiiz32] C:\WINDOWS\mswiiz32.exe s O4 - HKLM\..\Run: [brwdiag] C:\WINDOWS\system32\brwconf.exe O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118289961093 O17 - HKLM\System\CCS\Services\Tcpip\..\{4EADB873-E351-4595-9900-3DA048FF6385}: NameServer = 194.151.228.18,194.151.228.34 O20 - AppInit_DLLs: wmasvsin.dll confbrw.dll brwstat.dll e1.dll O20 - Winlogon Notify: brwmgr - C:\WINDOWS\SYSTEM32\brwmgr32.dll O20 - Winlogon Notify: igfxcui - igfxsrvc.dll (file missing) O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O20 - Winlogon Notify: wstdmode - C:\WINDOWS\system32\wstdmode.dll O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
  • Eerst maar een tool. Download [url=http://download.bleepingcomputer.com/sUBs/combofix.exe][b:0aaa7fbd2d]Combofix[/b:0aaa7fbd2d][/url] naar je Bureaublad.[list:0aaa7fbd2d] Dubbelklik [b:0aaa7fbd2d]Combofix.exe[/b:0aaa7fbd2d] Volg de instructies, aanvaard de disclaimer door "y" of "Y" te typen. Tijdens het runnen van de fix, [b:0aaa7fbd2d]NIET[/b:0aaa7fbd2d] in het venster klikken, want dit zal je pc doen vasthangen.[/list:u:0aaa7fbd2d] Wanneer de fix voltooid is en na herstart, zal de log [b:0aaa7fbd2d]combofix.txt[/b:0aaa7fbd2d] openen. [i:0aaa7fbd2d]Plaats deze log in je volgende post samen met een nieuw HijackThis log.[/i:0aaa7fbd2d] NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, mag je dit negeren. Juisterr
  • Het is een PC die ik op afstand moet oevernemen. Ik regel even een afspraak en meld me dan weer.
  • Doe maar rustig aan.
  • Hierbij het antwoord: bnrrw - 06-11-01 19:57:29,17 Service Pack 2 ComboFix 06.10.19 - Running from: "C:\Documents and Settings\bnrrw\Bureaublad" ((((((((((((((((((((((((((((((( Files Created from 2006-10-01 to 2006-11-01 )))))))))))))))))))))))))))))))))) 2006-10-31 08:00 112,128 --a------ C:\WINDOWS\mswiizz32.exe 2006-10-30 19:56 53,248 --------- C:\WINDOWS\system32\confbrw.dll 2006-10-30 19:56 49,152 --ah----- C:\WINDOWS\system32\brwconf.exe 2006-10-30 19:56 356,352 --------- C:\WINDOWS\system32\brwmgr32.dll 2006-10-30 19:56 143,360 --------- C:\WINDOWS\system32\brwstat.dll 2006-10-30 19:56 108,539 --a------ C:\WINDOWS\mssmtp.exe 2006-10-27 13:10 118,784 --------- C:\WINDOWS\system32\wstdmode.dll 2006-10-27 13:04 9,216 --------- C:\WINDOWS\system32\e1.dll 2006-10-27 13:04 28,672 --------- C:\WINDOWS\system32\wmasvsin.dll (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-10-30 20:22 -------- d-------- C:\Program Files\Windows Defender 2006-10-17 07:36 -------- d-------- C:\Program Files\Google 2006-09-13 06:07 1084416 --a------ C:\WINDOWS\system32\msxml3.dll 2006-08-25 16:51 617472 --a------ C:\WINDOWS\system32\comctl32.dll 2006-08-21 13:28 16896 --a------ C:\WINDOWS\system32\fltlib.dll 2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe 2006-08-16 12:59 100352 --a------ C:\WINDOWS\system32\6to4svc.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\1.2.908.5008\\GoogleToolbarNotifier.