Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

[b]Logger.Bancos.aam[/b] .. Dringend hulp !

None
18 antwoorden
  • hallo mensen, ik had eerder aangegeven in een topic wat een goeie spyware/virus-progs waren.. ik heb AVG anti-spyware 7.5 gedownload en ik kreeg wel 40 infections.. waarvan er 1 niet wegging de hele tijd.. heb al 3/4x een scan gemaakt en geprobeerd te deleten maar steeds ging [b:ca62fb332c]Logger.Bancos.aam [/b:ca62fb332c]niet weg.. waar ik mij druk om maakte was dat er bij de beschrijving stond dat die data zoals bank-rekeningen,wachtwoorden kun afpakken.. en omdat wij veel aan online bank-rekeningen doen werd ik wat ongerust.

    wat mij ook opvalt is dat de laatste weken mijn opgeslagen gebruikersnaam+wachtwoord op forums enzo. na elke keer dat ik op windows kom verwijderd zijn. Komt dat ook door de virus?.. ik hoop dat iemand me verder kan helpen.
  • Welkom!

    Plaats even een Hijackthis log:
    http://forum.computertotaal.nl/phpBB2/viewtopic.php?t=115358

    Als je dit denkt, is het verstandig om via een andere computer al je gegevens en wachtwoorden even te wijzigen.

    Pim
  • [quote:fc62eea4aa="pimvandenderen"]Welkom!

    Plaats even een Hijackthis log:
    http://forum.computertotaal.nl/phpBB2/viewtopic.php?t=115358

    Als je dit denkt, is het verstandig om via een andere computer al je gegevens en wachtwoorden even te wijzigen.

    Pim[/quote:fc62eea4aa]

    hoe bedoel je 'als je dit denkt'?.. ik ga even hijackthis downloaden en een log maken.. gewoon plaatsen in deze topic?
  • Maak eerst maar een Hijackthis log en plaats het in dit topic, dan kan ik vertellen of je inderdaad te maken hebt met een trojan banker.
  • [quote:260c88c1c6="pimvandenderen"]Maak eerst maar een Hijackthis log en plaats het in dit topic, dan kan ik vertellen of je inderdaad te maken hebt met een trojan banker.[/quote:260c88c1c6]

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:32:14, on 19-8-2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Eset
    od32kui.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
    C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Program Files\Eset
    od32krn.exe
    C:\WINDOWS\System32
    vsvc32.exe
    C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32
    tos.exe,
    O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\WebAssist.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
    O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
    od32kui.exe" /WAITSERVICE
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32
    tos.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: Google Updater.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1181322286077
    O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset
    od32krn.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
    vsvc32.exe


    End of file - 6083 bytes

    hier heb je het.. als het die virus is wat ik aangaf.. of wat jij aangaf.. is die erg of is die zo te pakken?







  • Je hebt inderdaad te maken met een trojan banker. Probeer zo snel mogelijk je wachtwoorden
    van internet bankieren etc. te wijzigen vanaf een andere computer.

    Download SDFix naar je [b:2f1f81dd2b]Bureaublad[/b:2f1f81dd2b].

    Dubbelklik om te openen, selecteer alle bestanden en pak ze uit naar een eigen map met de naam [u:2f1f81dd2b]SDFix[/u:2f1f81dd2b].
    Start je computer op in veilige modus.
    Open de map SDfix en dubbelklik op [b:2f1f81dd2b]runthis.bat[/b:2f1f81dd2b] om de tool te starten.
    Computer laten herstarten wanneer dit gevraagd wordt.
    SDfix loopt verder en opent na afloop een rapportje!
    Sla dit even op, post het dadelijk in je volgende antwoord.


    Download Combofix naar je [b:2f1f81dd2b]bureaublad[/b:2f1f81dd2b]

    Dubbelklik op [u:2f1f81dd2b]combofix.exe[/u:2f1f81dd2b]
    Volg de instructies, aanvaard de disclaimer door y of Y te typen.
    Tijdens het runnen van de fix, [b:2f1f81dd2b]NIET[/b:2f1f81dd2b] in het venster klikken, want dit zal je pc doen vasthangen.

