Vraag & Antwoord

Beveiliging & privacy

[b]Logger.Bancos.aam[/b] .. Dringend hulp !

18 antwoorden
  • hallo mensen, ik had eerder aangegeven in een topic wat een goeie spyware/virus-progs waren.. ik heb AVG anti-spyware 7.5 gedownload en ik kreeg wel 40 infections.. waarvan er 1 niet wegging de hele tijd.. heb al 3/4x een scan gemaakt en geprobeerd te deleten maar steeds ging [b:ca62fb332c]Logger.Bancos.aam [/b:ca62fb332c]niet weg.. waar ik mij druk om maakte was dat er bij de beschrijving stond dat die data zoals bank-rekeningen,wachtwoorden kun afpakken.. en omdat wij veel aan online bank-rekeningen doen werd ik wat ongerust. wat mij ook opvalt is dat de laatste weken mijn opgeslagen gebruikersnaam+wachtwoord op forums enzo. na elke keer dat ik op windows kom verwijderd zijn. Komt dat ook door de virus?.. ik hoop dat iemand me verder kan helpen.
  • Welkom! Plaats even een Hijackthis log: http://forum.computertotaal.nl/phpBB2/viewtopic.php?t=115358 Als je dit denkt, is het verstandig om via een andere computer al je gegevens en wachtwoorden even te wijzigen. Pim
  • [quote:fc62eea4aa="pimvandenderen"]Welkom! Plaats even een Hijackthis log: http://forum.computertotaal.nl/phpBB2/viewtopic.php?t=115358 Als je dit denkt, is het verstandig om via een andere computer al je gegevens en wachtwoorden even te wijzigen. Pim[/quote:fc62eea4aa] hoe bedoel je 'als je dit denkt'?.. ik ga even hijackthis downloaden en een log maken.. gewoon plaatsen in deze topic?
  • Maak eerst maar een Hijackthis log en plaats het in dit topic, dan kan ik vertellen of je inderdaad te maken hebt met een trojan banker.
  • [quote:260c88c1c6="pimvandenderen"]Maak eerst maar een Hijackthis log en plaats het in dit topic, dan kan ik vertellen of je inderdaad te maken hebt met een trojan banker.[/quote:260c88c1c6] Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:32:14, on 19-8-2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Program Files\Eset\nod32kui.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe C:\Program Files\Google\Google Updater\GoogleUpdater.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe, O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\WebAssist.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: Google Updater.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1181322286077 O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 6083 bytes hier heb je het.. als het die virus is wat ik aangaf.. of wat jij aangaf.. is die erg of is die zo te pakken?
  • Je hebt inderdaad te maken met een trojan banker. Probeer zo snel mogelijk je wachtwoorden van internet bankieren etc. te wijzigen vanaf een andere computer. Download [url=http://downloads.andymanchesta.com/RemovalTools/SDFix.zip]SDFix[/url] naar je [b:2f1f81dd2b]Bureaublad[/b:2f1f81dd2b]. Dubbelklik om te openen, selecteer alle bestanden en pak ze uit naar een eigen map met de naam [u:2f1f81dd2b]SDFix[/u:2f1f81dd2b]. Start je computer op in [url=http://users.telenet.be/marcvn/spyware/1378056.htm]veilige modus[/url]. Open de map SDfix en dubbelklik op [b:2f1f81dd2b]runthis.bat[/b:2f1f81dd2b] om de tool te starten. Computer laten herstarten wanneer dit gevraagd wordt. SDfix loopt verder en opent na afloop een rapportje! Sla dit even op, post het dadelijk in je volgende antwoord. Download [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]Combofix[/url] naar je [b:2f1f81dd2b]bureaublad[/b:2f1f81dd2b] Dubbelklik op [u:2f1f81dd2b]combofix.exe[/u:2f1f81dd2b] Volg de instructies, aanvaard de disclaimer door y of Y te typen. Tijdens het runnen van de fix, [b:2f1f81dd2b]NIET[/b:2f1f81dd2b] in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log [b:2f1f81dd2b]combofix.txt[/b:2f1f81dd2b] openen. Bewaar dit logje. NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, mag je dit negeren. Plaats in je volgende antwoord het logje van combofix ([i:2f1f81dd2b]combofix.txt[/i:2f1f81dd2b]), het logje van sdfix en een vers Hijackthis log. Succes Pim