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_06\\bin\\jusched.exe" "srmclean"="C:\\Cpqs\\Scom\\srmclean.exe" "SetRefresh"="C:\\Program Files\\Compaq\\SetRefresh\\SetRefresh.exe" "vptray"="C:\\PROGRA~1\\SYMANT~1\\SYMANT~1\\vptray.exe" "RoxioEngineUtility"="\"C:\\Program Files\\Common Files\\Roxio Shared\\System\\EngUtil.exe\"" "RoxioDragToDisc"="\"C:\\Program Files\\Roxio\\Easy CD Creator 6\\DragToDisc\\DrgToDsc.exe\"" "Picasa Media Detector"="C:\\Program Files\\Picasa2\\PicasaMediaDetector.exe" "mswiiz32"="C:\\WINDOWS\\mswiiz32.exe s" "brwdiag"="C:\\WINDOWS\\system32\\brwconf.exe" "Windows Defender"="\"C:\\Program Files\\Windows Defender\\MSASCui.exe\" -hide" "mswiizz32"="C:\\WINDOWS\\mswiizz32.exe s" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000000 [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Mijn huidige introductiepagina" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e4,03,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\ 00,00,01,00,00,00 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Preloader van browseui" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Cache-daemon voor onderdeelcategorieën" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"="Microsoft AntiMalware ShellExecuteHook" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "CDRAutoRun"=dword:00000000 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "CDRAutoRun"=dword:00000000 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="msmsgs" "hkey"="HKCU" "command"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background" "inimapping"="0" HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\brwmgr HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wstdmode [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\MP Scheduled Scan.job Completion time: 06-11-01 19:58:33.07 C:\ComboFix.txt ... 06-11-01 19:58
  • Download [url=http://www.downloads.subratam.org/KillBox.exe][color=blue:201e429171][b:201e429171]KillBox![/b:201e429171][/color:201e429171][/url] naar je bureaublad. [b:201e429171]Selecteer[/b:201e429171] de onderstaande, vetgedrukte regels, door de linker muisknop ingedrukt te houden en van links boven naar rechts beneden te bewegen (het veld wordt blauw): [list:201e429171][b:201e429171] 2006-10-31 08:00 112,128 --a------ C:\WINDOWS\mswiizz32.exe 2006-10-30 19:56 53,248 --------- C:\WINDOWS\system32\confbrw.dll 2006-10-30 19:56 49,152 --ah----- C:\WINDOWS\system32\brwconf.exe 2006-10-30 19:56 356,352 --------- C:\WINDOWS\system32\brwmgr32.dll 2006-10-30 19:56 143,360 --------- C:\WINDOWS\system32\brwstat.dll 2006-10-30 19:56 108,539 --a------ C:\WINDOWS\mssmtp.exe 2006-10-27 13:10 118,784 --------- C:\WINDOWS\system32\wstdmode.dll 2006-10-27 13:04 9,216 --------- C:\WINDOWS\system32\e1.dll 2006-10-27 13:04 28,672 --------- C:\WINDOWS\system32\wmasvsin.dll[/b:201e429171][/list:u:201e429171] Klik met je rechtermuisknop in het blauwe veld en vervolgens op kopieeren [*] Start KillBox! door te dubbelklikken op het killbox icoontje [*] Open [b:201e429171]options[/b:201e429171] in het killbox menu en selecteer [b:201e429171]auto parse[/b:201e429171] [*] Open [b:201e429171]file[/b:201e429171] in het killboxmenu bovenaan en kies: [b:201e429171]Paste from clipboard[/b:201e429171] [*] [i:201e429171]Het vetgedrukte, dat je hebt geselecteerd en gekopiëerd, zal nu verschijnen in het veld bij Full Path of File to Delete. (Controleer dit eventueel door te klikken op het pijltje naast dat veld) Files die niet (meer) bestaan worden door killbox niet weergegeven[/i:201e429171] [*] kies de optie ('s) [b:201e429171]Delete on reboot[/b:201e429171] en [b:201e429171]unregister dll's before deleting.