    Wanneer de fix voltooid is en na herstart, zal de log [b:2f1f81dd2b]combofix.txt[/b:2f1f81dd2b] openen. Bewaar dit logje.

    NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, mag je dit negeren.

    Plaats in je volgende antwoord het logje van combofix ([i:2f1f81dd2b]combofix.txt[/i:2f1f81dd2b]), het logje van sdfix
    en een vers Hijackthis log.

    Succes

    Pim
  • [quote:67bc58cb65="pimvandenderen"]Je hebt inderdaad te maken met een trojan banker. Probeer zo snel mogelijk je wachtwoorden
    van internet bankieren etc. te wijzigen vanaf een andere computer.

    Download SDFix naar je [b:67bc58cb65]Bureaublad[/b:67bc58cb65].

    Dubbelklik om te openen, selecteer alle bestanden en pak ze uit naar een eigen map met de naam [u:67bc58cb65]SDFix[/u:67bc58cb65].
    Start je computer op in veilige modus.
    Open de map SDfix en dubbelklik op [b:67bc58cb65]runthis.bat[/b:67bc58cb65] om de tool te starten.
    Computer laten herstarten wanneer dit gevraagd wordt.
    SDfix loopt verder en opent na afloop een rapportje!
    Sla dit even op, post het dadelijk in je volgende antwoord.


    Download Combofix naar je [b:67bc58cb65]bureaublad[/b:67bc58cb65]

    Dubbelklik op [u:67bc58cb65]combofix.exe[/u:67bc58cb65]
    Volg de instructies, aanvaard de disclaimer door y of Y te typen.
    Tijdens het runnen van de fix, [b:67bc58cb65]NIET[/b:67bc58cb65] in het venster klikken, want dit zal je pc doen vasthangen.

    Wanneer de fix voltooid is en na herstart, zal de log [b:67bc58cb65]combofix.txt[/b:67bc58cb65] openen. Bewaar dit logje.

    NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, mag je dit negeren.

    Plaats in je volgende antwoord het logje van combofix ([i:67bc58cb65]combofix.txt[/i:67bc58cb65]), het logje van sdfix
    en een vers Hijackthis log.

    Succes

    Pim[/quote:67bc58cb65]

    ik ga die opdrachten meteen uitvoeren.. maar wij hebben pin-codes op abn amro bankieren.. die kan je toch niet veranderen?.. we hebben geen zelf ingevuld wachtwoord bij het online-bankieren.
  • Edit: Logfile kwam niet.. maar had het nog in veilige modus staan.. heb het logfile van Sdfix inmiddels al opgeslagen.. nu bezig met combofix.
  • Logfile [b:b9a926c4be]SDfix[/b:b9a926c4be]:


    Rebooting…


    Normal Mode:
    Checking Files:

    Trojan Files Found:

    C:\WINDOWS\system32\wsnpoem\audio.dll - Deleted
    C:\WINDOWS\system32\wsnpoem\video.dll - Deleted


    Folder C:\WINDOWS\system32\wsnpoem - Removed

    Removing Temp Files…

    ADS Check:

    C:\WINDOWS
    No streams found.

    C:\WINDOWS\system32
    No streams found.

    C:\WINDOWS\system32\svchost.exe
    No streams found.

    C:\WINDOWS\system32
    toskrnl.exe
    No streams found.