  • [quote:67bc58cb65="pimvandenderen"]Je hebt inderdaad te maken met een trojan banker. Probeer zo snel mogelijk je wachtwoorden van internet bankieren etc. te wijzigen vanaf een andere computer. Download [url=http://downloads.andymanchesta.com/RemovalTools/SDFix.zip]SDFix[/url] naar je [b:67bc58cb65]Bureaublad[/b:67bc58cb65]. Dubbelklik om te openen, selecteer alle bestanden en pak ze uit naar een eigen map met de naam [u:67bc58cb65]SDFix[/u:67bc58cb65]. Start je computer op in [url=http://users.telenet.be/marcvn/spyware/1378056.htm]veilige modus[/url]. Open de map SDfix en dubbelklik op [b:67bc58cb65]runthis.bat[/b:67bc58cb65] om de tool te starten. Computer laten herstarten wanneer dit gevraagd wordt. SDfix loopt verder en opent na afloop een rapportje! Sla dit even op, post het dadelijk in je volgende antwoord. Download [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]Combofix[/url] naar je [b:67bc58cb65]bureaublad[/b:67bc58cb65] Dubbelklik op [u:67bc58cb65]combofix.exe[/u:67bc58cb65] Volg de instructies, aanvaard de disclaimer door y of Y te typen. Tijdens het runnen van de fix, [b:67bc58cb65]NIET[/b:67bc58cb65] in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log [b:67bc58cb65]combofix.txt[/b:67bc58cb65] openen. Bewaar dit logje. NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, mag je dit negeren. Plaats in je volgende antwoord het logje van combofix ([i:67bc58cb65]combofix.txt[/i:67bc58cb65]), het logje van sdfix en een vers Hijackthis log. Succes Pim[/quote:67bc58cb65] ik ga die opdrachten meteen uitvoeren.. maar wij hebben pin-codes op abn amro bankieren.. die kan je toch niet veranderen?.. we hebben geen zelf ingevuld wachtwoord bij het online-bankieren.
  • Edit: Logfile kwam niet.. maar had het nog in veilige modus staan.. heb het logfile van Sdfix inmiddels al opgeslagen.. nu bezig met combofix.
  • Logfile [b:b9a926c4be]SDfix[/b:b9a926c4be]: Rebooting... Normal Mode: Checking Files: Trojan Files Found: C:\WINDOWS\system32\wsnpoem\audio.dll - Deleted C:\WINDOWS\system32\wsnpoem\video.dll - Deleted Folder C:\WINDOWS\system32\wsnpoem - Removed Removing Temp Files... ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: Remaining Files: --------------- File Backups: - C:\DOCUME~1\Wasken\BUREAU~1\SDFix\SDFix\backups\backups.zip Registry Backups: - C:\DOCUME~1\Wasken\BUREAU~1\SDFix\SDFix\backups\backupreg.zip Full Registry Backup: - C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE Files with Hidden Attributes: Finished -------------------------------------------------------------------- Logfile [b:b9a926c4be]Combofix[/b:b9a926c4be]: ComboFix 07-08-14.4 - "Wasken" 2007-08-19 22:22:55.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.0.1252.1.1043.18.218 [GMT 2:00] * Created a new restore point ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\DOCUME~1\Wasken\BUREAU~1.