[/b:201e429171] [*] Klik op de knop [b:201e429171]All files[/b:201e429171]. [*] Klik op de rode cirkel met het wit kruisje erin. [*] Killbox! zal zeggen dat deze bestanden zullen verwijderd worden on reboot.. Klik YES [*] Wanneer Killbox! vraagt om nu te rebooten, klik je op YES. [*] [i:201e429171]Als je volgende boodschap krijgt: PendingFileRenameOperations Registry Data has been Removed by External Process! dan zal je handmatig moeten herstarten.[/i:201e429171][/list] Killbox zal nu je PC herstarten Verwijder na de herstart de map [b:201e429171]C:\!Killbox[/b:201e429171] Leeg daarna de prullenbak Download en installeer [url=http://www.ewido.net/en/download/][b:201e429171]AVG Anti-Spyware[/b:201e429171][/url].[list:201e429171] Na de installatie, open AVG Anti-Spyware: * onder "[b:201e429171]Status[/b:201e429171]", klik op [b:201e429171]Change state[/b:201e429171] naast "Resident shield". (wijzig van active naar [b:201e429171]inactive[/b:201e429171]!) * onder "[b:201e429171]Update[/b:201e429171]", klik op de [b:201e429171]Start update[/b:201e429171] knop. * onder "[b:201e429171]Scanner[/b:201e429171]", tab "Settings":[list:201e429171]- onder "How to act?", klik op "[u:201e429171]Recommended actions[/u:201e429171]" en selecteer [b:201e429171]Quarantine[/b:201e429171]. ([b:201e429171]ZEER BELANGRIJK![/b:201e429171]) * onder "Reports", selecteer [b:201e429171]Automatically generate report after every scan[/b:201e429171] en [u:201e429171]verwijder[/u:201e429171] het vinkje bij [b:201e429171]Only if threats were found[/b:201e429171][/list:u:201e429171] Sluit AVG Anti-Spyware. Laat het [b:201e429171]nog niet[/b:201e429171] scannen.[/list:u:201e429171] Start op in [url=http://www.hijackthis.nl/veiligemodus.html]veilige modus[/url] Start [b:201e429171]AVG Anti-Spyware[/b:201e429171].[list:201e429171]* Klik op [b:201e429171]Scan[/b:201e429171] en kies [b:201e429171]Complete System Scan[/b:201e429171]. Na de scan; volg onderstaande instructies : [color=blue:201e429171]BELANGRIJK : Klik niet op de "Save Scan Report" knop vooraleer je de "Apply all Actions" knop hebt aangeklikt ![/color:201e429171] * Draag er zorg voor dat [b:201e429171]Set all elements to[/b:201e429171]: op [b:201e429171]Quarantine[/b:201e429171] staat [color=blue:201e429171](1)[/color:201e429171], zoniet klik op de link en kies [b:201e429171]Quarantine[/b:201e429171] in de popup menu.[color=blue:201e429171] (2)[/color:201e429171] (Dit geldt niet voor cookies, deze worden onveranderlijk gedelete !) * Onderaan het venster klik op de [b:201e429171]Apply all Actions[/b:201e429171] knop. [color=blue:201e429171](3)[/color:201e429171] [img:201e429171]http://home.scarlet.be/~topalex/ewidoscan.jpg[/img:201e429171] * Wanneer je de melding krijgt 'All actions have been applied', klik je onderaan op de knop [b:201e429171]Save Report[/b:201e429171]. * Klik in het menu bovenaan op [b:201e429171]Reports[/b:201e429171]. Kopieer het rapport van de scan en plaats dat hier in je volgende bericht.[/list:u:201e429171] Scan nogmaals met de combofix en plaats het logje. Plaats ook het logje van avg en een nieuw HJT logje J
  • Ik heb de PC nu hier lokaal staan maar het is een drama. Ik heb killbox uitgevoerd maar kan AVG niet installeren. Ik krijg steeds een foutmelding. Kan ook niet installeren in veilige modus. Verder kan ik niets uitvoeren. systeem loopt dan helemaal vol en krijg uiteindelijk de melding onvoldoende viritueel geheugen.

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.