    Final Check:

    Remaining Services:
    ——————



    Authorized Application Key Export:

    Remaining Files:
    —————

    File Backups: - C:\DOCUME~1\Wasken\BUREAU~1\SDFix\SDFix\backups\backups.zip
    Registry Backups: - C:\DOCUME~1\Wasken\BUREAU~1\SDFix\SDFix\backups\backupreg.zip
    Full Registry Backup: - C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE

    Files with Hidden Attributes:


    Finished

    ——————————————————————–

    Logfile [b:b9a926c4be]Combofix[/b:b9a926c4be]:

    ComboFix 07-08-14.4 - "Wasken" 2007-08-19 22:22:55.1 - NTFSx86
    Microsoft Windows XP Professional 5.1.2600.0.1252.1.1043.18.218 [GMT 2:00]
    * Created a new restore point


    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


    C:\DOCUME~1\Wasken\BUREAU~1.\internet explorer.lnk
    C:\WINDOWS\WebAssist.dll


    ((((((((((((((((((((((((( Files Created from 2007-07-19 to 2007-08-19 )))))))))))))))))))))))))))))))


    2007-08-19 22:22 51,200 –a—— C:\WINDOWS
    ircmd.exe
    2007-08-19 21:57 <DIR> d——– C:\WINDOWS\ERUNT
    2007-08-19 21:52 <DIR> d——– C:\WINDOWS\pss
    2007-08-19 21:31 <DIR> d——– C:\Program Files\Trend Micro
    2007-08-19 19:33 512,096 –a—— C:\WINDOWS\system32\drivers\amon.sys
    2007-08-19 19:33 298,104 –a—— C:\WINDOWS\system32\imon.dll
    2007-08-19 19:33 15,424 –a—— C:\WINDOWS\system32\drivers
    od32drv.sys
    2007-08-19 19:29 10,872 –a—— C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2007-08-18 14:25 <DIR> d——– C:\DOCUME~1\ALLUSE~1\APPLIC~1\McAfee
    2007-08-18 14:22 <DIR> d——– C:\WINDOWS\system32\appmgmt
    2007-08-17 16:50 81,984 –a—— C:\WINDOWS\system32\bdod.bin
    2007-08-16 15:34 1,700,352 –a—— C:\WINDOWS\system32\gdiplus.dll
    2007-07-21 16:51 <DIR> d——– C:\Program Files\Virtools Web Player 2.5


    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-08-19 19:31 ——— d——– C:\DOCUME~1\Wasken\APPLIC~1\uTorrent
    2007-08-16 13:18 ——— d——– C:\DOCUME~1\Wasken\APPLIC~1\LimeWire
    2007-07-05 15:26 ——— d——– C:\DOCUME~1\Wasken\APPLIC~1\BSplayer Pro
    2007-07-04 19:50 ——— d——– C:\Program Files\QuickTime
    2007-06-23 19:14 ——— d——– C:\Program Files\Common Files\NSV
    2007-06-23 18:58 ——— d——– C:\DOCUME~1\Wasken\APPLIC~1\MusicIP
    2007-06-19 16:36 ——— d——– C:\Program Files\Microsoft ActiveSync
    2007-06-08 18:52 0 -rahs—- C:\MSDOS.SYS
    2007-06-08 18:52 0 -rahs—- C:\IO.SYS
    2007-06-08 18:52 0 –a—— C:\CONFIG.SYS
    2007-06-08 18:52 0 –a—— C:\AUTOEXEC.BAT
    2007-06-08 18:51 8738 –a—— C:\WINDOWS\pchealth\HELPCTR\Config\Cntstore.bin
    2007-06-08 18:51 2112 –a—— C:\WINDOWS\pchealth\HELPCTR\PackageStore\SkuStore.bin


    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="RUNDLL32.exe" [2001-09-07 14:00 C:\WINDOWS\system32\rundll32.exe]
    "nwiz"="nwiz.exe" [2005-02-24 17:32 C:\WINDOWS\system32
    wiz.exe]
    "NvMediaCenter"="RUNDLL32.exe" [2001-09-07 14:00 C:\WINDOWS\system32\rundll32.exe]
    "SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 C:\WINDOWS\soundman.exe]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
    "NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" []
    "Google Desktop Search"="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" [2007-06-17 19:57]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-07-04 19:50]
    "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-08-19 19:38]
    "nod32kui"="C:\Program Files\Eset
    od32kui.exe" [2007-08-19 19:32]
    "MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2001-09-07 14:00]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-09-07 14:00]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" []
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-08 19:06]
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2006-01-24 20:28]
    "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 13:49]