\internet explorer.lnk C:\WINDOWS\WebAssist.dll ((((((((((((((((((((((((( Files Created from 2007-07-19 to 2007-08-19 ))))))))))))))))))))))))))))))) 2007-08-19 22:22 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-08-19 21:57 <DIR> d-------- C:\WINDOWS\ERUNT 2007-08-19 21:52 <DIR> d-------- C:\WINDOWS\pss 2007-08-19 21:31 <DIR> d-------- C:\Program Files\Trend Micro 2007-08-19 19:33 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys 2007-08-19 19:33 298,104 --a------ C:\WINDOWS\system32\imon.dll 2007-08-19 19:33 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys 2007-08-19 19:29 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-08-18 14:25 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\McAfee 2007-08-18 14:22 <DIR> d-------- C:\WINDOWS\system32\appmgmt 2007-08-17 16:50 81,984 --a------ C:\WINDOWS\system32\bdod.bin 2007-08-16 15:34 1,700,352 --a------ C:\WINDOWS\system32\gdiplus.dll 2007-07-21 16:51 <DIR> d-------- C:\Program Files\Virtools Web Player 2.5 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-19 19:31 --------- d-------- C:\DOCUME~1\Wasken\APPLIC~1\uTorrent 2007-08-16 13:18 --------- d-------- C:\DOCUME~1\Wasken\APPLIC~1\LimeWire 2007-07-05 15:26 --------- d-------- C:\DOCUME~1\Wasken\APPLIC~1\BSplayer Pro 2007-07-04 19:50 --------- d-------- C:\Program Files\QuickTime 2007-06-23 19:14 --------- d-------- C:\Program Files\Common Files\NSV 2007-06-23 18:58 --------- d-------- C:\DOCUME~1\Wasken\APPLIC~1\MusicIP 2007-06-19 16:36 --------- d-------- C:\Program Files\Microsoft ActiveSync 2007-06-08 18:52 0 -rahs---- C:\MSDOS.SYS 2007-06-08 18:52 0 -rahs---- C:\IO.SYS 2007-06-08 18:52 0 --a------ C:\CONFIG.SYS 2007-06-08 18:52 0 --a------ C:\AUTOEXEC.BAT 2007-06-08 18:51 8738 --a------ C:\WINDOWS\pchealth\HELPCTR\Config\Cntstore.bin 2007-06-08 18:51 2112 --a------ C:\WINDOWS\pchealth\HELPCTR\PackageStore\SkuStore.bin ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="RUNDLL32.exe" [2001-09-07 14:00 C:\WINDOWS\system32\rundll32.exe] "nwiz"="nwiz.exe" [2005-02-24 17:32 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="RUNDLL32.exe" [2001-09-07 14:00 C:\WINDOWS\system32\rundll32.exe] "SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 C:\WINDOWS\soundman.exe] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43] "NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [] "Google Desktop Search"="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" [2007-06-17 19:57] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-07-04 19:50] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-08-19 19:38] "nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-08-19 19:32] "MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2001-09-07 14:00] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-09-07 14:00] "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-08 19:06] "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2006-01-24 20:28] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 13:49] C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\ Adobe Reader Snelle start.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 01:48:20] Adobe Reader Synchronizer.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 00:01:50] Google Updater.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2007-06-08 19:06:03] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableRegistryTools"=0 (0x0) Contents of the 'Scheduled Tasks' folder 2007-08-14 09:31:29 C:\WINDOWS\Tasks\At1.job - C:\WINDOWS\System32\ELoBe700.exe 2007-08-14 09:31:29 C:\WINDOWS\Tasks\At10.job 2007-08-18 08:01:02 C:\WINDOWS\Tasks\At11.job - C:\WINDOWS\System32\ELoBe700.exe 2007-08-18 09:01:01 C:\WINDOWS\Tasks\At12.job - C:\WINDOWS\System32\ELoBe700.exe 2007-08-14 09:31:29 C:\WINDOWS\Tasks\At2.job - C:\WINDOWS\System32\ELoBe700.exe 2007-08-17 21:01:07 C:\WINDOWS\Tasks\At24.job - C:\WINDOWS\System32\ELoBe700.exe 2007-08-14 09:31:29 C:\WINDOWS\Tasks\At3.job - C:\WINDOWS\System32\ELoBe700.exe 