    C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\
    Adobe Reader Snelle start.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 01:48:20]
    Adobe Reader Synchronizer.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 00:01:50]
    Google Updater.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2007-06-08 19:06:03]
    Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
    "DisableRegistryTools"=0 (0x0)



    Contents of the 'Scheduled Tasks' folder
    2007-08-14 09:31:29 C:\WINDOWS\Tasks\At1.job - C:\WINDOWS\System32\ELoBe700.exe
    2007-08-14 09:31:29 C:\WINDOWS\Tasks\At10.job
    2007-08-18 08:01:02 C:\WINDOWS\Tasks\At11.job - C:\WINDOWS\System32\ELoBe700.exe
    2007-08-18 09:01:01 C:\WINDOWS\Tasks\At12.job - C:\WINDOWS\System32\ELoBe700.exe
    2007-08-14 09:31:29 C:\WINDOWS\Tasks\At2.job - C:\WINDOWS\System32\ELoBe700.exe
    2007-08-17 21:01:07 C:\WINDOWS\Tasks\At24.job - C:\WINDOWS\System32\ELoBe700.exe
    2007-08-14 09:31:29 C:\WINDOWS\Tasks\At3.job - C:\WINDOWS\System32\ELoBe700.exe
    2007-08-14 09:31:29 C:\WINDOWS\Tasks\At4.job - C:\WINDOWS\System32\ELoBe700.exe
    2007-08-14 09:31:29 C:\WINDOWS\Tasks\At5.job - C:\WINDOWS\System32\ELoBe700.exe
    2007-08-14 09:31:29 C:\WINDOWS\Tasks\At6.job - C:\WINDOWS\System32\ELoBe700.exe
    2007-08-14 09:31:29 C:\WINDOWS\Tasks\At7.job - C:\WINDOWS\System32\ELoBe700.exe
    2007-08-14 09:31:29 C:\WINDOWS\Tasks\At8.job - C:\WINDOWS\System32\ELoBe700.exe
    2007-08-14 09:31:29 C:\WINDOWS\Tasks\At9.job - C:\WINDOWS\System32\ELoBe700.exe

    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-08-19 22:25:48
    Windows 5.1.2600 NTFS

    scanning hidden processes …

    scanning hidden autostart entries …

    scanning hidden files …

    scan completed successfully
    hidden files: 0

    **************************************************************************

    Completion time: 2007-08-19 22:27:56 - machine was rebooted
    C:\ComboFix-quarantined-files.txt … 2007-08-19 22:27

    — E O F —

    ——————————————————————————

    Logfile [b:b9a926c4be]Hijackthis[/b:b9a926c4be]:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:30:41, on 19-8-2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Program Files\Eset
    od32krn.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Eset
    od32kui.exe
    C:\WINDOWS\System32
    vsvc32.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
    C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
    C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
    O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
    od32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: Google Updater.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1181322286077
    O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset
    od32krn.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
    vsvc32.exe


    End of file - 6011 bytes

    —————————————————————————–

    [b:b9a926c4be]Hopelijk is het succesvol geeindigd.. ik wacht je antwoord af of ik hier weer kan beginnen met internet-bankieren op deze pc.. wat me wel opviel ik had de pc opnieuw opgestart en wou deze logfiles posten maar ik was al meteen aangemeld aan de forum,wat de afgelopen weken nooit het geval was ![/b:b9a926c4be]

    [b:b9a926c4be]Edit: Hoe kan ik deze virus opgelopen hebben.. wat moet ik doen om het te vermijden.. ik gebruik vaak torrents .. kan het daar aanliggen?.. ik kijk wel eerst naar de comments of er negatieve dingen over gezegt worden.. verder heb ik avg anti-spyware en nod32 op mijn pc staan.[/b:b9a926c4be]










  • Ik wacht het gewoon af :) Misschien kan iemand anders duidelijkheid geven ondertussen over het internet bankieren bij de ABN, daar heb ik geen ervaring mee.
  • Start Hijackthis, kies voor [i:95b1267025]'Do a system scan only'[/i:95b1267025] en vink onderstaande regels aan:
    [b:95b1267025]
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    [/b:95b1267025]

    Sluit nu [u:95b1267025]alle[/u:95b1267025] openstaande vensters, behalve Hijackthis en klik op [b:95b1267025]Fix Checked[/b:95b1267025].


    Open Kladblok, kopiëer en plak het volgende (vetgedrukte tekst) in een leeg venster:
    [b:95b1267025]
    File::
    C:\WINDOWS\system32\appmgmt
    C:\WINDOWS\system32\bdod.bin
    C:\WINDOWS\System32\ELoBe700.exe
    C:\WINDOWS\Tasks\At1.job
    C:\WINDOWS\Tasks\At10.job
    C:\WINDOWS\Tasks\At11.job
    C:\WINDOWS\Tasks\At12.job
    C:\WINDOWS\Tasks\At2.job
    C:\WINDOWS\Tasks\At24.job
    C:\WINDOWS\Tasks\At3.job
    C:\WINDOWS\Tasks\At4.job
    C:\WINDOWS\Tasks\At5.job
    C:\WINDOWS\Tasks\At6.job
    C:\WINDOWS\Tasks\At7.job
    C:\WINDOWS\Tasks\At8.job
    C:\WINDOWS\Tasks\At9.job
    [/b:95b1267025]
    Sla dit op op je Bureaublad als [b:95b1267025]CFScript.txt[/b:95b1267025]

    Sleep [b:95b1267025]CFScript.txt[/b:95b1267025] in [b:95b1267025]ComboFix.exe[/b:95b1267025] zoals getoond in onderstaand voorbeeld :

    [img:95b1267025]http://img.photobucket.com/albums/v666/sUBs/CFScript.gif[/img:95b1267025]

    Dit zal [b:95b1267025]ComboFix[/b:95b1267025] doen herstarten.
    Start opnieuw op als daarom gevraagd wordt,
    en post de inhoud van de [b:95b1267025]Combofix.txt[/b:95b1267025] in je volgende antwoord samen met een nieuw HijackThislogje.
  • logfile [b:5c67d35263]Hijackthis[/b:5c67d35263]:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:20:40, on 19-8-2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Program Files\Eset
    od32krn.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Eset
    od32kui.exe
    C:\WINDOWS\System32
    vsvc32.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
    C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
    O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
    od32kui.exe" /WAITSERVICE
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: Google Updater.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1181322286077
    O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset
    od32krn.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
    vsvc32.exe


    End of file - 5792 bytes

    —————————————————————————–

    [b:5c67d35263]Ik heb het kladblok van Combofix per ongeluk weggeklikt omdat ik dacht dat je met hijackthis alle vensters moest sluiten.. hoe kan ik het terug vinden?[/b:5c67d35263]

    ——————————————————————————-

    [u:5c67d35263][i:5c67d35263][b:5c67d35263]Edit:[/b:5c67d35263][/i:5c67d35263][/u:5c67d35263]ik heb het gezocht en dit is de laatste wat er is als je naar de tijd kijkt.. hopelijk is het de goeie.

    Logfile [b:5c67d35263]Combofix[/b:5c67d35263]:

    ComboFix 07-08-14.4 - "Wasken" 2007-08-19 23:13:06.2 - NTFSx86
    Microsoft Windows XP Professional 5.1.2600.0.1252.1.1043.18.209 [GMT 2:00]
    Command switches used :: C:\Documents and Settings\Wasken\Bureaublad\CFScript.txt
    * Created a new restore point