2007-08-14 09:31:29 C:\WINDOWS\Tasks\At4.job - C:\WINDOWS\System32\ELoBe700.exe 2007-08-14 09:31:29 C:\WINDOWS\Tasks\At5.job - C:\WINDOWS\System32\ELoBe700.exe 2007-08-14 09:31:29 C:\WINDOWS\Tasks\At6.job - C:\WINDOWS\System32\ELoBe700.exe 2007-08-14 09:31:29 C:\WINDOWS\Tasks\At7.job - C:\WINDOWS\System32\ELoBe700.exe 2007-08-14 09:31:29 C:\WINDOWS\Tasks\At8.job - C:\WINDOWS\System32\ELoBe700.exe 2007-08-14 09:31:29 C:\WINDOWS\Tasks\At9.job - C:\WINDOWS\System32\ELoBe700.exe ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-08-19 22:25:48 Windows 5.1.2600 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-08-19 22:27:56 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2007-08-19 22:27 --- E O F --- ------------------------------------------------------------------------------ Logfile [b:b9a926c4be]Hijackthis[/b:b9a926c4be]: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:30:41, on 19-8-2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Program Files\Eset\nod32kui.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe C:\Program Files\Google\Google Updater\GoogleUpdater.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: Google Updater.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1181322286077 O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 6011 bytes ----------------------------------------------------------------------------- [b:b9a926c4be]Hopelijk is het succesvol geeindigd.. ik wacht je antwoord af of ik hier weer kan beginnen met internet-bankieren op deze pc.. wat me wel opviel ik had de pc opnieuw opgestart en wou deze logfiles posten maar ik was al meteen aangemeld aan de forum,wat de afgelopen weken nooit het geval was ![/b:b9a926c4be] [b:b9a926c4be]Edit: Hoe kan ik deze virus opgelopen hebben.. wat moet ik doen om het te vermijden.. ik gebruik vaak torrents .. kan het daar aanliggen?.. ik kijk wel eerst naar de comments of er negatieve dingen over gezegt worden.. verder heb ik avg anti-spyware en nod32 op mijn pc staan.[/b:b9a926c4be]
  • Ik wacht het gewoon af :) Misschien kan iemand anders duidelijkheid geven ondertussen over het internet bankieren bij de ABN, daar heb ik geen ervaring mee.
  • Start Hijackthis, kies voor [i:95b1267025]'Do a system scan only'[/i:95b1267025] en vink onderstaande regels aan: [b:95b1267025] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto [/b:95b1267025] Sluit nu [u:95b1267025]alle[/u:95b1267025] openstaande vensters, behalve Hijackthis en klik op [b:95b1267025]Fix Checked[/b:95b1267025]. Open Kladblok, kopiëer en plak het volgende (vetgedrukte tekst) in een leeg venster: [b:95b1267025] File:: C:\WINDOWS\system32\appmgmt C:\WINDOWS\system32\bdod.bin C:\WINDOWS\System32\ELoBe700.exe C:\WINDOWS\Tasks\At1.job C:\WINDOWS\Tasks\At10.job C:\WINDOWS\Tasks\At11.job C:\WINDOWS\Tasks\At12.job C:\WINDOWS\Tasks\At2.job C:\WINDOWS\Tasks\At24.job C:\WINDOWS\Tasks\At3.job C:\WINDOWS\Tasks\At4.job C:\WINDOWS\Tasks\At5.job C:\WINDOWS\Tasks\At6.job C:\WINDOWS\Tasks\At7.job C:\WINDOWS\Tasks\At8.job C:\WINDOWS\Tasks\At9.job [/b:95b1267025] Sla dit op op je Bureaublad als [b:95b1267025]CFScript.txt[/b:95b1267025] Sleep [b:95b1267025]CFScript.txt[/b:95b1267025] in [b:95b1267025]ComboFix.exe[/b:95b1267025] zoals getoond in onderstaand voorbeeld : [img:95b1267025]http://img.photobucket.com/albums/v666/sUBs/CFScript.gif[/img:95b1267025] Dit zal [b:95b1267025]ComboFix[/b:95b1267025] doen herstarten. Start opnieuw op als daarom gevraagd wordt, en post de inhoud van de [b:95b1267025]Combofix.txt[/b:95b1267025] in je volgende antwoord samen met een nieuw HijackThislogje.