    FILE::
    C:\WINDOWS\system32\appmgmt
    C:\WINDOWS\system32\bdod.bin
    C:\WINDOWS\System32\ELoBe700.exe
    C:\WINDOWS\Tasks\At1.job
    C:\WINDOWS\Tasks\At10.job
    C:\WINDOWS\Tasks\At11.job
    C:\WINDOWS\Tasks\At12.job
    C:\WINDOWS\Tasks\At2.job
    C:\WINDOWS\Tasks\At24.job
    C:\WINDOWS\Tasks\At3.job
    C:\WINDOWS\Tasks\At4.job
    C:\WINDOWS\Tasks\At5.job
    C:\WINDOWS\Tasks\At6.job
    C:\WINDOWS\Tasks\At7.job
    C:\WINDOWS\Tasks\At8.job
    C:\WINDOWS\Tasks\At9.job


    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


    C:\WINDOWS\system32\bdod.bin
    C:\WINDOWS\Tasks\At1.job
    C:\WINDOWS\Tasks\At10.job
    C:\WINDOWS\Tasks\At11.job
    C:\WINDOWS\Tasks\At12.job
    C:\WINDOWS\Tasks\At2.job
    C:\WINDOWS\Tasks\At24.job
    C:\WINDOWS\Tasks\At3.job
    C:\WINDOWS\Tasks\At4.job
    C:\WINDOWS\Tasks\At5.job
    C:\WINDOWS\Tasks\At6.job
    C:\WINDOWS\Tasks\At7.job
    C:\WINDOWS\Tasks\At8.job
    C:\WINDOWS\Tasks\At9.job


    ((((((((((((((((((((((((( Files Created from 2007-07-19 to 2007-08-19 )))))))))))))))))))))))))))))))


    2007-08-19 22:22 51,200 –a—— C:\WINDOWS
    ircmd.exe
    2007-08-19 21:57 <DIR> d——– C:\WINDOWS\ERUNT
    2007-08-19 21:52 <DIR> d——– C:\WINDOWS\pss
    2007-08-19 21:31 <DIR> d——– C:\Program Files\Trend Micro
    2007-08-19 19:33 512,096 –a—— C:\WINDOWS\system32\drivers\amon.sys
    2007-08-19 19:33 298,104 –a—— C:\WINDOWS\system32\imon.dll
    2007-08-19 19:33 15,424 –a—— C:\WINDOWS\system32\drivers
    od32drv.sys
    2007-08-19 19:29 10,872 –a—— C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2007-08-18 14:25 <DIR> d——– C:\DOCUME~1\ALLUSE~1\APPLIC~1\McAfee
    2007-08-18 14:22 <DIR> d——– C:\WINDOWS\system32\appmgmt
    2007-08-16 15:34 1,700,352 –a—— C:\WINDOWS\system32\gdiplus.dll
    2007-07-21 16:51 <DIR> d——– C:\Program Files\Virtools Web Player 2.5


    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-08-19 19:31 ——— d——– C:\DOCUME~1\Wasken\APPLIC~1\uTorrent
    2007-08-16 13:18 ——— d——– C:\DOCUME~1\Wasken\APPLIC~1\LimeWire
    2007-07-05 15:26 ——— d——– C:\DOCUME~1\Wasken\APPLIC~1\BSplayer Pro
    2007-07-04 19:50 ——— d——– C:\Program Files\QuickTime
    2007-06-23 19:14 ——— d——– C:\Program Files\Common Files\NSV
    2007-06-23 18:58 ——— d——– C:\DOCUME~1\Wasken\APPLIC~1\MusicIP
    2007-06-19 16:36 ——— d——– C:\Program Files\Microsoft ActiveSync
    2007-06-08 18:52 0 -rahs—- C:\MSDOS.SYS
    2007-06-08 18:52 0 -rahs—- C:\IO.SYS
    2007-06-08 18:52 0 –a—— C:\CONFIG.SYS
    2007-06-08 18:52 0 –a—— C:\AUTOEXEC.BAT
    2007-06-08 18:51 8738 –a—— C:\WINDOWS\pchealth\HELPCTR\Config\Cntstore.bin
    2007-06-08 18:51 2112 –a—— C:\WINDOWS\pchealth\HELPCTR\PackageStore\SkuStore.bin


    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="RUNDLL32.exe" [2001-09-07 14:00 C:\WINDOWS\system32\rundll32.exe]
    "nwiz"="nwiz.exe" [2005-02-24 17:32 C:\WINDOWS\system32
    wiz.exe]
    "NvMediaCenter"="RUNDLL32.exe" [2001-09-07 14:00 C:\WINDOWS\system32\rundll32.exe]
    "SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 C:\WINDOWS\soundman.exe]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
    "NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" []
    "Google Desktop Search"="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" [2007-06-17 19:57]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-07-04 19:50]
    "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-08-19 19:38]
    "nod32kui"="C:\Program Files\Eset
    od32kui.exe" [2007-08-19 19:32]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-09-07 14:00]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" []
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-08 19:06]
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2006-01-24 20:28]
    "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 13:49]

    C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\
    Adobe Reader Snelle start.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 01:48:20]
    Adobe Reader Synchronizer.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 00:01:50]
    Google Updater.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2007-06-08 19:06:03]
    Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04]


    *Newly Created Service* - CATCHME

    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-08-19 23:14:18
    Windows 5.1.2600 NTFS

    scanning hidden processes …

    scanning hidden autostart entries …

    scanning hidden files …

    scan completed successfully
    hidden files: 0

    **************************************************************************

    Completion time: 2007-08-19 23:15:02
    C:\ComboFix-quarantined-files.txt … 2007-08-19 23:14
    C:\ComboFix2.txt … 2007-08-19 22:27

    — E O F —









  • help je me nog verder hiermee uit?
    of is de probleem opgelost?

    groetjes,
  • Dat mag jij zeggen, is het probleem over wat je had,

    ONderstaande kan je nog fixen.


    Start Hijackthis op en kies voor 'Do a system scan only'
    Selecteer alleen de items die hieronder zijn genoemd:
    [b:4e7e34f6a6]
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe
    [/b:4e7e34f6a6]
    Klik op 'Fix checked' om de items te verwijderen.
  • [quote:8b0b5974f4="juisterr"]Dat mag jij zeggen, is het probleem over wat je had,

    ONderstaande kan je nog fixen.


    Start Hijackthis op en kies voor 'Do a system scan only'
    Selecteer alleen de items die hieronder zijn genoemd:
    [b:8b0b5974f4]
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) -
    http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe
    [/b:8b0b5974f4]
    Klik op 'Fix checked' om de items te verwijderen.[/quote:8b0b5974f4]

    Heb het gedaan maar de O16 zit er volgens mij niet meer in..

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 14:12:45, on 21-8-2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Eset
    od32kui.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Eset
    od32krn.exe
    C:\WINDOWS\System32
    vsvc32.exe
    C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\Program Files\Mozilla Firefox\firefox.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
    O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
    od32kui.exe" /WAITSERVICE
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1181322286077
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset
    od32krn.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
    vsvc32.exe


    End of file - 4499 bytes

    —————————————————————————

    En laat ik het maar even zeggen hoe het met de problemen gaat,haha :D . ik merk er helemaal niks meer van.. alles is lekker vrij ,ook ietsjes sneller geworden.. maar waarover ik zekerheid wou was omdat ik een trojan banker op de pc waarschijnlijk had.. en bij de beschrijvingen stond dat het wachtwoorden,bank-data kon achterhalen.. en aangezien wij vaak online-bankieren via ABN doen.. was ik er bezorgd.

    dus dan vraag ik.. kunnen we daaraan weer beginnen op deze pc?.. en mogen wij onze wachtwoorden voor andere forums enz. enz. automatisch op laten slaan?





  • Ziet er weer goed uit dacht ik zo :D

    Je mag je wachtwoorden weer veranderen en opslaan vanaf deze pc.

    Lees deze beveiligingstips nog eens door:
    http://www.jawwi.nl/nederlands/tips/beveiligen/beveiligen.html
  • kleine aanvulling, zet je systeemherstel ook even uit, opnieuw opstarten en dan weer aanzetten. Nu heb je een schoon herstel punt en dan kan je niet per ongeluk de boel weer heractiveren.
  • bedankt voor jullie hulp hiermee.. toppie !

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.