  • logfile [b:5c67d35263]Hijackthis[/b:5c67d35263]: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:20:40, on 19-8-2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Program Files\Eset\nod32kui.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe C:\Program Files\Google\Google Updater\GoogleUpdater.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\explorer.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: Google Updater.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1181322286077 O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 5792 bytes ----------------------------------------------------------------------------- [b:5c67d35263]Ik heb het kladblok van Combofix per ongeluk weggeklikt omdat ik dacht dat je met hijackthis alle vensters moest sluiten.. hoe kan ik het terug vinden?[/b:5c67d35263] ------------------------------------------------------------------------------- [u:5c67d35263][i:5c67d35263][b:5c67d35263]Edit:[/b:5c67d35263][/i:5c67d35263][/u:5c67d35263]ik heb het gezocht en dit is de laatste wat er is als je naar de tijd kijkt.. hopelijk is het de goeie. Logfile [b:5c67d35263]Combofix[/b:5c67d35263]: ComboFix 07-08-14.4 - "Wasken" 2007-08-19 23:13:06.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.0.1252.1.1043.18.209 [GMT 2:00] Command switches used :: C:\Documents and Settings\Wasken\Bureaublad\CFScript.txt * Created a new restore point FILE:: C:\WINDOWS\system32\appmgmt C:\WINDOWS\system32\bdod.bin C:\WINDOWS\System32\ELoBe700.exe C:\WINDOWS\Tasks\At1.job C:\WINDOWS\Tasks\At10.job C:\WINDOWS\Tasks\At11.job C:\WINDOWS\Tasks\At12.job C:\WINDOWS\Tasks\At2.job C:\WINDOWS\Tasks\At24.job C:\WINDOWS\Tasks\At3.job C:\WINDOWS\Tasks\At4.job C:\WINDOWS\Tasks\At5.job C:\WINDOWS\Tasks\At6.job C:\WINDOWS\Tasks\At7.job C:\WINDOWS\Tasks\At8.job C:\WINDOWS\Tasks\At9.job ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\bdod.bin C:\WINDOWS\Tasks\At1.job C:\WINDOWS\Tasks\At10.job C:\WINDOWS\Tasks\At11.job C:\WINDOWS\Tasks\At12.job C:\WINDOWS\Tasks\At2.job C:\WINDOWS\Tasks\At24.job C:\WINDOWS\Tasks\At3.job C:\WINDOWS\Tasks\At4.job C:\WINDOWS\Tasks\At5.job C:\WINDOWS\Tasks\At6.job C:\WINDOWS\Tasks\At7.job C:\WINDOWS\Tasks\At8.job C:\WINDOWS\Tasks\At9.job ((((((((((((((((((((((((( Files Created from 2007-07-19 to 2007-08-19 ))))))))))))))))))))))))))))))) 2007-08-19 22:22 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-08-19 21:57 <DIR> d-------- C:\WINDOWS\ERUNT 2007-08-19 21:52 <DIR> d-------- C:\WINDOWS\pss 2007-08-19 21:31 <DIR> d-------- C:\Program Files\Trend Micro 2007-08-19 19:33 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys 2007-08-19 19:33 298,104 --a------ C:\WINDOWS\system32\imon.dll 2007-08-19 19:33 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys 2007-08-19 19:29 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-08-18 14:25 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\McAfee 2007-08-18 14:22 <DIR> d-------- C:\WINDOWS\system32\appmgmt 2007-08-16 15:34 1,700,352 --a------ C:\WINDOWS\system32\gdiplus.dll 2007-07-21 16:51 <DIR> d-------- C:\Program Files\Virtools Web Player 2.5 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-19 19:31 --------- d-------- C:\DOCUME~1\Wasken\APPLIC~1\uTorrent 2007-08-16 13:18 --------- d-------- C:\DOCUME~1\Wasken\APPLIC~1\LimeWire 2007-07-05 15:26 --------- d-------- C:\DOCUME~1\Wasken\APPLIC~1\BSplayer Pro 2007-07-04 19:50 --------- d-------- C:\Program Files\QuickTime 2007-06-23 19:14 --------- d-------- C:\Program Files\Common Files\NSV 2007-06-23 18:58 --------- d-------- C:\DOCUME~1\Wasken\APPLIC~1\MusicIP 2007-06-19 16:36 --------- d-------- C:\Program Files\Microsoft ActiveSync 2007-06-08 18:52 0 -rahs---- C:\MSDOS.SYS 2007-06-08 18:52 0 -rahs---- C:\IO.SYS 2007-06-08 18:52 0 --a------ C:\CONFIG.SYS 2007-06-08 18:52 0 --a------ C:\AUTOEXEC.BAT 2007-06-08 18:51 8738 --a------ C:\WINDOWS\pchealth\HELPCTR\Config\Cntstore.bin 2007-06-08 18:51 2112 --a------ C:\WINDOWS\pchealth\HELPCTR\PackageStore\SkuStore.bin ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="RUNDLL32.exe" [2001-09-07 14:00 C:\WINDOWS\system32\rundll32.exe] "nwiz"="nwiz.exe" [2005-02-24 17:32 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="RUNDLL32.exe" [2001-09-07 14:00 C:\WINDOWS\system32\rundll32.exe] "SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 C:\WINDOWS\soundman.exe] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43] "NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [] "Google Desktop Search"="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" [2007-06-17 19:57] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-07-04 19:50] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-08-19 19:38] "nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-08-19 19:32] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-09-07 14:00] "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-08 19:06] "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2006-01-24 20:28] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 13:49] C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\ Adobe Reader Snelle start.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 01:48:20] Adobe Reader Synchronizer.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 00:01:50] Google Updater.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2007-06-08 19:06:03] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04] *Newly Created Service* - CATCHME ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-08-19 23:14:18 Windows 5.1.2600 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-08-19 23:15:02 C:\ComboFix-quarantined-files.txt ... 2007-08-19 23:14 C:\ComboFix2.txt ... 2007-08-19 22:27 --- E O F ---
  • help je me nog verder hiermee uit? of is de probleem opgelost? groetjes,
  • Dat mag jij zeggen, is het probleem over wat je had, ONderstaande kan je nog fixen. Start Hijackthis op en kies voor 'Do a system scan only' Selecteer alleen de items die hieronder zijn genoemd: [b:4e7e34f6a6] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe [/b:4e7e34f6a6] Klik op 'Fix checked' om de items te verwijderen.
  • [quote:8b0b5974f4="juisterr"]Dat mag jij zeggen, is het probleem over wat je had, ONderstaande kan je nog fixen. Start Hijackthis op en kies voor 'Do a system scan only' Selecteer alleen de items die hieronder zijn genoemd: [b:8b0b5974f4] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe [/b:8b0b5974f4] Klik op 'Fix checked' om de items te verwijderen.[/quote:8b0b5974f4] Heb het gedaan maar de O16 zit er volgens mij niet meer in.. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:12:45, on 21-8-2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Program Files\Eset\nod32kui.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Program Files\Mozilla Firefox\firefox.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1181322286077 O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 4499 bytes --------------------------------------------------------------------------- En laat ik het maar even zeggen hoe het met de problemen gaat,haha :D . ik merk er helemaal niks meer van.. alles is lekker vrij ,ook ietsjes sneller geworden.. maar waarover ik zekerheid wou was omdat ik een trojan banker op de pc waarschijnlijk had.. en bij de beschrijvingen stond dat het wachtwoorden,bank-data kon achterhalen.. en aangezien wij vaak online-bankieren via ABN doen.. was ik er bezorgd. dus dan vraag ik.. kunnen we daaraan weer beginnen op deze pc?.. en mogen wij onze wachtwoorden voor andere forums enz. enz. automatisch op laten slaan?
  • Ziet er weer goed uit dacht ik zo :D Je mag je wachtwoorden weer veranderen en opslaan vanaf deze pc. Lees deze beveiligingstips nog eens door: http://www.jawwi.nl/nederlands/tips/beveiligen/beveiligen.html
  • kleine aanvulling, zet je systeemherstel ook even uit, opnieuw opstarten en dan weer aanzetten. Nu heb je een schoon herstel punt en dan kan je niet per ongeluk de boel weer heractiveren.
  • bedankt voor jullie hulp hiermee.. toppie !

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.